收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国内杀毒软件 火绒 火绒高级威胁防护规则
1 ...120121122123124125126127... 139下一页
返回列表 发新帖
楼主: Jerry.Lin
 收起左侧

[分享] 火绒高级威胁防护规则

  [复制链接]
lvseqiji
发表于 2022-7-22 22:41:53 | 显示全部楼层
Jerry.Lin 发表于 2022-7-4 22:54
有没有日志

重现了一下,默认规则原来也会这样。。这条规则误报率非常高

触犯规则:Trojan.FakeSysProc.A
操作类型:【执行】
操作文件:C:\Windows\System32\svchost.exe
操作结果:已阻止

进程ID:1328
操作进程:C:\Windows\System32\services.exe
操作进程命令行:C:\WINDOWS\system32\services.exe
父进程ID:1256
父进程:C:\Windows\System32\wininit.exe
父进程命令行:wininit.exe
回复

举报

Jerry.Lin
 楼主| 发表于 2022-7-23 00:28:37 | 显示全部楼层
lvseqiji 发表于 2022-7-22 08:41
重现了一下,默认规则原来也会这样。。这条规则误报率非常高

触犯规则:Trojan.FakeSysProc.A

是不是没有导入自动处理规则?
回复

举报

lvseqiji
发表于 2022-7-23 00:33:04 | 显示全部楼层
Jerry.Lin 发表于 2022-7-23 00:28
是不是没有导入自动处理规则?

我靠,确实,我傻了
回复

举报

哀酱俏佳人
发表于 2022-7-31 23:15:30 | 显示全部楼层
下载支持,测试下防护
回复

举报

Kitanosan
发表于 2022-8-10 12:12:36 | 显示全部楼层
没想到规则回来了,可喜可贺。
刚测试了一下,该规则默认配置下会误报Lenovo Vantage的Battery Widget相关组件,谨附上从火绒导出的相关日志文件。
  1. 【1】2022-08-10 12:04:04,高级防护,自定义防护,regList.wsf触犯自定义防护规则, 已允许

  3. 触犯规则:Suspicious.ScriptHost.A
  4. 操作类型:【执行】
  5. 操作文件:C:\WINDOWS\System32\conhost.exe
  6. 操作结果:已允许

  8. 进程ID:11276
  9. 操作进程:C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\resources\app\node_modules\regedit\vbs\regList.wsf
  10. 操作进程命令行:cscript.exe //Nologo C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\resources\app\node_modules\regedit\vbs\regList.wsf A HKLM\Software\WOW6432Node\Lenovo\VantageService\FileLogger
  11. 父进程ID:18168
  12. 父进程:C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
  13. 父进程命令行:"C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe"
  14. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  16. 【2】2022-08-10 12:04:00,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已允许

  18. 触犯规则:Suspicious.ScriptHost.A
  19. 操作类型:【执行】
  20. 操作文件:C:\WINDOWS\System32\conhost.exe
  21. 操作结果:已允许

  23. 进程ID:15576
  24. 操作进程:C:\Windows\System32\cscript.exe
  25. 操作进程命令行:cscript.exe
  26. 父进程ID:18168
  27. 父进程:C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
  28. 父进程命令行:"C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe"
  29. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  31. 【3】2022-08-10 11:53:29,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已允许

  33. 触犯规则:Suspicious.ScriptHost.A
  34. 操作类型:【执行】
  35. 操作文件:C:\WINDOWS\System32\conhost.exe
  36. 操作结果:已允许

  38. 进程ID:20332
  39. 操作进程:C:\Windows\System32\cscript.exe
  40. 操作进程命令行:cscript.exe
  41. 父进程ID:13504
  42. 父进程:C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
  43. 父进程命令行:"C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe" -StartByContractBatteryWidgetEnable
  44. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  46. 【4】2022-08-10 11:53:26,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已阻止

  48. 触犯规则:Suspicious.ScriptHost.A
  49. 操作类型:【执行】
  50. 操作文件:C:\WINDOWS\System32\conhost.exe
  51. 操作结果:已阻止

  53. 进程ID:14448
  54. 操作进程:C:\Windows\System32\cscript.exe
  55. 操作进程命令行:cscript.exe
  56. 父进程ID:15020
  57. 父进程:C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
  58. 父进程命令行:"C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe" -StartByContractBatteryWidgetEnable
  59. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  61. 【5】2022-08-10 11:53:21,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已阻止

  63. 触犯规则:Suspicious.ScriptHost.A
  64. 操作类型:【执行】
  65. 操作文件:C:\WINDOWS\System32\conhost.exe
  66. 操作结果:已阻止

  68. 进程ID:21684
  69. 操作进程:C:\Windows\System32\cscript.exe
  70. 操作进程命令行:cscript.exe
  71. 父进程ID:2140
  72. 父进程:C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
  73. 父进程命令行:"C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe" -StartByContractBatteryWidgetEnable
  74. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  76. 【6】2022-08-10 11:53:07,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已允许

  78. 触犯规则:Suspicious.ScriptHost.A
  79. 操作类型:【执行】
  80. 操作文件:C:\WINDOWS\System32\conhost.exe
  81. 操作结果:已允许

  83. 进程ID:22120
  84. 操作进程:C:\Windows\System32\cscript.exe
  85. 操作进程命令行:cscript.exe
  86. 父进程ID:21776
  87. 父进程:C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
  88. 父进程命令行:"C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe" -StartByContractBatteryWidgetEnable
  89. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  91. 【7】2022-08-10 11:50:21,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已阻止

  93. 触犯规则:Suspicious.ScriptHost.A
  94. 操作类型:【执行】
  95. 操作文件:C:\WINDOWS\System32\conhost.exe
  96. 操作结果:已阻止

  98. 进程ID:18164
  99. 操作进程:C:\Windows\System32\cscript.exe
  100. 操作进程命令行:cscript.exe
  101. 父进程ID:17988
  102. 父进程:C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
  103. 父进程命令行:"C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe"
  104. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

复制代码


回复

举报

PLlinkME
发表于 2022-8-16 19:50:02 | 显示全部楼层
谢谢大佬,这就导入
回复

举报

Kitanosan
发表于 2022-8-21 11:36:11 | 显示全部楼层
再反馈一个误报,笔记本在插拔电源时会误触发 Suspicious.AppCertDLLs.A 规则。
  1. 【1】2022-08-21 11:33:13,高级防护,自定义防护,System触犯自定义防护规则, 已允许

  3. 触犯规则:Suspicious.AppCertDLLs.A
  4. 操作类型:【修改】
  5. 操作文件:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Power\SystemPowerPolicy
  6. 操作结果:已允许

  8. 进程ID:4
  9. 操作进程:System
  10. 父进程ID:0
  11. 父进程:Idle
  12. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  14. 【2】2022-08-21 11:33:13,高级防护,自定义防护,System触犯自定义防护规则, 已允许

  16. 触犯规则:Suspicious.AppCertDLLs.A
  17. 操作类型:【修改】
  18. 操作文件:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Power\SystemPowerPolicy
  19. 操作结果:已允许

  21. 进程ID:4
  22. 操作进程:System
  23. 父进程ID:0
  24. 父进程:Idle
  25. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  27. 【3】2022-08-21 11:33:12,高级防护,自定义防护,System触犯自定义防护规则, 已允许

  29. 触犯规则:Suspicious.AppCertDLLs.A
  30. 操作类型:【修改】
  31. 操作文件:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Power\SystemPowerPolicy
  32. 操作结果:已允许

  34. 进程ID:4
  35. 操作进程:System
  36. 父进程ID:0
  37. 父进程:Idle
  38. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  40. 【4】2022-08-21 11:33:12,高级防护,自定义防护,System触犯自定义防护规则, 已允许

  42. 触犯规则:Suspicious.AppCertDLLs.A
  43. 操作类型:【修改】
  44. 操作文件:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Power\SystemPowerPolicy
  45. 操作结果:已允许

  47. 进程ID:4
  48. 操作进程:System
  49. 父进程ID:0
  50. 父进程:Idle
  51. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  53. 【5】2022-08-21 11:32:58,高级防护,自定义防护,System触犯自定义防护规则, 已允许

  55. 触犯规则:Suspicious.AppCertDLLs.A
  56. 操作类型:【修改】
  57. 操作文件:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Power\SystemPowerPolicy
  58. 操作结果:已允许

  60. 进程ID:4
  61. 操作进程:System
  62. 父进程ID:0
  63. 父进程:Idle
  64. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  66. 【6】2022-08-21 11:32:58,高级防护,自定义防护,System触犯自定义防护规则, 已允许

  68. 触犯规则:Suspicious.AppCertDLLs.A
  69. 操作类型:【修改】
  70. 操作文件:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Power\SystemPowerPolicy
  71. 操作结果:已允许

  73. 进程ID:4
  74. 操作进程:System
  75. 父进程ID:0
  76. 父进程:Idle
  77. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  79. 【7】2022-08-21 11:32:57,高级防护,自定义防护,System触犯自定义防护规则, 已允许

  81. 触犯规则:Suspicious.AppCertDLLs.A
  82. 操作类型:【修改】
  83. 操作文件:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Power\SystemPowerPolicy
  84. 操作结果:已允许

  86. 进程ID:4
  87. 操作进程:System
  88. 父进程ID:0
  89. 父进程:Idle
  90. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  92. 【8】2022-08-21 11:32:57,高级防护,自定义防护,System触犯自定义防护规则, 已允许

  94. 触犯规则:Suspicious.AppCertDLLs.A
  95. 操作类型:【修改】
  96. 操作文件:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Power\SystemPowerPolicy
  97. 操作结果:已允许

  99. 进程ID:4
  100. 操作进程:System
  101. 父进程ID:0
  102. 父进程:Idle
  103. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
复制代码
回复

举报

uvs
发表于 2022-8-21 15:14:17 | 显示全部楼层
支持一下啊
回复

举报

PLlinkME
发表于 2022-8-22 10:48:22 | 显示全部楼层
装个雷电模拟器就会弹出拦截注册表什么的
回复

举报

jeremy0714
发表于 2022-9-3 08:44:20 | 显示全部楼层
昨天换了这个规则,这个每次开机都有提示


触犯规则:Suspicious.AppCertDLLs.A
操作类型:【修改】
操作文件:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SESSION MANAGER\MEMORY MANAGEMENT\PrefetchParameters\EnableBootTrace
操作结果:已阻止

进程ID:980
操作进程:C:\Windows\System32\svchost.exe
操作进程命令行:C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
父进程ID:548
父进程:C:\Windows\System32\services.exe
父进程命令行:C:\Windows\system32\services.exe

回复

举报

下一页 »
1 ...120121122123124125126127... 139下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-2-23 12:36 , Processed in 0.095377 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表