火绒高级威胁防护规则

geming3000

使用规则又更新了，离上次发布好久之前的事情了

lvseqiji

Windows11下如果把所有规则都打开好像会黑屏，不知道怎么回事

Jerry.Lin

lvseqiji 发表于 2022-7-4 07:07
Windows11下如果把所有规则都打开好像会黑屏，不知道怎么回事

有没有日志

lvseqiji

Jerry.Lin 发表于 2022-7-4 22:54
有没有日志

无了，我进安全模式把火绒卸载才进得去桌面

sun_443

谢谢楼主共享。已经升级。

lvseqiji

Jerry.Lin 发表于 2022-7-4 22:54
有没有日志

重现了一下，默认规则原来也会这样。。这条规则误报率非常高

触犯规则：Trojan.FakeSysProc.A
操作类型：【执行】
操作文件：C:\Windows\System32\svchost.exe
操作结果：已阻止

进程ID：1328
操作进程：C:\Windows\System32\services.exe
操作进程命令行：C:\WINDOWS\system32\services.exe
父进程ID：1256
父进程：C:\Windows\System32\wininit.exe
父进程命令行：wininit.exe

Jerry.Lin

lvseqiji 发表于 2022-7-22 08:41
重现了一下，默认规则原来也会这样。。这条规则误报率非常高

触犯规则：Trojan.FakeSysProc.A

是不是没有导入自动处理规则？

lvseqiji

Jerry.Lin 发表于 2022-7-23 00:28
是不是没有导入自动处理规则？

我靠，确实，我傻了

哀酱俏佳人

下载支持，测试下防护

Kitanosan

没想到规则回来了，可喜可贺。
刚测试了一下，该规则默认配置下会误报Lenovo Vantage的Battery Widget相关组件，谨附上从火绒导出的相关日志文件。

1. 【1】2022-08-10 12:04:04,高级防护,自定义防护,regList.wsf触犯自定义防护规则, 已允许
   
2. 
   
3. 触犯规则：Suspicious.ScriptHost.A
   
4. 操作类型：【执行】
   
5. 操作文件：C:\WINDOWS\System32\conhost.exe
   
6. 操作结果：已允许
   
7. 
   
8. 进程ID：11276
   
9. 操作进程：C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\resources\app\node_modules\regedit\vbs\regList.wsf
   
10. 操作进程命令行：cscript.exe //Nologo C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\resources\app\node_modules\regedit\vbs\regList.wsf A HKLM\Software\WOW6432Node\Lenovo\VantageService\FileLogger
    
11. 父进程ID：18168
    
12. 父进程：C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
    
13. 父进程命令行："C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe"
    
14. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
15. 
    
16. 【2】2022-08-10 12:04:00,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已允许
    
17. 
    
18. 触犯规则：Suspicious.ScriptHost.A
    
19. 操作类型：【执行】
    
20. 操作文件：C:\WINDOWS\System32\conhost.exe
    
21. 操作结果：已允许
    
22. 
    
23. 进程ID：15576
    
24. 操作进程：C:\Windows\System32\cscript.exe
    
25. 操作进程命令行：cscript.exe
    
26. 父进程ID：18168
    
27. 父进程：C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
    
28. 父进程命令行："C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe"
    
29. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
30. 
    
31. 【3】2022-08-10 11:53:29,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已允许
    
32. 
    
33. 触犯规则：Suspicious.ScriptHost.A
    
34. 操作类型：【执行】
    
35. 操作文件：C:\WINDOWS\System32\conhost.exe
    
36. 操作结果：已允许
    
37. 
    
38. 进程ID：20332
    
39. 操作进程：C:\Windows\System32\cscript.exe
    
40. 操作进程命令行：cscript.exe
    
41. 父进程ID：13504
    
42. 父进程：C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
    
43. 父进程命令行："C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe" -StartByContractBatteryWidgetEnable
    
44. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
45. 
    
46. 【4】2022-08-10 11:53:26,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已阻止
    
47. 
    
48. 触犯规则：Suspicious.ScriptHost.A
    
49. 操作类型：【执行】
    
50. 操作文件：C:\WINDOWS\System32\conhost.exe
    
51. 操作结果：已阻止
    
52. 
    
53. 进程ID：14448
    
54. 操作进程：C:\Windows\System32\cscript.exe
    
55. 操作进程命令行：cscript.exe
    
56. 父进程ID：15020
    
57. 父进程：C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
    
58. 父进程命令行："C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe" -StartByContractBatteryWidgetEnable
    
59. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
60. 
    
61. 【5】2022-08-10 11:53:21,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已阻止
    
62. 
    
63. 触犯规则：Suspicious.ScriptHost.A
    
64. 操作类型：【执行】
    
65. 操作文件：C:\WINDOWS\System32\conhost.exe
    
66. 操作结果：已阻止
    
67. 
    
68. 进程ID：21684
    
69. 操作进程：C:\Windows\System32\cscript.exe
    
70. 操作进程命令行：cscript.exe
    
71. 父进程ID：2140
    
72. 父进程：C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
    
73. 父进程命令行："C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe" -StartByContractBatteryWidgetEnable
    
74. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
75. 
    
76. 【6】2022-08-10 11:53:07,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已允许
    
77. 
    
78. 触犯规则：Suspicious.ScriptHost.A
    
79. 操作类型：【执行】
    
80. 操作文件：C:\WINDOWS\System32\conhost.exe
    
81. 操作结果：已允许
    
82. 
    
83. 进程ID：22120
    
84. 操作进程：C:\Windows\System32\cscript.exe
    
85. 操作进程命令行：cscript.exe
    
86. 父进程ID：21776
    
87. 父进程：C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
    
88. 父进程命令行："C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe" -StartByContractBatteryWidgetEnable
    
89. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
90. 
    
91. 【7】2022-08-10 11:50:21,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已阻止
    
92. 
    
93. 触犯规则：Suspicious.ScriptHost.A
    
94. 操作类型：【执行】
    
95. 操作文件：C:\WINDOWS\System32\conhost.exe
    
96. 操作结果：已阻止
    
97. 
    
98. 进程ID：18164
    
99. 操作进程：C:\Windows\System32\cscript.exe
    
100. 操作进程命令行：cscript.exe
     
101. 父进程ID：17988
     
102. 父进程：C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
     
103. 父进程命令行："C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe"
     
104. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
     
105. 
     

复制代码