火绒高级威胁防护规则

显示全部楼层 · 发表于 2022-8-16 19:50:02

谢谢大佬，这就导入

显示全部楼层 · 发表于 2022-8-17 14:22:22

谢谢，马上跟新，一直在用你的规则。

显示全部楼层 · 发表于 2022-8-21 11:36:11

再反馈一个误报，笔记本在插拔电源时会误触发 Suspicious.AppCertDLLs.A 规则。

【1】2022-08-21 11:33:13,高级防护,自定义防护,System触犯自定义防护规则, 已允许
触犯规则：Suspicious.AppCertDLLs.A
操作类型：【修改】
操作文件：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Power\SystemPowerPolicy
操作结果：已允许
进程ID：4
操作进程：System
父进程ID：0
父进程：Idle
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【2】2022-08-21 11:33:13,高级防护,自定义防护,System触犯自定义防护规则, 已允许
触犯规则：Suspicious.AppCertDLLs.A
操作类型：【修改】
操作文件：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Power\SystemPowerPolicy
操作结果：已允许
进程ID：4
操作进程：System
父进程ID：0
父进程：Idle
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【3】2022-08-21 11:33:12,高级防护,自定义防护,System触犯自定义防护规则, 已允许
触犯规则：Suspicious.AppCertDLLs.A
操作类型：【修改】
操作文件：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Power\SystemPowerPolicy
操作结果：已允许
进程ID：4
操作进程：System
父进程ID：0
父进程：Idle
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【4】2022-08-21 11:33:12,高级防护,自定义防护,System触犯自定义防护规则, 已允许
触犯规则：Suspicious.AppCertDLLs.A
操作类型：【修改】
操作文件：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Power\SystemPowerPolicy
操作结果：已允许
进程ID：4
操作进程：System
父进程ID：0
父进程：Idle
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【5】2022-08-21 11:32:58,高级防护,自定义防护,System触犯自定义防护规则, 已允许
触犯规则：Suspicious.AppCertDLLs.A
操作类型：【修改】
操作文件：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Power\SystemPowerPolicy
操作结果：已允许
进程ID：4
操作进程：System
父进程ID：0
父进程：Idle
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【6】2022-08-21 11:32:58,高级防护,自定义防护,System触犯自定义防护规则, 已允许
触犯规则：Suspicious.AppCertDLLs.A
操作类型：【修改】
操作文件：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Power\SystemPowerPolicy
操作结果：已允许
进程ID：4
操作进程：System
父进程ID：0
父进程：Idle
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【7】2022-08-21 11:32:57,高级防护,自定义防护,System触犯自定义防护规则, 已允许
触犯规则：Suspicious.AppCertDLLs.A
操作类型：【修改】
操作文件：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Power\SystemPowerPolicy
操作结果：已允许
进程ID：4
操作进程：System
父进程ID：0
父进程：Idle
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【8】2022-08-21 11:32:57,高级防护,自定义防护,System触犯自定义防护规则, 已允许
触犯规则：Suspicious.AppCertDLLs.A
操作类型：【修改】
操作文件：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Power\SystemPowerPolicy
操作结果：已允许
进程ID：4
操作进程：System
父进程ID：0
父进程：Idle
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

复制代码

显示全部楼层 · 发表于 2022-8-21 15:14:17

支持一下啊

显示全部楼层 · 发表于 2022-8-22 10:48:22

装个雷电模拟器就会弹出拦截注册表什么的

显示全部楼层 · 发表于 2022-9-3 08:44:20

昨天换了这个规则，这个每次开机都有提示

触犯规则：Suspicious.AppCertDLLs.A
操作类型：【修改】
操作文件：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SESSION MANAGER\MEMORY MANAGEMENT\PrefetchParameters\EnableBootTrace
操作结果：已阻止

进程ID：980
操作进程：C:\Windows\System32\svchost.exe
操作进程命令行：C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
父进程ID：548
父进程：C:\Windows\System32\services.exe
父进程命令行：C:\Windows\system32\services.exe

显示全部楼层 · 发表于 2022-9-5 05:33:04

感谢分享，导入使用一下

显示全部楼层 · 发表于 2022-9-7 13:02:11

Kitanosan 发表于 2022-8-9 22:12
没想到规则回来了，可喜可贺。
刚测试了一下，该规则默认配置下会误报Lenovo Vantage的Battery Widget相关 ...

这个可能需要手动加下排除

显示全部楼层 · 发表于 2022-9-7 13:03:16

jeremy0714 发表于 2022-9-2 18:44
昨天换了这个规则，这个每次开机都有提示

感谢反馈，此问题已在v0.1.8修复。

@Kitanosan

显示全部楼层 · 发表于 2022-9-9 17:44:40

感谢大佬分享

[分享] 火绒高级威胁防护规则

评分