楼主: Jerry.Lin
收起左侧

[分享] 火绒高级威胁防护规则

  [复制链接]
Jerry.Lin
 楼主| 发表于 2022-7-4 22:54:11 | 显示全部楼层
lvseqiji 发表于 2022-7-4 07:07
Windows11下如果把所有规则都打开好像会黑屏,不知道怎么回事

有没有日志
lvseqiji
发表于 2022-7-4 23:01:44 | 显示全部楼层

无了,我进安全模式把火绒卸载才进得去桌面
sun_443
发表于 2022-7-8 11:15:20 | 显示全部楼层
谢谢楼主共享。已经升级。
lvseqiji
发表于 2022-7-22 22:41:53 | 显示全部楼层

重现了一下,默认规则原来也会这样。。这条规则误报率非常高

触犯规则:Trojan.FakeSysProc.A
操作类型:【执行】
操作文件:C:\Windows\System32\svchost.exe
操作结果:已阻止

进程ID:1328
操作进程:C:\Windows\System32\services.exe
操作进程命令行:C:\WINDOWS\system32\services.exe
父进程ID:1256
父进程:C:\Windows\System32\wininit.exe
父进程命令行:wininit.exe
Jerry.Lin
 楼主| 发表于 2022-7-23 00:28:37 | 显示全部楼层
lvseqiji 发表于 2022-7-22 08:41
重现了一下,默认规则原来也会这样。。这条规则误报率非常高

触犯规则:Trojan.FakeSysProc.A

是不是没有导入自动处理规则?
lvseqiji
发表于 2022-7-23 00:33:04 | 显示全部楼层
Jerry.Lin 发表于 2022-7-23 00:28
是不是没有导入自动处理规则?

我靠,确实,我傻了
哀酱俏佳人
发表于 2022-7-31 23:15:30 | 显示全部楼层
下载支持,测试下防护
Kitanosan
发表于 2022-8-10 12:12:36 | 显示全部楼层
没想到规则回来了,可喜可贺。
刚测试了一下,该规则默认配置下会误报Lenovo Vantage的Battery Widget相关组件,谨附上从火绒导出的相关日志文件。
  1. 【1】2022-08-10 12:04:04,高级防护,自定义防护,regList.wsf触犯自定义防护规则, 已允许

  2. 触犯规则:Suspicious.ScriptHost.A
  3. 操作类型:【执行】
  4. 操作文件:C:\WINDOWS\System32\conhost.exe
  5. 操作结果:已允许

  6. 进程ID:11276
  7. 操作进程:C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\resources\app\node_modules\regedit\vbs\regList.wsf
  8. 操作进程命令行:cscript.exe //Nologo C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\resources\app\node_modules\regedit\vbs\regList.wsf A HKLM\Software\WOW6432Node\Lenovo\VantageService\FileLogger
  9. 父进程ID:18168
  10. 父进程:C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
  11. 父进程命令行:"C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe"
  12. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  13. 【2】2022-08-10 12:04:00,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已允许

  14. 触犯规则:Suspicious.ScriptHost.A
  15. 操作类型:【执行】
  16. 操作文件:C:\WINDOWS\System32\conhost.exe
  17. 操作结果:已允许

  18. 进程ID:15576
  19. 操作进程:C:\Windows\System32\cscript.exe
  20. 操作进程命令行:cscript.exe
  21. 父进程ID:18168
  22. 父进程:C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
  23. 父进程命令行:"C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe"
  24. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  25. 【3】2022-08-10 11:53:29,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已允许

  26. 触犯规则:Suspicious.ScriptHost.A
  27. 操作类型:【执行】
  28. 操作文件:C:\WINDOWS\System32\conhost.exe
  29. 操作结果:已允许

  30. 进程ID:20332
  31. 操作进程:C:\Windows\System32\cscript.exe
  32. 操作进程命令行:cscript.exe
  33. 父进程ID:13504
  34. 父进程:C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
  35. 父进程命令行:"C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe" -StartByContractBatteryWidgetEnable
  36. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  37. 【4】2022-08-10 11:53:26,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已阻止

  38. 触犯规则:Suspicious.ScriptHost.A
  39. 操作类型:【执行】
  40. 操作文件:C:\WINDOWS\System32\conhost.exe
  41. 操作结果:已阻止

  42. 进程ID:14448
  43. 操作进程:C:\Windows\System32\cscript.exe
  44. 操作进程命令行:cscript.exe
  45. 父进程ID:15020
  46. 父进程:C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
  47. 父进程命令行:"C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe" -StartByContractBatteryWidgetEnable
  48. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  49. 【5】2022-08-10 11:53:21,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已阻止

  50. 触犯规则:Suspicious.ScriptHost.A
  51. 操作类型:【执行】
  52. 操作文件:C:\WINDOWS\System32\conhost.exe
  53. 操作结果:已阻止

  54. 进程ID:21684
  55. 操作进程:C:\Windows\System32\cscript.exe
  56. 操作进程命令行:cscript.exe
  57. 父进程ID:2140
  58. 父进程:C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
  59. 父进程命令行:"C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe" -StartByContractBatteryWidgetEnable
  60. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  61. 【6】2022-08-10 11:53:07,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已允许

  62. 触犯规则:Suspicious.ScriptHost.A
  63. 操作类型:【执行】
  64. 操作文件:C:\WINDOWS\System32\conhost.exe
  65. 操作结果:已允许

  66. 进程ID:22120
  67. 操作进程:C:\Windows\System32\cscript.exe
  68. 操作进程命令行:cscript.exe
  69. 父进程ID:21776
  70. 父进程:C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
  71. 父进程命令行:"C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe" -StartByContractBatteryWidgetEnable
  72. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

  73. 【7】2022-08-10 11:50:21,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已阻止

  74. 触犯规则:Suspicious.ScriptHost.A
  75. 操作类型:【执行】
  76. 操作文件:C:\WINDOWS\System32\conhost.exe
  77. 操作结果:已阻止

  78. 进程ID:18164
  79. 操作进程:C:\Windows\System32\cscript.exe
  80. 操作进程命令行:cscript.exe
  81. 父进程ID:17988
  82. 父进程:C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe
  83. 父进程命令行:"C:\ProgramData\Lenovo\Vantage\Addins\BatteryWidgetAddin\1.0.0.75\BatteryWidgetHost\BatteryWidgetHost.exe"
  84. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

复制代码


PLlinkME
发表于 2022-8-16 19:50:02 | 显示全部楼层
谢谢大佬,这就导入
hbzhang
发表于 2022-8-17 14:22:22 | 显示全部楼层
谢谢,马上跟新,一直在用你的规则。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 22:39 , Processed in 0.129495 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表