火绒只开自定义规则就得死它手上

显示全部楼层 · 发表于 2016-5-26 02:00:32

本帖最后由 sanhu35 于 2016-5-26 02:16 编辑

XP+虚拟机

拦截。
拦截不了注销倒是实话。
被注销的瞬间，火绒拦截不了关机，虽然添加了一条拦截shutdown.exe关机的规则。
重启后账户和文件没有损失。

【2】2016-05-26 02:10:39,系统防护,执行控制,勒索.exe触犯执行防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\勒索.exe
风险动作：命令行修改用户账户密码
执行文件：C:\WINDOWS\system32\net.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2016-05-26 02:10:39,系统防护,执行控制,勒索.exe触犯执行防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\勒索.exe
风险动作：命令行修改用户账户密码
执行文件：C:\WINDOWS\system32\net.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2016-05-26 02:10:39,系统防护,执行控制,勒索.exe触犯执行防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\勒索.exe
风险动作：命令行添加用户账号
执行文件：C:\WINDOWS\system32\net.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2016-05-26 02:10:39,系统防护,自定义防护,勒索.exe触犯 , 已忽略

操作进程：C:\Documents and Settings\Administrator\桌面\勒索.exe
触犯规则：Group1
操作类型：执行
C:\WINDOWS\system32\shutdown.exe
用户操作：已忽略

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2016-05-26 02:10:09,系统防护,文件保护,勒索.exe触犯文件防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\勒索.exe
风险动作：修改启动目录
目标文件：C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\勒索.exe.lnk
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2016-05-26 02:10:05,系统防护,危险动作拦截,勒索.exe触犯敏感动作防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\勒索.exe
风险动作：写磁盘保留扇区
目标：\Device\Harddisk0\DR0
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2016-05-26 02:10:02,系统防护,危险动作拦截,勒索.exe触犯敏感动作防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\勒索.exe
风险动作：写磁盘保留扇区
目标：\Device\Harddisk0\DR0
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【9】2016-05-26 02:09:56,反病毒,病毒实时监控,发现病毒Ransom/Adduser.a, 已信任

操作进程：C:\WINDOWS\Explorer.EXE
文件路径：C:\Documents and Settings\Administrator\桌面\勒索.exe
病毒名：Ransom/Adduser.a
病毒ID：82CC220FCB20AAEF
用户操作：已信任

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

显示全部楼层 · 发表于 2016-5-26 02:02:27

我已经测试了自己看上面的图吧

显示全部楼层 · 发表于 2016-5-26 06:28:09

sanhu35 发表于 2016-5-26 02:02
我已经测试了自己看上面的图吧

多谢测试

显示全部楼层 · 发表于 2016-5-26 08:06:42

McAfee

显示全部楼层 · 发表于 2016-5-26 08:31:39

qqddliu 发表于 2016-5-25 15:10
官方的规则也有漏的，一会儿我传个样本，你不开病毒防御，只开基本防御试试。（假设这是新病毒，当前过 ...

不能防御此老样本de话...

2016/5/26 08:08:41 创建注册表项允许
进程: g:\download\老病毒1\样本.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0010804
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\*

2016/5/26 08:09:04 修改注册表值允许
进程: g:\download\老病毒1\样本.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0010804\Layout File
值: KBDUS.DLL
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/26 08:09:30 创建文件允许
进程: g:\download\老病毒1\样本.exe
目标: C:\Windows\system32\2C11039C.tmp
规则: [应用程序组]病毒测试 -> [文件]*

2016/5/26 08:10:24 向其他进程发送消息允许
进程: g:\download\老病毒1\样本.exe
目标: c:\windows\explorer.exe
消息: WM_INPUTLANGCHANGEREQUEST
规则: [应用程序组]病毒测试 -> [目标应用程序]*

2016/5/26 08:10:52 加载动态链接库允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\2c11039c.tmp
规则: [应用程序]c:\windows\explorer.exe

2016/5/26 08:10:58 创建注册表项允许
进程: g:\download\老病毒1\样本.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\35C0040D
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/26 08:11:03 创建注册表项允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1C1D243E
规则: [应用程序]c:\windows\explorer.exe -> [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2016/5/26 08:11:17 修改注册表值允许
进程: g:\download\老病毒1\样本.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\35C0040D\Start
值: 0x00000000(0)
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/26 08:11:21 修改注册表值允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\1C1D243E\Start
值: 0x00000000(0)
规则: [应用程序]c:\windows\explorer.exe -> [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2016/5/26 08:11:32 修改注册表值允许
进程: g:\download\老病毒1\样本.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\35C0040D\Type
值: 0x00000001(1)
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/26 08:11:45 修改注册表值允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\1C1D243E\ImagePath
值: system32\1C1D243E.sys
规则: [应用程序]c:\windows\explorer.exe -> [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2016/5/26 08:11:56 修改注册表值允许
进程: g:\download\老病毒1\样本.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\35C0040D\ImagePath
值: system32\35C0040D.sys
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/26 08:12:17 修改注册表值允许
进程: c:\windows\explorer.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\drmkaud\ImagePath
值: Base
规则: [应用程序]c:\windows\explorer.exe -> [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2016/5/26 08:13:01 修改注册表值允许
进程: g:\download\老病毒1\样本.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\35C0040D\Group
值: Base
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/26 08:13:07 创建文件允许
进程: c:\windows\explorer.exe
目标: C:\Windows\system32\1C1D243E.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2016/5/26 08:13:19 修改注册表值允许
进程: g:\download\老病毒1\样本.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\drmkaud\ImagePath
值: Base
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/26 08:13:27 创建文件允许
进程: c:\windows\explorer.exe
目标: C:\Windows\system32\6BEF165D.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2016/5/26 08:13:36 创建文件允许
进程: g:\download\老病毒1\样本.exe
目标: C:\Windows\system32\35C0040D.sys
规则: [应用程序组]病毒测试 -> [应用程序]g:\download\老病毒1\样本.exe -> [文件]c:\windows\system32\*

2016/5/26 08:13:43 创建文件允许
进程: c:\windows\explorer.exe
目标: C:\Users\yiqing\AppData\Local\Temp\03aa6355.bat
规则: [应用程序]c:\windows\explorer.exe -> [文件组]所有执行文件 -> [文件]*; *.bat

2016/5/26 08:14:04 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c ""C:\Users\yiqing\AppData\Local\Temp\03aa6355.bat" "
规则: [应用程序]c:\windows\explorer.exe

2016/5/26 08:14:13 安装驱动程序或服务允许
进程: g:\download\老病毒1\样本.exe
目标: C:\Windows\system32\67A647AF.sys
规则: [应用程序组]病毒测试

2016/5/26 08:14:19 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2016/5/26 08:14:33 创建新进程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\rundll32.exe
命令行: C:\Windows\System32\rundll32.exe shell32.dll,SHCreateLocalServerRunDll {995C996E-D918-4a8c-A302-45719A6F4EA7} -Embedding
规则: [应用程序]c:\windows\system32\svchost.exe

2016/5/26 08:14:40 创建文件允许
进程: g:\download\老病毒1\样本.exe
目标: C:\Windows\system32\67A647AF.sys
规则: [应用程序组]病毒测试 -> [应用程序]g:\download\老病毒1\样本.exe -> [文件]c:\windows\system32\*

2016/5/26 08:14:43 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2016/5/26 08:15:03 加载驱动程序阻止
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\67a647af.sys
规则: [应用程序]c:\windows\system32\services.exe

2016/5/26 08:15:06 修改其他进程的内存允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2016/5/26 08:15:12 创建文件允许
进程: g:\download\老病毒1\样本.exe
目标: C:\Users\baba\AppData\Local\Temp\38d86eab.bat
规则: [应用程序组]病毒测试 -> [文件]*

2016/5/26 08:15:15 修改其他进程的线程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\explorer.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2016/5/26 08:15:40 加载动态链接库允许
进程: g:\download\老病毒1\样本.exe
目标: c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_41e6975e2bd6f2b2\comctl32.dll
规则: [应用程序组]病毒测试 -> [动态链接库]*

2016/5/26 08:17:32 创建新进程允许
进程: g:\download\老病毒1\样本.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c ""C:\Users\baba\AppData\Local\Temp\38d86eab.bat" "
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/5/26 08:17:51 安装驱动程序或服务允许
进程: g:\download\老病毒1\样本.exe
目标: %SystemRoot%\System32\Svchost.exe -k netsvcs
规则: [应用程序组]病毒测试

2016/5/26 08:18:07 创建注册表项允许
进程: g:\download\老病毒1\样本.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FastUserSwitchingCompatibility\Parameters
规则: [应用程序组]病毒测试 -> [注册表]*

2016/5/26 08:18:18 创建文件允许
进程: g:\download\老病毒1\样本.exe
目标: C:\Windows\system32\FastUserSwitchingCompatibility.dll
规则: [应用程序组]病毒测试 -> [应用程序]g:\download\老病毒1\样本.exe -> [文件]c:\windows\*

2016/5/26 08:18:27 安装驱动程序或服务允许
进程: c:\windows\system32\svchost.exe
目标: C:\Windows\system32\4F165CB5.sys
规则: [应用程序]c:\windows\system32\svchost.exe

2016/5/26 08:18:43 创建文件允许
进程: c:\windows\system32\svchost.exe
目标: C:\Windows\system32\4F165CB5.sys
规则: [应用程序]c:\windows\system32\svchost.exe -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2016/5/26 08:18:48 加载驱动程序阻止
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\4f165cb5.sys
规则: [应用程序]c:\windows\system32\services.exe

显示全部楼层 · 发表于 2016-5-26 09:29:24

liulangzhecgr 发表于 2016-5-26 08:31
不能防御此老样本de话...

这个应该能防住。

显示全部楼层 · 发表于 2016-5-27 16:46:58

vm001 发表于 2016-5-25 21:50
一开始极速版还有点兴趣，现在看下极速版安装目录下好多准备推广的安装包，那是随时都有可能被流氓的，所 ...

囧，我也知道数字稳但弹窗多到烦死，一旦发现陌生程序调用GetAsyncKeyState就弹键盘记录，记录你妹啊！囧囧囧囧经常默认模式都能点到手抽筋，习惯火绒了再换回数字根本受不了，又不想用全程自动囧囧囧

显示全部楼层 · 发表于 2016-5-27 16:52:43

vm001 发表于 2016-5-25 21:50
一开始极速版还有点兴趣，现在看下极速版安装目录下好多准备推广的安装包，那是随时都有可能被流氓的，所 ...

根本就没把极速版当一个单独版本。
所以下拉文件的时候。。。。会把很多不需要的文件拉下来。
倒不是说在准备XX。

显示全部楼层 · 发表于 2016-5-27 19:19:13

一个杀毒软件不需要完全以规则防御，所以正常。

显示全部楼层 · 发表于 2016-5-28 15:39:22

大菲尔杀

[病毒样本] 火绒只开自定义规则就得死它手上

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源