火绒高级威胁防护规则

显示全部楼层 · 发表于 2022-12-4 02:48:23

Frank404 发表于 2022-12-3 06:03
大佬您好，请问这个是手动排除一下就可以了吗

这个是什么计划任务触发的？

显示全部楼层 · 发表于 2022-12-4 11:33:08

Jerry.Lin 发表于 2022-12-4 02:48
这个是什么计划任务触发的？

请问一下这个要怎么去找，在网上搜了一下没搞懂要怎么看是什么计划任务触发的，请大佬赐教

显示全部楼层 · 发表于 2022-12-5 18:52:50

大佬 WPS这个自动上传会报欸有办法可以解决不？

【1】2022-12-05 18:49:32,高级防护,自定义防护,wpscloudsvr.exe触犯自定义防护规则, 已允许

触犯规则：Ransom.DoubleExt.A
操作类型：【创建】
操作文件：E:\File\WPS Cloud Files\1\.291513134\cachedata\599EB8CA03704FD49DB282138A1F7F64\写作思路.docx.qingtmp
操作结果：已允许

进程ID：5264
操作进程：D:\LenovoSoftstore\WPS Office\WPS Office\11.1.0.12763\office6\wpscloudsvr.exe
操作进程命令行："D:\LenovoSoftstore\WPS Office\WPS Office\11.1.0.12763\office6\wpscloudsvr.exe" /qingbangong /start_from=qingipc autologin
父进程ID：5112

显示全部楼层 · 发表于 2022-12-6 05:53:04

zpy0206 发表于 2022-12-5 04:52
大佬 WPS这个自动上传会报欸有办法可以解决不？

【1】2022-12-05 18:49:32,高级防护,自定义防护, ...

如果WPS是装在默认路径不会有这个问题，装在别的地方就只能自己手动加排除

显示全部楼层 · 发表于 2022-12-11 09:44:05

触犯规则：Suspicious.PowerShell.A
操作类型：【执行】
操作文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
操作结果：已允许
进程ID：7512
操作进程：C:\Windows\System32\cmd.exe
操作进程命令行：C:\Windows\system32\cmd.exe /d /s /c "PowerShell -Command "$processesWithTypes = Get-WmiObject Win32_Process | Where-Object {$_.Name -like 'Fiddler Everywhere*'} | Select-Object -Property ProcessId, @{Name='Type'; Expression={If ($_.CommandLine -Match '--type=(\S+)') {$Matches[1]} Else {'browser'}}};Get-WmiObject Win32_PerfFormattedData_PerfProc_Process | Where-Object {$_.Name -like 'Fiddler*'} | Select-Object -Property @{Name='type'; Expression={$id = $_.IDProcess; ($processesWithTypes | Where-Object {$_.ProcessId -eq $id}).Type}}, @{Name='processName'; Expression={$_.Name}}, @{Name='pid'; Expression={$_.IDProcess}}, @{Name='cpuUsage'; Expression={$_.PercentProcessorTime}}, @{Name='memoryUsage'; Expression={$_.WorkingSet / 1MB}} | ConvertTo-Json""
父进程ID：14264
父进程：D:\Program Files\Fiddler Everywhere\Fiddler Everywhere.exe
父进程命令行："D:\Program Files\Fiddler Everywhere\Fiddler Everywhere.exe"

复制代码

触犯规则：Suspicious.PowerShell.A
操作类型：【执行】
操作文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
操作结果：已允许
进程ID：1536
操作进程：C:\Windows\System32\cmd.exe
操作进程命令行：C:\Windows\system32\cmd.exe /d /s /c "PowerShell -Command "$processesWithTypes = Get-WmiObject Win32_Process | Where-Object {$_.Name -like 'Fiddler Everywhere*'} | Select-Object -Property ProcessId, @{Name='Type'; Expression={If ($_.CommandLine -Match '--type=(\S+)') {$Matches[1]} Else {'browser'}}};Get-WmiObject Win32_PerfFormattedData_PerfProc_Process | Where-Object {$_.Name -like 'Fiddler*'} | Select-Object -Property @{Name='type'; Expression={$id = $_.IDProcess; ($processesWithTypes | Where-Object {$_.ProcessId -eq $id}).Type}}, @{Name='processName'; Expression={$_.Name}}, @{Name='pid'; Expression={$_.IDProcess}}, @{Name='cpuUsage'; Expression={$_.PercentProcessorTime}}, @{Name='memoryUsage'; Expression={$_.WorkingSet / 1MB}} | ConvertTo-Json""
父进程ID：14264
父进程：D:\Program Files\Fiddler Everywhere\Fiddler Everywhere.exe
父进程命令行："D:\Program Files\Fiddler Everywhere\Fiddler Everywhere.exe"

复制代码

显示全部楼层 · 发表于 2022-12-15 16:07:41

挺好的要赞一个

显示全部楼层 · 发表于 2022-12-17 01:47:23

谢谢大佬，这就导入

显示全部楼层 · 发表于 2023-1-31 09:40:46

YorkWaugh 发表于 2022-12-10 19:44

PowerShell is evil

显示全部楼层 · 发表于 2023-2-1 14:17:16

还是这个规则最好，安静

显示全部楼层 · 发表于 2023-2-14 20:43:39

Auto.json 这个规则里，Edge 下是不是多了个 Firefox 的内容？导入后，也确实多了一条。

[分享] 火绒高级威胁防护规则

评分

本帖子中包含更多资源

浏览过的版块