火绒高级威胁防护规则

wuhao1314

感谢分享，学习了！

tg123321

2手玫瑰.Rec 发表于 2023-6-16 20:54
为什么我这里点开主楼的三个Github地址全部显示未连接到互联网找不到网页？

因为需要特殊的方法才能打开网站1304楼可以直接下载

2手玫瑰.Rec

tg123321 发表于 2023-7-10 21:33
因为需要特殊的方法才能打开网站1304楼可以直接下载

了解了解，感谢。

senseiwant

感谢分享

cyrano1985

大佬帮看一下，用了最新v0.1.10规则，不管是从我的电脑进去打开文件，或者从TOTAL COMMANDER里打开文件，只要一开WORD、EXCEL、POWERPOINT的文件就弹窗提示，从开始菜单直接进WORD、EXCEL、POWERPOINT这三个软件时也会弹窗，这个是正常的吗？

【1】2023-08-12 23:21:52,高级防护,自定义防护,WINWORD.EXE触犯自定义防护规则, 结束进程

触犯规则：Exploit.MSOffice.E
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
操作结果：结束进程

进程ID：9696
操作进程：C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\WINWORD.EXE" /n "F:\ ROCO\产品知识\产品知识.docx" /o ""
父进程ID：8176
父进程：C:\Program Files\TotalCMD64\TotalCMD64.exe
父进程命令行："C:\Program Files\TotalCMD64\TotalCMD64.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2023-08-12 23:21:40,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 结束进程

触犯规则：Exploit.MSOffice.A
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作结果：结束进程

进程ID：9524
操作进程：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\EXCEL.EXE" /dde
父进程ID：8176
父进程：C:\Program Files\TotalCMD64\TotalCMD64.exe
父进程命令行："C:\Program Files\TotalCMD64\TotalCMD64.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2023-08-12 23:09:49,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 已允许

触犯规则：Exploit.MSOffice.A
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作结果：已允许

进程ID：8180
操作进程：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\EXCEL.EXE" /dde
父进程ID：3836
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【10】2023-08-12 22:20:11,高级防护,自定义防护,POWERPNT.EXE触犯自定义防护规则, 结束进程

触犯规则：Exploit.MSOffice.C
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\POWERPNT.EXE
操作结果：结束进程

进程ID：2488
操作进程：C:\Program Files\Microsoft Office\Office16\POWERPNT.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\POWERPNT.EXE" "F:\方案PPT.pptx" /ou ""
父进程ID：9292
父进程：C:\Program Files\TotalCMD64\TotalCMD64.exe
父进程命令行："C:\Program Files\TotalCMD64\TotalCMD64.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Jerry.Lin

cyrano1985 发表于 2023-8-12 09:30
大佬帮看一下，用了最新v0.1.10规则，不管是从我的电脑进去打开文件，或者从TOTAL COMMANDER里打开文件，只 ...

Hello

不正常，为什么打开word,excel会修改exe文件？请问 MSoffice 是在更新吗？如果不是，考虑是不是中了蠕虫病毒，正在感染exe。建议用第三方扫描器扫一下

cyrano1985

Jerry.Lin 发表于 2023-8-13 08:15
Hello

不正常，为什么打开word,excel会修改exe文件？请问 MSoffice 是在更新吗？如果不是，考虑是不是 ...

用哪种可以描出来，卡巴可以嘛？

Jerry.Lin

cyrano1985 发表于 2023-8-13 07:17
用哪种可以描出来，卡巴可以嘛？

可以试一试

https://bbs.kafan.cn/thread-2165108-1-1.html

东风汽车

Jerry.Lin 发表于 2023-8-13 23:20
可以试一试

https://bbs.kafan.cn/thread-2165108-1-1.html

刚刚了解到
TDSSKiller寿终正寝，已经离开了我们。
希望KART可以好好继承前辈的财产  在-freboot命令行之后继续发光发热

cyrano1985

Jerry.Lin 发表于 2023-8-13 23:20
可以试一试

https://bbs.kafan.cn/thread-2165108-1-1.html

火绒全盘、卡巴PLUS全盘扫了一遍，没发现啥异常；HitmanPro如图，看了下好像也都是正在用的软件，报威胁的还是火绒组件。