火绒高级威胁防护规则

显示全部楼层 · 发表于 2023-2-15 01:34:13

闻雷发表于 2023-2-14 06:43
Auto.json 这个规则里，Edge 下是不是多了个 Firefox 的内容？导入后，也确实多了一条。

哦是的，如果介意可以删掉下，后续作修正

显示全部楼层 · 发表于 2023-2-15 09:04:15

本帖最后由闻雷于 2023-2-15 09:06 编辑

Jerry.Lin 发表于 2023-2-15 01:34
哦是的，如果介意可以删掉下，后续作修正

感谢回复，顺便请教一下，不少人都是用 Chrome++配合Chrome离线包来组装便携版使用，我也是如此。

路径配置如下图1，那我自动处理里关于Chrome的规则修改为图2所示就行了吧？

显示全部楼层 · 发表于 2023-2-15 09:28:52

闻雷发表于 2023-2-14 19:04
感谢回复，顺便请教一下，不少人都是用 Chrome++配合Chrome离线包来组装便携版使用，我也是如此。

路 ...

对的。

显示全部楼层 · 发表于 2023-3-4 15:47:53

楼主能帮忙看下这是不是误拦么？玩永劫无间时拦截的 2023-03-04 15:22:41,高级防护,自定义防护,cscript.exe触犯自定义防护规则, 已阻止

触犯规则：Suspicious.ScriptHost.A
操作类型：【执行】
操作文件：C:\Windows\System32\conhost.exe
操作结果：已阻止

进程ID：10772
操作进程：C:\Windows\System32\cscript.exe
操作进程命令行：cscript.exe
父进程ID：11412
父进程：C:\Naraka\tool\LootHoarder.exe
父进程命令行："C:\Naraka\tool\LootHoarder.exe"

显示全部楼层 · 发表于 2023-3-5 01:49:55

cyclejp 发表于 2023-3-4 01:47
楼主能帮忙看下这是不是误拦么？玩永劫无间时拦截的 2023-03-04 15:22:41,高级防护,自定义防护,cscript.e ...

应该是误拦，可以手动加下排除

显示全部楼层 · 发表于 2023-3-20 11:36:45

还是版主的规则安静啊

显示全部楼层 · 发表于 2023-3-24 10:17:22

WPS从网盘上下载东西被阻止了，怎么办？

显示全部楼层 · 发表于 2023-3-24 10:18:51

触犯规则：[结束]勒索行为防护.A.00
操作类型：【创建】
操作文件：C:\Users\Boriswen\Documents\WPS Cloud Files\.307361598\cachedata\C2A5BA6FD0204928A3A6DA2E71297C08\第1单-T系列UDAKR投产单2023.03.22(3)的副本.xls.kdtmp
操作结果：已阻止

进程ID：14112
操作进程：D:\Users\Boriswen\AppData\Local\Kingsoft\WPS Office\11.1.0.13703\office6\wpscloudsvr.exe
操作进程命令行："D:\Users\Boriswen\AppData\Local\Kingsoft\WPS Office\11.1.0.13703\office6\wpscloudsvr.exe" /qingbangong /start_from=kstartpage silentautologin
父进程ID：2908
父进程：D:\Users\Boriswen\AppData\Local\Kingsoft\WPS Office\11.1.0.13703\office6\wps.exe
父进程命令行："D:\Users\Boriswen\AppData\Local\Kingsoft\WPS Office\11.1.0.13703\office6\wps.exe" /prometheus /fromksolaunch /from=startmenu

显示全部楼层 · 发表于 2023-3-27 17:39:57

触犯规则：Suspicious.PowerShell.A
操作类型：【执行】
操作文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
操作结果：已允许
进程ID：11036
操作进程：C:\Windows\System32\cmd.exe
操作进程命令行：C:\WINDOWS\system32\cmd.exe /d /s /c "chcp 65001|powershell -command "chcp 65001|Out-Null;Add-Type -AssemblyName PresentationCore;$families=[Windows.Media.Fonts]::SystemFontFamilies;foreach($family in $families){$name='';if(!$family.FamilyNames.TryGetValue([Windows.Markup.XmlLanguage]::GetLanguage('zh-cn'),[ref]$name)){$name=$family.FamilyNames[[Windows.Markup.XmlLanguage]::GetLanguage('en-us')]}echo $name}""
父进程ID：14668
父进程：D:\Program Files\lx-music-desktop\lx-music-desktop.exe
父进程命令行："D:\Program Files\lx-music-desktop\lx-music-desktop.exe"

复制代码

https://github.com/lyswhut/lx-music-desktop

显示全部楼层 · 发表于 2023-3-27 23:26:18

YorkWaugh 发表于 2023-3-27 03:39
https://github.com/lyswhut/lx-music-desktop

cmd->ps->query info

手动加下排除

我在考虑要不要删除cmd->ps的规则，虽然不是很经常但是也有少部分软件会这么用，然后火绒又没办法匹配命令行

[分享] 火绒高级威胁防护规则

本帖子中包含更多资源