你们是怎么拦截这种脚本文件？

柯林

打开记事本，粘贴下面这串东东

(new ActiveXObject("Shell.Application")).ShutdownWindows()

保存为   关机.js

运行这个关机脚本，系统弹出关机窗口，点关机就关闭了

我这里测试下，只有禁止explorer.exe读取执行wscript.exe才能防止，这样做貌似会影响个别系统补丁的安装

按道理，禁止wscript.exe读取执行js文件也能防御吧

不知道你们那里，日志显示是怎么拦截的？上个图来看看

Snow5211

我的 win10 系统，无法 将记事本 TXT 改为 JS脚本文件。。。

柯林

Snow5211 发表于 2016-3-14 22:00
我的 win10 系统，无法 将记事本 TXT 改为 JS脚本文件。。。

怎么会？

综合症初期患者

手头没有vse。你能不能测试一下，到底是哪个进程在读取哪个js文件？

就是建立一条规则，包含的进程*.*，不排除，然后“要阻止的文件”就填那个js文件，操作选“读取”，只勾选“报告”，看看会产生哪些日志？

qftest

我不用VSE做解释器拦截规则，太麻烦了，ERP多方便


如果要用VSE拦命令行，做规则会死人的


但是LZ，我真心建议你VSE最少做一条拦截vssadmin.exe的规则
http://www.bleepingcomputer.com/ ... e-vssadmin-exe-now/

柯林

qftest 发表于 2016-3-14 23:44
我不用VSE做解释器拦截规则，太麻烦了，ERP多方便

一般家用,装个VSE配系统墙就行了,用其它的不划算..感谢你提供的建议,我再看看

qftest

柯林 发表于 2016-3-15 20:26
一般家用,装个VSE配系统墙就行了,用其它的不划算..感谢你提供的建议,我再看看

本来打了一堆字，最后全部删除了，觉得不用说再多
卡饭真的越来越水，理论家不要太少

柯林

qftest 发表于 2016-3-15 21:54
本来打了一堆字，最后全部删除了，觉得不用说再多
卡饭真的越来越水，理论家不要太少

发现这个东东，一般的防御措施没用，例子只是个关机命令，要来个凶猛的就惨了
当然实际中也可以忽视，真流行的话，一般人靠特征码和云也就够了

墨家小子

qftest 发表于 2016-3-15 21:54
本来打了一堆字，最后全部删除了，觉得不用说再多
卡饭真的越来越水，理论家不要太少

其实都是跟我差不多的半吊子，还愣装官方文档

qftest

墨家小子 发表于 2016-3-16 09:32
其实都是跟我差不多的半吊子，还愣装官方文档

理论方面的欠缺使得我与人交流比较费劲