收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国内杀毒软件 火绒 火绒高级威胁防护规则
1 ...115116117118119120121122... 139下一页
返回列表 发新帖
楼主: Jerry.Lin
 收起左侧

[分享] 火绒高级威胁防护规则

  [复制链接]
sun320925
发表于 2022-2-25 21:15:40 | 显示全部楼层
感谢分享,试一下
回复

举报

xzykgc4mc3
发表于 2022-2-26 21:56:42 | 显示全部楼层
Jerry.Lin 发表于 2022-2-23 03:07
应用程序或者系统里找找

大大,试着在火绒弹窗时点了允许
结果word就会崩溃

在事件里可以看到两项可能相关的错误信息

感觉还是无从排查
  1. 错误应用程序名称: WINWORD.EXE,版本: 15.0.5389.1000,时间戳: 0x6140b402
  2. 错误模块名称: mso.dll,版本: 15.0.5415.1000,时间戳: 0x61b9ed0f
  3. 异常代码: 0xc0000602
  4. 错误偏移量: 0x00000000010739b1
  5. 错误进程 ID: 0x1604
  6. 错误应用程序启动时间: 0x01d82b17eca6ec3e
  7. 错误应用程序路径: C:\Program Files\Microsoft Office\Office15\WINWORD.EXE
  8. 错误模块路径: C:\Program Files\Common Files\Microsoft Shared\Office15\mso.dll
  9. 报告 ID: 776b8aed-4c0f-4149-bcb7-d4285a6c08e7
  10. 错误程序包全名:
  11. 错误程序包相对应用程序 ID:
复制代码
  1. 错误存储段 2104969900127419865,类型 4
  2. 事件名称: APPCRASH
  3. 响应: 不可用
  4. Cab Id: 0

  6. 问题签名:
  7. P1: WINWORD.EXE
  8. P2: 15.0.5389.1000
  9. P3: 6140b402
  10. P4: mso.dll
  11. P5: 15.0.5415.1000
  12. P6: 61b9ed0f
  13. P7: c0000602
  14. P8: 00000000010739b1
  15. P9:
  16. P10:

  18. 附加文件:
  19. C:\Users\用户名\AppData\Local\Temp\CVR6BC4.tmp.cvr
  20. C:\Users\用户名\AppData\Local\Temp\WERE852.tmp.WERInternalMetadata.xml

  22. 可在此处获取这些文件:
  23. C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_WINWORD.EXE_b85492a8dcab29b38f1dd877175e4cfe3aa77b_2386eec8_17971454

  25. 分析符号:
  26. 重新检查解决方案: 0
  27. 报告 Id: 776b8aed-4c0f-4149-bcb7-d4285a6c08e7
  28. 报告状态: 0
  29. 哈希存储段: c3263237f062367b9d365af8b7fbfdd9
复制代码




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

guimei
发表于 2022-2-26 22:22:27 | 显示全部楼层
许久不用了,看看
回复

举报

Jerry.Lin
 楼主| 发表于 2022-2-27 02:56:16 | 显示全部楼层
xzykgc4mc3 发表于 2022-2-26 07:56
大大,试着在火绒弹窗时点了允许
结果word就会崩溃

神奇……
回复

举报

鸽子咕啵
发表于 2022-2-27 08:08:35 | 显示全部楼层
求助,是不是自定义规则太严了,屏幕截图都不过

触犯规则:[结束]木马行为防护.D.00
操作类型:【创建】
操作文件:C:\Users\ASUS\AppData\Local\Packages\Microsoft.ScreenSketch_8wekyb3d8bbwe\TempState\{C7D8FAE0-93F9-4FE6-8994-658E861A2D8F}.png
操作结果:已阻止

进程ID:7304
操作进程:C:\Windows\System32\RuntimeBroker.exe
操作进程命令行:C:\Windows\System32\RuntimeBroker.exe -Embedding
父进程ID:1140
父进程:C:\WINDOWS\system32\svchost.exe
父进程命令行:C:\WINDOWS\system32\svchost.exe -k DcomLaunch -p
回复

举报

Jerry.Lin
 楼主| 发表于 2022-2-27 09:26:25 | 显示全部楼层
鸽子咕啵 发表于 2022-2-26 18:08
求助,是不是自定义规则太严了,屏幕截图都不过

触犯规则:[结束]木马行为防护.D.00

啊那就加排除吧
回复

举报

sharks
发表于 2022-3-4 10:27:13 | 显示全部楼层
习惯性好评啊
回复

举报

617969116
发表于 2022-3-9 14:04:46 | 显示全部楼层
感谢分享!
回复

举报

xyfmhk1
发表于 2022-3-10 21:39:23 | 显示全部楼层
谢分享!
回复

举报

yayatt123
发表于 2022-3-11 16:11:25 | 显示全部楼层
感谢LZ分享
回复

举报

下一页 »
1 ...115116117118119120121122... 139下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 18:03 , Processed in 0.114154 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表