楼主: 柯林
收起左侧

[其他相关] (终结)小白规则【7月15日更新】【智能防御“全系列”】

  [复制链接]
山鹰
发表于 2021-6-15 08:41:06 | 显示全部楼层
柯林 发表于 2021-6-15 08:25
规则是在64位win8.1上制作的,64位win10上也用过,也是适用的,按道理win7也应该是一样的
你有没有导入 ...

好的,谢谢了
wubaocan
发表于 2021-6-21 11:10:25 | 显示全部楼层
劳烦柯大解答!!!
强力-平和版:有时开机是桌面无法正常启动(类似进入安全模式一样)。长时间关机后,打开电脑会出现这种情况,立刻再次重启后恢复正常。
2021/6/21        10:57:34        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\Administrator\NTUSER.DAT        用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件        已阻止的操作: 写入
2021/6/21        10:57:34        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\Default\NTUSER.DAT        用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件        已阻止的操作: 读取
2021/6/21        10:57:34        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\Default\ntuser.ini        用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件        已阻止的操作: 读取
2021/6/21        10:57:34        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\Default\ntuser.pol        用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件        已阻止的操作: 读取
2021/6/21        10:57:34        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\Default\Videos\desktop.ini        用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件        已阻止的操作: 读取
2021/6/21        10:57:34        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\Default\Music\desktop.ini        用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件        已阻止的操作: 读取
2021/6/21        10:57:34        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\Default\Videos\desktop.ini        用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件        已阻止的操作: 读取
2021/6/21        10:57:34        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\Default\Music\desktop.ini        用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件        已阻止的操作: 读取
2021/6/21        10:57:34        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\Default\Pictures\desktop.ini        用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件        已阻止的操作: 读取
2021/6/21        10:57:34        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\Default\Music\desktop.ini        用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件        已阻止的操作: 读取
2021/6/21        10:57:35        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\Default\Links\RecentPlaces.lnk        用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件        已阻止的操作: 读取
2021/6/21        10:57:35        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\Default\Pictures\desktop.ini        用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件        已阻止的操作: 读取
2021/6/21        10:57:35        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\Default\Links\RecentPlaces.lnk        用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件        已阻止的操作: 读取
2021/6/21        10:57:35        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\TEMP.USERUQI-QIJMSV3.000\Music\prfB8CA.tmp        用户定义的规则:【B】保护我的音乐里的资料        已阻止的操作: 删除
2021/6/21        10:57:35        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\TEMP.USERUQI-QIJMSV3.000\Pictures\prfB8C9.tmp        用户定义的规则:【B】保护我的图片里的资料        已阻止的操作: 删除
2021/6/21        10:57:35        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\Default\Links\RecentPlaces.lnk        用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件        已阻止的操作: 读取
2021/6/21        10:57:35        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\Default\Links\Downloads.lnk        用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件        已阻止的操作: 读取
2021/6/21        10:57:35        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\Default\Searches\Indexed Locations.search-ms        用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件        已阻止的操作: 读取
2021/6/21        10:57:35        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Users\Default\Searches\Everywhere.search-ms        用户定义的规则:【防挖矿】禁止危险程序执行用户路径下的文件        已阻止的操作: 读取
柯林
 楼主| 发表于 2021-6-21 11:46:35 | 显示全部楼层
wubaocan 发表于 2021-6-21 11:10
劳烦柯大解答!!!
强力-平和版:有时开机是桌面无法正常启动(类似进入安全模式一样)。长时间关机后,打 ...

属于设置过度了,其实只要防止它执行用户路径下的temp目录即可,但还是会有些问题,比如amd显卡的驱动安装与卸载,就会触犯,建议还是放弃。

用置顶的反打规则吧,那个经过优化取舍,能够防御基本威胁而不会有误杀。
ps:作为杀毒补充,规则适当防御点就好了,没必要追求大而全,想百分百是不可能的,一般正常应用也是不容易翻车的,适当即可
wubaocan
发表于 2021-6-21 16:10:19 | 显示全部楼层
柯林 发表于 2021-6-21 11:46
属于设置过度了,其实只要防止它执行用户路径下的temp目录即可,但还是会有些问题,比如amd显卡的驱动安 ...

好的,
柯林
 楼主| 发表于 2021-6-21 20:08:06 | 显示全部楼层

C:\Windows\System32\svchost.exe        C:\Users\TEMP.USERUQI-QIJMSV3.000\Music\prfB8CA.tmp        用户定义的规则:【B】保护我的音乐里的资料        已阻止的操作: 删除
  C:\Windows\System32\svchost.exe        C:\Users\TEMP.USERUQI-QIJMSV3.000\Pictures\prfB8C9.tmp        用户定义的规则:【B】保护我的图片里的资料        已阻止的操作: 删除

这两条略显奇怪,不知道svchost.exe里加载了什么模块,为何会有相关动作?你用反打规则看看,看是否还会有这样的日志?——当然,一般也可以看作正常,毕竟C:\Windows\System32\svchost.exe一般是代表着系统在进行操作,只是有时候也会加载一些非系统的dll,这是svchost.exe比较谜的地方(印象中好像还没有碰到这样的日志。略显奇怪而已(各人系统不同,加载的模块可能有异,一般也不是什么大问题)
wubaocan
发表于 2021-6-22 08:38:08 | 显示全部楼层
柯林 发表于 2021-6-21 20:08
C:\Windows\System32\svchost.exe        C:%users\TEMP.USERUQI-QIJMSV3.000\Music\prfB8CA.tmp         ...

OK,测试几天再来回复
wubaocan
发表于 2021-6-22 11:12:40 | 显示全部楼层
wubaocan 发表于 2021-6-22 08:38
OK,测试几天再来回复

反打规则,应该没有拦截了,TEMP.USERUQI-QIJMSV3.000文件夹,现在可以删除,应该里面的文件没有在运行了。感觉.tmp文件不是什么好东西,把文件夹删掉了。
wubaocan
发表于 2021-6-22 11:18:33 | 显示全部楼层
wubaocan 发表于 2021-6-22 11:12
反打规则,应该没有拦截了,TEMP.USERUQI-QIJMSV3.000文件夹,现在可以删除,应该里面的文件没有在运行了 ...

还有,右键管理员为什么没法运行批处理文件,所有的七个规则都试了,都不行。是我系统的问题吗?还是哪里设置的问题?

2021/6/22        10:52:23        已由访问保护规则禁止         USERUQI-QIJMSV3\Administrator        C:\Windows\explorer.exe        C:\Windows\System32\cmd.exe        用户定义的规则:【防手贱】禁止迷糊执行cmd        已阻止的操作: 读取
2021/6/22        11:06:34        已由访问保护规则禁止         USERUQI-QIJMSV3\Administrator        C:\Windows\explorer.exe        C:\Windows\System32\cmd.exe        用户定义的规则:H-401-禁止用户执行批处理        已阻止的操作: 执行

柯林
 楼主| 发表于 2021-6-22 12:02:03 | 显示全部楼层
本帖最后由 柯林 于 2021-6-22 12:06 编辑
wubaocan 发表于 2021-6-22 11:18
还有,右键管理员为什么没法运行批处理文件,所有的七个规则都试了,都不行。是我系统的问题吗?还是哪里 ...

我这里win8.1系统,右键管理员,可以运行批处理
你图示显示的日志,不是右键管理员执行的日志,而是直接双击产生的日志
右键管理员执行cmd.exe,执行程序是C:\Windows\System32\svchost.exe ,不是C:\Windows\explorer.exe
C:\Windows\explorer.exe执行cmd.exe是标准账户产生的,也就是没有提权时的执行流程
另:反打规则里 B-102-保护文档里的文件 这一条的排除名单,建议还是用B-103与B-104的排除名单C:\Program Files (x86)\**.exe, C:\Program Files\**.exe, C:\Windows\explorer.exe, C:\Windows\System32\dllhost.exe, C:\Windows\System32\MRT.exe, C:\Windows\System32\mspaint.exe, C:\Windows\System32\regsvr32.exe, C:\Windows\System32\RuntimeBroker.exe, C:\Windows\System32\SnippingTool.exe  为好,否则QQ之类存放附件到我的文档里可能会有问题,或者根据日志,添加QQ的主程序
wubaocan
发表于 2021-6-22 16:09:56 | 显示全部楼层
柯林 发表于 2021-6-22 12:02
我这里win8.1系统,右键管理员,可以运行批处理
你图示显示的日志,不是右键管理员执行的日志,而是直接 ...

批处理不能运行的问题,已找到。是我组策略里禁用了两个选项。跟您的规则没有关系。抱歉了!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 23:29 , Processed in 0.097403 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表