火绒自定义规则更新专贴（2015.1.10 增加盛大登入卫士规则，增加2个简单的防恶意规则

cbeyondc

收藏了，以后就火绒单奔了。

AnonymousM

火绒不是可以自定义规则么？我前几天编了几条规则，自动拦截调用net.exe、net1.exe、cmd.exe和shutdown.exe，阻止调用、运行和写入。然后拿着这个去防一枚很简单的敲竹杠【行为是调用net1.exe创建账户、调用shutdown.exe重启】，结果火绒一点反应都没有。。。是我编制的规则有问题么？

幽冥の龙

AnonymousM 发表于 2015-1-12 17:08
火绒不是可以自定义规则么？我前几天编了几条规则，自动拦截调用net.exe、net1.exe、cmd.exe和shutdown.exe ...

net 工具防御 自带规则就有
防改密码的需要 注册表防御，帖子里有下载
自定义规则有时刚写完或刚导入可能不生效，需要关闭自定义规则重新打开才有效。这是未知BUG，，
另外自定义规则在规则添加界面的时候是不生效的，这不是BUG，写完规则要把主界面关掉

AnonymousM

幽冥の龙 发表于 2015-1-12 17:43
net 工具防御 自带规则就有
防改密码的需要 注册表防御，帖子里有下载
自定义规则有时刚写完或刚导入 ...

防改密码只能从注册表入手么？因为大多数敲竹杠都选择命令行，能不能想办法拦截net.exe或者cmd.exe之类的？

还有，我当时是很奇怪，为什么感觉规则没有生效，所以重启过。结果还是不行。。。

幽冥の龙

AnonymousM 发表于 2015-1-12 17:47
防改密码只能从注册表入手么？因为大多数敲竹杠都选择命令行，能不能想办法拦截net.exe或者cmd.exe之类 ...

任何的改密码手段 最终都是要动注册表的，所以防注册表 就可以防所有改账户行为，并且应该不存在误报。 防工具调用还存在误报情况

规则写对的话如果不是遇到BUG不应该无效的，你怎么写的

AnonymousM

幽冥の龙 发表于 2015-1-12 17:50
任何的改密码手段 最终都是要动注册表的，所以防注册表 就可以防所有改账户行为，并且应该不存在误报。  ...

防护全开、自定义规则启用，双击后被拦截，病毒没有继续运行。文件防护、注册表防护、自定义规则根本就没用上，完全是病毒防护的结果

AnonymousM

幽冥の龙 发表于 2015-1-12 17:50
任何的改密码手段 最终都是要动注册表的，所以防注册表 就可以防所有改账户行为，并且应该不存在误报。  ...

然后这个图是关闭病毒防护后双击，四个自定义规则设置为默认拦截，然后双击病毒窗口就强制重启了

AnonymousM

幽冥の龙 发表于 2015-1-12 17:50
任何的改密码手段 最终都是要动注册表的，所以防注册表 就可以防所有改账户行为，并且应该不存在误报。  ...

所以给我的感觉就是，如果自定义规则设置为自动拒绝执行，根本就拦不住，不知道编写的规则到底有没有用。

但是如图，我关闭了那几个防护，只留了一个自定义规则，并且设置为询问，然后才会拦截

我记着你说的那个Bug，所以每次修改后都是先关闭窗口的

幽冥の龙

AnonymousM 发表于 2015-1-12 22:57
所以给我的感觉就是，如果自定义规则设置为自动拒绝执行，根本就拦不住，不知道编写的规则到底有没有用。 ...

表示我这 没问题，另外强制关机的手段不止shutdown一种，自定义规则防御cmd  net shutdown 对于 比如用COM组件LocalSecurityAuthority.Shutdown 关机的行为是没用的，你这样本应该就不是利用shutdown的，你自己翻翻日志看看cmd 和net有没有拦截就是了，关机重启拦截不到太正常了…… 只有低级的速成病毒才去用shutdown关机的……
COMODO 貌似可以拦截COM的，火绒目前没这功能
你遇到的情况我猜 应该就是 运行样本后  自动阻止了net的运行，样本接着运行关机，因为不是shutdown关机所以没有拦截。调成询问后，样本执行net的时候火绒弹窗的时候是 阻止样本继续运行等待用户操作的，所以暂时没被关机，选阻止后应该还是会被关机的。要清楚火绒的阻止是属于单步拦截，只阻止一步行为不会阻止规则外的行为。清楚这点很重要，在实机对抗中对于能绕过火绒防御的样本，但是触发了单步行为规则，此时就不能选阻止而要选 “结束进程”，这也是我坚决不把防毒规则设置 直接阻止的原因，阻止的话 用户不知情，同时也并不能阻止样本的所有行为，只能阻止规则里设定的行为。

AnonymousM

幽冥の龙 发表于 2015-1-13 01:43
表示我这 没问题，另外强制关机的手段不止shutdown一种，自定义规则防御cmd  net shutdown 对于 比如用 ...

这一次我只关闭了病毒实时防御和未知病毒拦截，四个自定义规则的话，都勾选了拦截读取，写入和执行

双击后，先拦截net.exe，然后是shutdown.exe。然后弹出的那个框，不管是点x还是点确定都是强制重启，火绒没拦截。应该是准备了两种重启。

开机后查看日志，果然只记录了两次拦截，最近的那个explorer.exe调用cmd.exe，我没看懂啥意思，不知道是不是跟虚拟机有关。那个CMD的规则不是我自定义的，系统防护项目和自动处理设置里也没找到，不知道啥情况