收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国内杀毒软件 火绒自定义规则更新专贴(2015.1.10 增加盛大登入卫士规 ...
1 ...293031323334353637... 50下一页
返回列表 发新帖
楼主: 幽冥の龙
 收起左侧

[分享] 火绒自定义规则更新专贴(2015.1.10 增加盛大登入卫士规则,增加2个简单的防恶意规则

  [复制链接]
幽冥の龙
 楼主| 发表于 2014-12-19 19:22:20 | 显示全部楼层
本帖最后由 幽冥の龙 于 2014-12-19 19:28 编辑
chen.yuan 发表于 2014-12-19 10:18
敲竹杠保护管理员帐号的规则我自己写了一个,以前样本区的百分百拦截。我现在在外地等我回去了传上来你测试 ...


我研究了下 改密码的话 只要 HKEY_LOCAL_MACHINE\SAM  禁止写入就可以了……
但是发现个问题……不知道为什么系统进入桌面的时候 lsass.exe 会有写入sam的操作,然后火绒因为比桌面先加载,导致lsass.exe写入失败,然后系统就卡在欢迎界面进不去了,进安全模式 把自定义规则关了之后才好
如果要使用规则的话那得每次关机前关了规则,开机后再打开规则,简直自虐啊

而且火绒还有很蛋疼的缓存机制,如果用户自己手动修改账户,放行过一次后,火绒缓存记住了,当病毒篡改系统密码调用lsass的时候火绒默认会放行不再拦截,也不会有提示了,虽然碰巧用户自己放行过一次后又正好运行了敲竹杠的概率比较小
回复

举报

chen.yuan
发表于 2014-12-19 21:01:11 | 显示全部楼层
本帖最后由 chen.yuan 于 2014-12-20 15:43 编辑
幽冥の龙 发表于 2014-12-19 19:22
我研究了下 改密码的话 只要 HKEY_LOCAL_MACHINE\SAM  禁止写入就可以了……
但是发现个问题……不知 ...


嗯,你已经写好了我删除截图。
回复

举报

幽冥の龙
 楼主| 发表于 2014-12-19 21:08:32 来自手机 | 显示全部楼层
chen.yuan 发表于 2014-12-19 21:01
总算在邮箱翻到了,以前怕忘记截了图邮箱放了一份你参考一下。

HKEY_LOCAL_MACHINE\SAM*
写那么多这样不就行了,全包括了,话说你开着规则进系统没问题?
回复

举报

chen.yuan
发表于 2014-12-19 21:12:03 | 显示全部楼层
幽冥の龙 发表于 2014-12-19 21:08
HKEY_LOCAL_MACHINE\SAM*
写那么多这样不就行了,全包括了,话说你开着规则进系统没问题?

少写一个也不行。开着规则进系统点问题木有。
回复

举报

幽冥の龙
 楼主| 发表于 2014-12-19 21:17:33 来自手机 | 显示全部楼层
chen.yuan 发表于 2014-12-19 21:12
少写一个也不行。开着规则进系统点问题木有。

我不知道怎么看sam下的具体内容,都隐藏的。。不知道sam下除了你写的还有别的么?要是你全写进去了,就规则写法上来说我这一行和你这么多行的效果是一样的
回复

举报

chen.yuan
发表于 2014-12-19 21:22:40 | 显示全部楼层
幽冥の龙 发表于 2014-12-19 21:17
我不知道怎么看sam下的具体内容,都隐藏的。。不知道sam下除了你写的还有别的么?要是你全写进去了,就规 ...

SAM目录,其他的都看不到那是因为你权限不够,右键点击相应目录选择“权限”,把你自己(通常是 Administrators)设置为“允许完全控制”就可以了。
回复

举报

幽冥の龙
 楼主| 发表于 2014-12-19 22:29:20 | 显示全部楼层
本帖最后由 幽冥の龙 于 2014-12-20 01:49 编辑
chen.yuan 发表于 2014-12-19 21:22
SAM目录,其他的都看不到那是因为你权限不够,右键点击相应目录选择“权限”,把你自己(通常是 Administ ...


看了下你确实是把所有的都加进去了,也就是说不用那么麻烦全写,直接SAM* 就解决了……

但是我刚才测试了一下我还是进不去系统

进安全模式看了日志拦截了这个,和你的规则里面的第一条是符合的……搞不懂为什么你就没事。。。






===========================

找到问题所在了
还只能一个个写,不能偷懒
HKEY_LOCAL_MACHINE\SAM*
HKEY_LOCAL_MACHINE\SAM\SAM*
都不可以……不然就进不去系统…… 原因不明

不过可以偷懒写成这样



话说你规则里没有这一项
HKEY_LOCAL_MACHINE\SAM\SAM\LastSkuUpgrade

是没必要吗?(我不知道这项是干嘛的- -!看英文是 最后库升级?英语不好给跪

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

幽冥の龙
 楼主| 发表于 2014-12-20 01:48:32 | 显示全部楼层
增加敲竹杠规则
回复

举报

幽冥の龙
 楼主| 发表于 2014-12-20 02:09:03 来自手机 | 显示全部楼层
chen.yuan 发表于 2014-12-19 10:18
敲竹杠保护管理员帐号的规则我自己写了一个,以前样本区的百分百拦截。我现在在外地等我回去了传上来你测试 ...

锁屏短期内我写不出。。。试了几个样本行为都不一样,恶意程度也不一样。。。有的只是单纯的挡个屏幕,甚至alt f4就关掉了,有的还添加启动项,有的是真正的锁了啥都干不了,硬搞还蓝屏。。。并且屏幕被锁后我不知道怎么看行为了,平时用火绒剑看的,被挡住了。。。
回复

举报

1094947421
发表于 2014-12-20 03:45:08 | 显示全部楼层
本帖最后由 1094947421 于 2014-12-20 04:06 编辑

其实,你的防流氓通用规则挡不住360,上次点了阻止之后,360直接创建在c盘根目录,听人说,如果不让360创建到c盘,360会挨个找能创建的盘符创建,所以有时候需要点“结束进程”。
还有就是,上次我打算安装个百度卫士,允许之后,卫士偷偷在baidu文件夹里创建了个baidusd,所以应该再加一个*:\Program Files*\*\> ,不知道我写没写对?意思到了就行。
还有就是,要怎么创建桌面壁纸修改规则?comodo的那个测试工具会修改壁纸的,而且有些恶作剧也会这么干,还有微软。
回复

举报

下一页 »
1 ...293031323334353637... 50下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-23 17:30 , Processed in 0.091081 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表