火绒高级威胁防护规则

显示全部楼层 · 发表于 2023-8-14 12:44:41

cyrano1985 发表于 2023-8-13 14:09
试了下没用，EXCEL WORD POWERPOINT 这三个家伙只要是第一次开机或重启后运行就弹窗，有时WORD和EXCEL弹 ...

hello,
https://github.com/JerryLinLinLi ... artifacts/860202539
修改后的规则，麻烦测试一下（重新导入rule.json 和 auto.json）,看看问题解决了吗，解决了我就推正式release

显示全部楼层 · 发表于 2023-8-14 19:06:21

Jerry.Lin 发表于 2023-8-14 12:44
hello,
https://github.com/JerryLinLinLin/Huorong-ATP-Rules/suites/15064238806/artifacts/860202539 ...

点击去404 page not foud，能放个蓝奏盘或者其他网盘吗？

显示全部楼层 · 发表于 2023-8-14 19:17:14

Jerry.Lin 发表于 2023-8-14 12:44
hello,
https://github.com/JerryLinLinLin/Huorong-ATP-Rules/suites/15064238806/artifacts/860202539 ...

今天去公司试了下，OFFICE 2007、2010、2016，最后还装了2021，WORD\PPT\EXCEL打开还是会弹窗，等下载好您的最新规则再测试看看，刚点网址是404下载不成功。
日志如下：

【1】2023-08-14 12:55:22,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.A
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：3576
操作进程：C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2023-08-14 12:55:19,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.A
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：3576
操作进程：C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2023-08-14 12:55:10,高级防护,自定义防护,POWERPNT.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.C
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：9672
操作进程：C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2023-08-14 12:55:09,高级防护,自定义防护,POWERPNT.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.C
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：9672
操作进程：C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2023-08-14 12:54:52,高级防护,自定义防护,WINWORD.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.E
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：8240
操作进程：C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2023-08-14 12:54:51,高级防护,自定义防护,WINWORD.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.E
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：8240
操作进程：C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2023-08-14 12:51:47,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.A
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：4276
操作进程：C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【8】2023-08-14 12:51:38,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.A
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：4276
操作进程：C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【9】2023-08-14 12:51:13,高级防护,自定义防护,POWERPNT.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.C
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：5088
操作进程：C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【10】2023-08-14 12:51:05,高级防护,自定义防护,POWERPNT.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.C
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：5088
操作进程：C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\POWERPNT.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【11】2023-08-14 12:50:45,高级防护,自定义防护,WINWORD.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.E
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：8704
操作进程：C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【12】2023-08-14 12:50:33,高级防护,自定义防护,WINWORD.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.E
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：8704
操作进程：C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【13】2023-08-14 12:49:24,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.A
操作类型：【执行】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：5252
操作进程：C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE"
父进程ID：5112
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【14】2023-08-14 12:43:29,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 结束进程

触犯规则：Exploit.MSOffice.A
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作结果：结束进程

进程ID：10660
操作进程：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\EXCEL.EXE" /dde
父进程ID：8028
父进程：C:\Program Files\TotalCMD64\TotalCMD64.exe
父进程命令行："C:\Program Files\TotalCMD64\TotalCMD64.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【15】2023-08-14 12:16:51,病毒防护,病毒查杀,全盘扫描, 发现0个风险项目

病毒库时间：2023-08-13 16:19
开始时间：2023-08-14 12:15
总计用时：00:01:20
扫描对象：534985
扫描文件：536333
发现风险：0
已处理风险：0

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【21】2023-08-14 10:30:56,高级防护,自定义防护,WINWORD.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.E
操作类型：【修改】
操作文件：C:\Windows\Installer\{90160000-0011-0000-1000-0000000FF1CE}\wordicon.exe
操作结果：已阻止

进程ID：3876
操作进程：C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\WINWORD.EXE"
父进程ID：5504
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【22】2023-08-14 10:30:37,高级防护,自定义防护,WINWORD.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.E
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
操作结果：已阻止

进程ID：3876
操作进程：C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\WINWORD.EXE"
父进程ID：5504
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【23】2023-08-14 10:29:55,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.A
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作结果：已阻止

进程ID：9996
操作进程：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\EXCEL.EXE"
父进程ID：5504
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【34】2023-08-14 09:43:00,高级防护,自定义防护,POWERPNT.EXE触犯自定义防护规则, 结束进程

触犯规则：Exploit.MSOffice.C
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\POWERPNT.EXE
操作结果：结束进程

进程ID：7852
操作进程：C:\Program Files\Microsoft Office\Office16\POWERPNT.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\POWERPNT.EXE"
父进程ID：4888
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【35】2023-08-14 09:42:51,高级防护,自定义防护,WINWORD.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.E
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
操作结果：已阻止

进程ID：6064
操作进程：C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\WINWORD.EXE"
父进程ID：4888
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【36】2023-08-14 09:42:18,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.A
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作结果：已阻止

进程ID：1936
操作进程：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\EXCEL.EXE" /dde
父进程ID：8260
父进程：C:\Program Files\TotalCMD64\TotalCMD64.exe
父进程命令行："C:\Program Files\TotalCMD64\TotalCMD64.exe"
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

显示全部楼层 · 发表于 2023-8-14 19:21:09

cyrano1985 发表于 2023-8-14 19:17
今天去公司试了下，OFFICE 2007、2010、2016，最后还装了2021，WORD\PPT\EXCEL打开还是会弹窗，等下载好 ...

帮你下载了，见附件

显示全部楼层 · 发表于 2023-8-14 21:18:33

Frank404 发表于 2023-8-14 19:21
帮你下载了，见附件

非常感谢，去测试下。

显示全部楼层 · 发表于 2023-8-14 21:34:14

Jerry.Lin 发表于 2023-8-14 12:44
hello,
https://github.com/JerryLinLinLin/Huorong-ATP-Rules/suites/15064238806/artifacts/860202539 ...

还是不行，三个都会弹窗。

【1】2023-08-14 21:32:48,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 结束进程

触犯规则：Exploit.MSOffice.A
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作结果：结束进程

进程ID：9308
操作进程：C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\EXCEL.EXE"
父进程ID：6060
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2023-08-14 21:32:43,高级防护,自定义防护,POWERPNT.EXE触犯自定义防护规则, 结束进程

触犯规则：Exploit.MSOffice.C
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\POWERPNT.EXE
操作结果：结束进程

进程ID：6232
操作进程：C:\Program Files\Microsoft Office\Office16\POWERPNT.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\POWERPNT.EXE"
父进程ID：6060
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2023-08-14 21:32:37,高级防护,自定义防护,WINWORD.EXE触犯自定义防护规则, 结束进程

触犯规则：Exploit.MSOffice.E
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
操作结果：结束进程

进程ID：1564
操作进程：C:\Program Files\Microsoft Office\Office16\WINWORD.EXE
操作进程命令行："C:\Program Files\Microsoft Office\Office16\WINWORD.EXE"
父进程ID：6060
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

显示全部楼层 · 发表于 2023-8-14 23:34:04

cyrano1985 发表于 2023-8-14 07:34
还是不行，三个都会弹窗。

【1】2023-08-14 21:32:48,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规 ...

不好意思，之前的有点小问题
可以请你试试这个么，我再改了一下
https://github.com/JerryLinLinLi ... artifacts/861336820

显示全部楼层 · 发表于 2023-8-14 23:57:23

Jerry.Lin 发表于 2023-8-14 23:34
不好意思，之前的有点小问题
可以请你试试这个么，我再改了一下
https://github.com/JerryLinLinLin/Hu ...

下载不了。。是要登陆才能下的？

显示全部楼层 · 发表于 2023-8-15 00:01:02

cyrano1985 发表于 2023-8-14 09:57
下载不了。。是要登陆才能下的？

显示全部楼层 · 发表于 2023-8-15 00:53:27

Jerry.Lin 发表于 2023-8-15 00:01

office 2016不弹了，2021还是弹窗。

【1】2023-08-15 00:50:43,高级防护,自定义防护,WINWORD.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.E
操作类型：【修改】
操作文件：C:\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonX64\Microsoft Shared\OFFICE16\ai.exe
操作结果：已阻止

进程ID：1576
操作进程：C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE"
父进程ID：4480
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2023-08-15 00:48:22,病毒防护,病毒查杀,全盘扫描, 发现0个风险项目

病毒库时间：2023-08-14 18:53
开始时间：2023-08-15 00:32
总计用时：00:16:09
扫描对象：661382
扫描文件：660815
发现风险：0
已处理风险：0

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2023-08-15 00:31:48,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.A
操作类型：【修改】
操作文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
操作结果：已阻止

进程ID：6992
操作进程：C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE"
父进程ID：6264
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2023-08-15 00:31:38,高级防护,自定义防护,EXCEL.EXE触犯自定义防护规则, 已阻止

触犯规则：Exploit.MSOffice.A
操作类型：【修改】
操作文件：C:\Windows\System32\systray.exe
操作结果：已阻止

进程ID：6992
操作进程：C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
操作进程命令行："C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE"
父进程ID：6264
父进程：C:\Windows\explorer.exe
父进程命令行：C:\Windows\Explorer.EXE
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

[分享] 火绒高级威胁防护规则

本帖子中包含更多资源

本帖子中包含更多资源