你们是怎么拦截这种脚本文件？

ly910326

2016-3-18        10:02:42        将由访问保护规则 (当前不强制执行规则) 禁止         ------\Administrator        C:\WINDOWS\EXPLORER.EXE        C:\Documents and Settings\Administrator\桌面\关机.js        用户定义的规则:新规则        已阻止的操作: 读取

柯林

ly910326 发表于 2016-3-18 10:06
2016-3-18        10:02:42        将由访问保护规则 (当前不强制执行规则) 禁止         ------\Administrator        C:\WINDOWS\EXPLO ...

这样也是可以拦截的

275751198

qftest 发表于 2016-3-15 21:54
本来打了一堆字，最后全部删除了，觉得不用说再多
卡饭真的越来越水，理论家不要太少

问如何拦截脚本，这里有一个奇葩案例
http://bbs.360safe.com/thread-6859141-1-1.html

qftest

275751198 发表于 2016-5-2 09:38
问如何拦截脚本，这里有一个奇葩案例
http://bbs.360safe.com/thread-6859141-1-1.html

案例样本在哪，我想试试，另外数字论坛没帐号下不了附件
不过你说的这个事倒很奇怪啊，杀马干嘛杀掉被调用的系统程序，事后你有没有重测是否有复现？

275751198

qftest 发表于 2016-5-2 12:18
案例样本在哪，我想试试，另外数字论坛没帐号下不了附件
不过你说的这个事倒很奇怪啊，杀马干嘛杀掉被调 ...

我觉得可能是我寝室的网不好，在断网规则下，360可能启发认为多次调动恶意脚本的程序是木马。没有重试过，我那次只是发现所有脚本文件都没有关联打开了，才在日志和隔离区里发现了我的系统进程被删了

qftest

275751198 发表于 2016-5-2 19:58
我觉得可能是我寝室的网不好，在断网规则下，360可能启发认为多次调动恶意脚本的程序是木马。没有重试过 ...

这么久了还在“跟进中”？
那个什么产品答疑师后来怎么跟你说的？想知道官方解释

275751198

qftest 发表于 2016-5-2 20:12
这么久了还在“跟进中”？
那个什么产品答疑师后来怎么跟你说的？想知道官方解释

后来就没联系我啦，我加他QQ也没通过

qftest

275751198 发表于 2016-5-2 20:15
后来就没联系我啦，我加他QQ也没通过

。。。反字数补丁pro 1.2

qftest

275751198 发表于 2016-5-2 20:15
后来就没联系我啦，我加他QQ也没通过

好吧，回到正题。。
你问怎么拦截脚本，我自己是用ERP做规则的，包括且不限于脚本，凡是觉得可能被利用的都可以添加进去，感觉很方便
ERP默认拦截的已有
*\cmd.*
*\regsvr32.exe
*\rundll32.exe
*\?script.exe
*\powershell.exe
其他的可以参考这个https://github.com/subTee/Applic ... b/master/Limits.txt

liulangzhecgr

基本用户运行系统的话，因 explorer.exe 是基本用户而出错（弹窗提示！）




以管理员权限运行

2016/5/3 08:11:53    向其他进程发送消息    允许
进程: c:\windows\system32\wscript.exe
目标: c:\windows\explorer.exe
消息: WM_COMMAND
规则: [应用程序]*

以管理员权限运行脚本，但受到组策略的限制！