收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国内杀毒软件 火绒 火绒高级威胁防护规则
12345678910... 137下一页
返回列表 发新帖
查看: 231988|回复: 1369
收起左侧

[分享] 火绒高级威胁防护规则

  [复制链接]
Jerry.Lin
发表于 2019-2-23 11:01:31 | 显示全部楼层 |阅读模式
本帖最后由 Jerry.Lin 于 2022-6-26 20:51 编辑

*原反攻击规则已停止维护,项目迁移至Github并重写为火绒高级威胁防护规则

项目地址:https://github.com/JerryLinLinLin/Huorong-ATP-Rules
下载地址:https://github.com/JerryLinLinLi ... les/releases/latest
规则文档:https://github.com/JerryLinLinLi ... ter/rules/README.md


火绒高级威胁防护规则


基于 MITRE ATT&CK™ 和恶意软件行为特征编写而成的火绒自定义防护规则,能够检测,阻止,拦截各类恶意软件,高级持续性威胁(APT)的攻击载体和攻击途径,典型的如无文件攻击,漏洞攻击,加密勒索等。同时具有较高的可扩展性和可维护性,对社区开发者友好。



安装/导入规则

下载最新规则版本,解压文件可得Rule.json, Auto.json。打开火绒主界面->防护中心->高级防护->自定义规则,点击开关启用,点击项目->进入高级防护设置项,在自定义规则设置界面->导入->选择Rule.json,在自动处理设置页面->导入->选择Auto.json。版本更新时请手动删除旧规则然后重新导入。


新手上路

按照此图所示导入规则。

为防止误报,部分规则默认未启用,请在阅读规则文档后再选择开启。


规则内容
  • Office 漏洞攻击防护
  • 勒索防护
  • 无文件攻击防护
  • 流行恶意软件家族防护
  • ...详见规则文档



规则目录

所有规则位于rules/目录下,子文件夹代表不同规则组,以威胁类别.行为描述/病毒家族命名,例如Exploit.MSOffice

每个子目录下含有规则文件rule.jsonauto.json,为当前规则组的规则文件和对应的自动处理文件。每项规则以当前规则组名称+字母命名,例如Exploit.MSOffice

每条规则的具体用途可在各规则组文件夹下README.md找到,或在Rules根目录下找到。

目录结构如下

  1. .
  2. ├── Classification.Description1
  3. ├── Classification.Description2
  4. │   ├── rule.json
  5. │   ├── auto.json
  6. │   └── README.md
  7. └── README.md
复制代码



自动化脚本

位于scripts/目录下,用于自动检查规则文件格式、导出/合并所有规则组,生成规则说明文档等,仅限于此规则目录结构。

  • validate_rules.py - 验证规则文件,基于此schema

  1. usage: validate_rules.py [-h] --path PATH

  3. optional arguments:
  4.   -h, --help   show this help message and exit
  5.   --path PATH  folder path to check
复制代码

  • merge_rules.py - 将规则组合并为一个文件,方便导入。

  1. usage: merge_rules.py [-h] --path PATH --output OUTPUT

  3. optional arguments:
  4.   -h, --help       show this help message and exit
  5.   --path PATH      rule folder path to merge
  6.   --output OUTPUT  output folder path
复制代码

  • md_parser.py - 生成规则文档。

  1. usage: md_parser.py [-h] --path PATH

  3. optional arguments:
  4.   -h, --help   show this help message and exit
  5.   --path PATH  rule folder path to generate markdown
复制代码

更新日志

详见每次发布日志


TO-DO: Add changelog.md

反馈/贡献

在开Issues或者PR前,请确保阅读contributing guidelines

评分

参与人数 14原创 +1 人气 +27 收起 理由
zdlzp + 1 精品文章
小飞侠.net + 2 版区有你更精彩: )
zjglad520 + 1 很给力!
abcat + 3 版区有你更精彩: )
HEMM + 1 看不懂!请重写一遍~

查看全部评分

本帖被以下淘专辑推荐:

回复

举报

ziyerain2015
发表于 2019-2-23 16:46:13 | 显示全部楼层
沙发又更新了,不用去火绒规则区花钱下了
回复

举报

具具
发表于 2019-2-23 16:59:10 | 显示全部楼层
好的谢谢
回复

举报

wakin20
发表于 2019-2-23 19:24:32 | 显示全部楼层
谢谢分享!
回复

举报

hbzhang
发表于 2019-2-23 19:30:24 | 显示全部楼层
收藏备用,谢谢! 目前在使用智量,以前使用过火绒。
回复

举报

雪拥蓝关
发表于 2019-2-23 20:48:56 | 显示全部楼层
支持分享。
回复

举报

lixiaolu
发表于 2019-2-23 21:20:20 | 显示全部楼层
这个支持下载用
回复

举报

zzxgj
发表于 2019-2-23 21:34:49 | 显示全部楼层
可以的,但是好像和卡巴斯基打架?
回复

举报

Jerry.Lin
 楼主| 发表于 2019-2-23 21:38:58 | 显示全部楼层
zzxgj 发表于 2019-2-23 21:34
可以的,但是好像和卡巴斯基打架?

上传下日志

不建议同时使用其他安软
回复

举报

我爱华
发表于 2019-2-23 22:00:28 | 显示全部楼层
好久没用了,收起来试一下
回复

举报

下一页 »
12345678910... 137下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-24 23:26 , Processed in 0.130829 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表