火绒高级威胁防护规则

xzykgc4mc3

大佬，洒家写了一条规则，阻止火狐升级安装时修改原安装目录下的两个目录下的文件

源程序写成*\temp\*。因为每次双击火狐安装包时会释放exe文件到temp目录，再弹出uac窗口安装
目标文件是下面

1. *\Mozilla Firefox\distribution\policies.json
   
2. *\Mozilla Firefox\browser\features\*
   

复制代码

然后，很奇怪的是明明日志里，有记录阻止修改和删除\Mozilla Firefox\browser\features\下面的xpi文件
但安装完后，又看到火狐features目录下又写入了xpi文件
规则怎么失效了，请问
下面是截取的部分日志

1. 【2】2022-03-11 21:34:18,高级防护,自定义防护,setup.exe触犯自定义防护规则, 已阻止
   
2. 
   
3. 触犯规则：modify firefox install
   
4. 操作类型：【删除】
   
5. 操作文件：C:\Program Files\Mozilla Firefox\browser\features\webcompat-reporter@mozilla.org.xpi
   
6. 操作结果：已阻止
   
7. 
   
8. 进程ID：4264
   
9. 操作进程：C:\Users\用户名\AppData\Local\Temp\7zS05DDA3E1\setup.exe
   
10. 操作进程命令行："C:\Users\用户名\AppData\Local\Temp\7zS05DDA3E1\setup.exe" /UAC:70362 /NCRC
    
11. 父进程ID：1932
    
12. 父进程：C:\Users\用户名\AppData\Local\Temp\7zS05DDA3E1\setup.exe
    
13. 父进程命令行：.\setup.exe
    
14. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
15. 
    
16. 【3】2022-03-11 21:34:18,高级防护,自定义防护,setup.exe触犯自定义防护规则, 已阻止
    
17. 
    
18. 触犯规则：modify firefox install
    
19. 操作类型：【修改】
    
20. 操作文件：C:\Program Files\Mozilla Firefox\browser\features\webcompat@mozilla.org.xpi
    
21. 操作结果：已阻止
    
22. 
    
23. 进程ID：4264
    
24. 操作进程：C:\Users\用户名\AppData\Local\Temp\7zS05DDA3E1\setup.exe
    
25. 操作进程命令行："C:\Users\用户名\AppData\Local\Temp\7zS05DDA3E1\setup.exe" /UAC:70362 /NCRC
    
26. 父进程ID：1932
    
27. 父进程：C:\Users\用户名\AppData\Local\Temp\7zS05DDA3E1\setup.exe
    
28. 父进程命令行：.\setup.exe
    
29. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
30. 
    
31. 【4】2022-03-11 21:34:18,高级防护,自定义防护,setup.exe触犯自定义防护规则, 已阻止
    
32. 
    
33. 触犯规则：modify firefox install
    
34. 操作类型：【删除】
    
35. 操作文件：C:\Program Files\Mozilla Firefox\browser\features\webcompat@mozilla.org.xpi
    
36. 操作结果：已阻止
    
37. 
    
38. 进程ID：4264
    
39. 操作进程：C:\Users\用户名\AppData\Local\Temp\7zS05DDA3E1\setup.exe
    
40. 操作进程命令行："C:\Users\用户名\AppData\Local\Temp\7zS05DDA3E1\setup.exe" /UAC:70362 /NCRC
    
41. 父进程ID：1932
    
42. 父进程：C:\Users\用户名\AppData\Local\Temp\7zS05DDA3E1\setup.exe
    
43. 父进程命令行：.\setup.exe
    
44. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
45. 
    
46. 【5】2022-03-11 21:34:17,高级防护,自定义防护,setup.exe触犯自定义防护规则, 已阻止
    
47. 
    
48. 触犯规则：modify firefox install
    
49. 操作类型：【修改】
    
50. 操作文件：C:\Program Files\Mozilla Firefox\browser\features\webcompat-reporter@mozilla.org.xpi
    
51. 操作结果：已阻止
    
52. 
    
53. 进程ID：4264
    
54. 操作进程：C:\Users\用户名\AppData\Local\Temp\7zS05DDA3E1\setup.exe
    
55. 操作进程命令行："C:\Users\用户名\AppData\Local\Temp\7zS05DDA3E1\setup.exe" /UAC:70362 /NCRC
    
56. 父进程ID：1932
    
57. 父进程：C:\Users\用户名\AppData\Local\Temp\7zS05DDA3E1\setup.exe
    
58. 父进程命令行：.\setup.exe
    

复制代码

Jerry.Lin

xzykgc4mc3 发表于 2022-3-11 08:33
大佬，洒家写了一条规则，阻止火狐升级安装时修改原安装目录下的两个目录下的文件

源程序写成*\temp\*。 ...

额这个就不大清楚了

10201

谢谢分享

xzykgc4mc3

Jerry.Lin 发表于 2022-3-12 01:54
额这个就不大清楚了

大佬，弄清楚了
是自定义的拦截规则和白名单规则冲突了
拦截规则
源程序写成*\temp\*
目标文件

1. *\Mozilla Firefox\distribution\policies.json
   
2. *\Mozilla Firefox\browser\features\*

复制代码

比如写入这些文件

1. C:\Program Files\Mozilla Firefox\browser\features\webcompat@mozilla.org.xpi

复制代码

白名单规则

弱弱请问，允许所有程序在这里自动创建文件，是为了排除什么吗

1. >\Program Files*.>.*

复制代码

Jerry.Lin

xzykgc4mc3 发表于 2022-3-16 03:40
大佬，弄清楚了
是自定义的拦截规则和白名单规则冲突了
拦截规则

弱弱请问，允许所有程序在这里自动创建文件，是为了排除什么吗

排除双后缀勒索检测的误报

wxyhhht

这个支持下载用

xzykgc4mc3

Jerry.Lin 发表于 2022-3-17 08:22
排除双后缀勒索检测的误报

谢谢大佬
弱弱请问一声，貌似火绒的自动处理规则是不写入日志的吧
还是有的呢
貌似到现在还没看到火绒的日志里有出现自动处理规则的记录
为何官人在这里这么说
https://bbs.kafan.cn/forum.php?m ... o=lastpost#lastpost

Jerry.Lin

xzykgc4mc3 发表于 2022-3-17 02:04
谢谢大佬
弱弱请问一声，貌似火绒的自动处理规则是不写入日志的吧
还是有的呢

我记得是不会记录日志的……

liuyiliao

谢谢分享！

sl42e

试试这款规则定义