火绒高级威胁防护规则

显示全部楼层 · 发表于 2023-5-25 15:31:58

收藏了，谢谢分享

显示全部楼层 · 发表于 2023-5-25 16:47:48

多谢，谢谢分享。

显示全部楼层 · 发表于 2023-6-16 20:54:53

为什么我这里点开主楼的三个Github地址全部显示未连接到互联网找不到网页？

显示全部楼层 · 发表于 2023-6-25 23:34:28

规则更新了吗？

显示全部楼层 · 发表于 2023-6-29 09:56:01

感谢分享，学习了！

显示全部楼层 · 发表于 2023-7-10 21:33:35

本帖最后由 tg123321 于 2023-7-10 21:34 编辑

2手玫瑰.Rec 发表于 2023-6-16 20:54
为什么我这里点开主楼的三个Github地址全部显示未连接到互联网找不到网页？

因为需要特殊的方法才能打开网站

1304楼可以直接下载

显示全部楼层 · 发表于 2023-7-13 12:57:44

tg123321 发表于 2023-7-10 21:33
因为需要特殊的方法才能打开网站1304楼可以直接下载

了解了解，感谢。

显示全部楼层 · 发表于 2023-8-11 09:14:12

感谢分享

显示全部楼层 · 发表于 2023-8-12 23:30:06

大佬帮看一下，用了最新v0.1.10规则，不管是从我的电脑进去打开文件，或者从TOTAL COMMANDER里打开文件，只要一开WORD、EXCEL、POWERPOINT的文件就弹窗提示，从开始菜单直接进WORD、EXCEL、POWERPOINT这三个软件时也会弹窗，这个是正常的吗？

【1】2023-08-12 23:21:52,高级防护,自定义防护,WINWORD.EXE触犯自定义防护规则, 结束进程

触犯规则：Exploit.MSOffice.E
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
操作结果：结束进程

进程ID：9696
操作进程：C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\WINWORD.EXE" /n "F:\ ROCO\产品知识\产品知识.docx" /o ""
父进程ID：8176
父进程：C:\Program Files\TotalCMD64\TotalCMD64.exe
父进程命令行："C:\Program Files\TotalCMD64\TotalCMD64.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2023-08-12 23:21:40,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 结束进程

触犯规则：Exploit.MSOffice.A
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作结果：结束进程

进程ID：9524
操作进程：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\EXCEL.EXE" /dde
父进程ID：8176
父进程：C:\Program Files\TotalCMD64\TotalCMD64.exe
父进程命令行："C:\Program Files\TotalCMD64\TotalCMD64.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2023-08-12 23:09:49,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 已允许

触犯规则：Exploit.MSOffice.A
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作结果：已允许

进程ID：8180
操作进程：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\EXCEL.EXE" /dde
父进程ID：3836
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【10】2023-08-12 22:20:11,高级防护,自定义防护,POWERPNT.EXE触犯自定义防护规则, 结束进程

触犯规则：Exploit.MSOffice.C
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\POWERPNT.EXE
操作结果：结束进程

进程ID：2488
操作进程：C:\Program Files\Microsoft Office\Office16\POWERPNT.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\POWERPNT.EXE" "F:\方案PPT.pptx" /ou ""
父进程ID：9292
父进程：C:\Program Files\TotalCMD64\TotalCMD64.exe
父进程命令行："C:\Program Files\TotalCMD64\TotalCMD64.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

显示全部楼层 · 发表于 2023-8-13 08:15:49

cyrano1985 发表于 2023-8-12 09:30
大佬帮看一下，用了最新v0.1.10规则，不管是从我的电脑进去打开文件，或者从TOTAL COMMANDER里打开文件，只 ...

Hello

不正常，为什么打开word,excel会修改exe文件？请问 MSoffice 是在更新吗？如果不是，考虑是不是中了蠕虫病毒，正在感染exe。建议用第三方扫描器扫一下

[分享] 火绒高级威胁防护规则

本帖子中包含更多资源