火绒高级威胁防护规则

显示全部楼层 · 发表于 2023-8-14 00:22:53

cyrano1985 发表于 2023-8-13 09:40
火绒全盘、卡巴PLUS全盘扫了一遍，没发现啥异常；HitmanPro如图，看了下好像也都是正在用的软件，报威胁 ...

神奇，没遇到过这种情况

显示全部楼层 · 发表于 2023-8-14 00:41:14

Jerry.Lin 发表于 2023-8-14 00:22
神奇，没遇到过这种情况

现在换了几个杀软来扫，这几个杀毒扫完了也没啥算是没啥问题了吗？
会不会是OFFICE这个自动检查程序默认的选项导致的，我WORD EXCEL PPT这个选项都开了，他们变成非默认程序后要改回默认打开程序的情况下会不会触发规则？还有我公司新装系统的电脑装了v0.1.10规则打开PPT,EXCEL文件也会触发规则弹窗，不懂啥情况，难道就是PPT，EXCEL文件感染了？

还有这个弹窗好像就弹一次，我没有勾选记住本次操作，直接结束进程，或者右上的小X，再开一次文件好像就不弹了。除非把规则全删掉全启电脑再添加一次规则才能复现。

显示全部楼层 · 发表于 2023-8-14 02:26:23

cyrano1985 发表于 2023-8-13 10:41
现在换了几个杀软来扫，这几个杀毒扫完了也没啥算是没啥问题了吗？
会不会是OFFICE这个自动检查程序默认 ...

那你把自动检查程序默认的选项去掉，还会出现弹窗吗

显示全部楼层 · 发表于 2023-8-14 04:09:18

Jerry.Lin 发表于 2023-8-14 02:26
那你把自动检查程序默认的选项去掉，还会出现弹窗吗

试了下没用，EXCEL WORD POWERPOINT 这三个家伙只要是第一次开机或重启后运行就弹窗，有时WORD和EXCEL弹窗，POWERPOINT不弹窗，有时又换另两个弹窗，WORD不弹。。。点允许或阻止后程序正常启动，然后只要不重启就再也不会弹窗了。重启后又开始弹，除非选记住选项允许或阻止才不弹。

用的是Office Professional Plus 2016，装好就没有更新过。不懂是啥问题，杀毒也没扫出啥蠕虫之类的病毒，也没发现机子有中毒的迹象。

显示全部楼层 · 发表于 2023-8-14 04:33:58

cyrano1985 发表于 2023-8-13 14:09
试了下没用，EXCEL WORD POWERPOINT 这三个家伙只要是第一次开机或重启后运行就弹窗，有时WORD和EXCEL弹 ...

我怀疑是火绒最近更新改了一些东东，把一些操作也纳入到修改的范畴

这个我等等看别人有没有反馈相同问题，有的话就更新下规则

显示全部楼层 · 发表于 2023-8-14 11:29:56

火绒自定义规则逻辑有变化
https://bbs.huorong.cn/thread-130211-1-2.html

显示全部楼层 · 发表于 2023-8-14 12:44:41

cyrano1985 发表于 2023-8-13 14:09
试了下没用，EXCEL WORD POWERPOINT 这三个家伙只要是第一次开机或重启后运行就弹窗，有时WORD和EXCEL弹 ...

hello,
https://github.com/JerryLinLinLi ... artifacts/860202539
修改后的规则，麻烦测试一下（重新导入rule.json 和 auto.json）,看看问题解决了吗，解决了我就推正式release

显示全部楼层 · 发表于 2023-8-14 19:06:21

Jerry.Lin 发表于 2023-8-14 12:44
hello,
https://github.com/JerryLinLinLin/Huorong-ATP-Rules/suites/15064238806/artifacts/860202539 ...

点击去404 page not foud，能放个蓝奏盘或者其他网盘吗？

显示全部楼层 · 发表于 2023-8-14 19:17:14

Jerry.Lin 发表于 2023-8-14 12:44
hello,
https://github.com/JerryLinLinLin/Huorong-ATP-Rules/suites/15064238806/artifacts/860202539 ...

今天去公司试了下，OFFICE 2007、2010、2016，最后还装了2021，WORD\PPT\EXCEL打开还是会弹窗，等下载好您的最新规则再测试看看，刚点网址是404下载不成功。
日志如下：

【1】2023-08-14 12:55:22,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.A
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：3576
操作进程：C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2023-08-14 12:55:19,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.A
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：3576
操作进程：C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2023-08-14 12:55:10,高级防护,自定义防护,POWERPNT.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.C
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：9672
操作进程：C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2023-08-14 12:55:09,高级防护,自定义防护,POWERPNT.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.C
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：9672
操作进程：C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2023-08-14 12:54:52,高级防护,自定义防护,WINWORD.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.E
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：8240
操作进程：C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2023-08-14 12:54:51,高级防护,自定义防护,WINWORD.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.E
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：8240
操作进程：C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2023-08-14 12:51:47,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.A
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：4276
操作进程：C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2023-08-14 12:51:38,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.A
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：4276
操作进程：C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【9】2023-08-14 12:51:13,高级防护,自定义防护,POWERPNT.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.C
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：5088
操作进程：C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【10】2023-08-14 12:51:05,高级防护,自定义防护,POWERPNT.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.C
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：5088
操作进程：C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【11】2023-08-14 12:50:45,高级防护,自定义防护,WINWORD.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.E
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：8704
操作进程：C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【12】2023-08-14 12:50:33,高级防护,自定义防护,WINWORD.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.E
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：8704
操作进程：C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【13】2023-08-14 12:49:24,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.A
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：5252
操作进程：C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【14】2023-08-14 12:43:29,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 结束进程

触犯规则：Exploit.MSOffice.A
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作结果：结束进程

进程ID：10660
操作进程：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\EXCEL.EXE" /dde
父进程ID：8028
父进程：C:\Program Files\TotalCMD64\TotalCMD64.exe
父进程命令行："C:\Program Files\TotalCMD64\TotalCMD64.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【15】2023-08-14 12:16:51,病毒防护,病毒查杀,全盘扫描, 发现0个风险项目

病毒库时间：2023-08-13 16:19
开始时间：2023-08-14 12:15
总计用时：00:01:20
扫描对象：534985
扫描文件：536333
发现风险：0
已处理风险：0

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【21】2023-08-14 10:30:56,高级防护,自定义防护,WINWORD.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.E
操作类型：【修改】
操作文件：C:\Windows\Installer\{90160000-0011-0000-1000-0000000FF1CE}\wordicon.exe
操作结果：已阻止

进程ID：3876
操作进程：C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\WINWORD.EXE"
父进程ID：5504
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【22】2023-08-14 10:30:37,高级防护,自定义防护,WINWORD.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.E
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
操作结果：已阻止

进程ID：3876
操作进程：C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\WINWORD.EXE"
父进程ID：5504
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【23】2023-08-14 10:29:55,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.A
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作结果：已阻止

进程ID：9996
操作进程：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\EXCEL.EXE"
父进程ID：5504
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【34】2023-08-14 09:43:00,高级防护,自定义防护,POWERPNT.EXE触犯自定义防护规则, 结束进程

触犯规则：Exploit.MSOffice.C
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\POWERPNT.EXE
操作结果：结束进程

进程ID：7852
操作进程：C:\Program Files\Microsoft Office\Office16\POWERPNT.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\POWERPNT.EXE"
父进程ID：4888
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【35】2023-08-14 09:42:51,高级防护,自定义防护,WINWORD.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.E
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
操作结果：已阻止

进程ID：6064
操作进程：C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\WINWORD.EXE"
父进程ID：4888
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【36】2023-08-14 09:42:18,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.A
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作结果：已阻止

进程ID：1936
操作进程：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\EXCEL.EXE" /dde
父进程ID：8260
父进程：C:\Program Files\TotalCMD64\TotalCMD64.exe
父进程命令行："C:\Program Files\TotalCMD64\TotalCMD64.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

显示全部楼层 · 发表于 2023-8-14 19:21:09

cyrano1985 发表于 2023-8-14 19:17
今天去公司试了下，OFFICE 2007、2010、2016，最后还装了2021，WORD\PPT\EXCEL打开还是会弹窗，等下载好 ...

帮你下载了，见附件

[分享] 火绒高级威胁防护规则

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源