自适应防护清理流程破坏文件关联

bbszy

用了一个windows优化工具，第一次运行的时候按访问保护报毒给删了，然后在按访问保护里排除后，第二次运行，被自适应防护报毒、清理（后来在虚拟机里测试，如果第一次运行的时候禁用按访问保护、不禁用自适应防护，在访问保护没有报毒的情况下自适应防护是不会报毒的，哪怕右键扫描报毒，蛮奇葩的）。

自适应防护清理后，刚开始还没觉得有异常，后来重启电脑后发现，运行批处理文件系统提示找不到文件，vbs脚本可运行但不产生任何作用（好像没运行一样），同时发现keepaasxsc与浏览器无法通信（排查后确认是脚本文件无法正常运行导致的）。

排查了半天最后锁定了可能是咖啡ens的锅。去翻了咖啡的日志、并且在虚拟机里进行了复现测试。由于这个优化小工具要操作cmd、powershell，咖啡的自适应防护在终止进程、回滚相关操作的时候，直接把注册表shell下面cmd等文件关联给删掉了，导致相关文件关联受损（咖啡的log文件里明确记录相关注册表键值被删除，ui界面里的日志不显示相关注册表清理操作，仅显示“清理”这个结果）。

2024-05-05 03:37:40.169+0800|Activity|Orchestrator        |mfeatp                   |      2536|      5908|Action              |post_scan_actions.cpp(2466)             | Real Protect 云发现检测项，检测项名称: ARC AI1-PENG4!7520C359A001，其在源进程 ID: 20456 中 , 源路径: C:\Windows , 源名称: explorer.exe , 目标路径F:\ , 目标名称: Win 10 Tweaker.exe , 目标哈希: 7520c359a001097a907d1961c162c225 , 信誉: 1  [已知恶意文件] , 源用户: DESKTOP- , 目标用户:  , 已采取操作: 清理 , 内容版本: 1.1 , 引擎版本: 1.1
2024-05-05 03:37:46.555+0800|Activity|Remediationbl       |mfeatp                   |      2536|      2644|RepairModule        |DeepRemediation.cpp(604)                | 增强补救: 已删除注册表值 HKLM\SYSTEM\CONTROLSET001\SERVICES\BAM\STATE\USERSETTINGS\S-1-5-21-3505606424-13733722-958333188-1001\\DEVICE\HARDDISKVOLUME3\SOFTWARE\|WIN 10 TWEAKER.EXE。
2024-05-05 03:37:46.557+0800|Activity|Remediationbl       |mfeatp                   |      2536|      2644|RepairModule        |DeepRemediation.cpp(632)                | 增强补救: 已恢复注册表项 HKU\S-1-5-21-3505606424-13733722-958333188-1001\SOFTWARE\Win 10 Tweaker。
2024-05-05 03:37:46.561+0800|Activity|Remediationbl       |mfeatp                   |      2536|      2644|RepairModule        |DeepRemediation.cpp(604)                | 增强补救: 已删除注册表值 HKLM\SOFTWARE\Classes\w10t\shell\open\command|。
2024-05-05 03:37:46.564+0800|Activity|Remediationbl       |mfeatp                   |      2536|      2644|RepairModule        |DeepRemediation.cpp(630)                | 增强补救: 已删除注册表项 HKLM\SOFTWARE\CLASSES\W10T\SHELL\OPEN\COMMAND。
2024-05-05 03:37:46.570+0800|Activity|Remediationbl       |mfeatp                   |      2536|      2644|RepairModule        |DeepRemediation.cpp(630)                | 增强补救: 已删除注册表项 HKLM\SOFTWARE\CLASSES\W10T\SHELL\OPEN。
2024-05-05 03:37:46.577+0800|Activity|Remediationbl       |mfeatp                   |      2536|      2644|RepairModule        |DeepRemediation.cpp(606)                | 增强补救: 已恢复注册表值 HKLM\SOFTWARE\Classes\w10t|URL protocol。
2024-05-05 03:37:46.676+0800|Activity|Remediationbl       |mfeatp                   |      2536|      2644|RepairModule        |FileRemediation.cpp(40)                 | 增强补救: 文件 F:\Software\Win 10 Tweaker.exe 已删除。
2024-05-05 03:37:46.757+0800|Activity|Orchestrator        |mfeatp                   |      2536|      2644|Action              |post_scan_actions.cpp(2466)             | Real Protect 云发现检测项，检测项名称: ，其在源进程 ID: 5060 中 , 源路径: C:\Windows\System32 , 源名称: svchost.exe , 目标路径F:\Software\, 目标名称: Win 10 Tweaker.exe , 目标哈希: 7520c359a001097a907d1961c162c225 , 信誉: 1  [已知恶意文件] , 源用户:  , 目标用户: DESKTOP-, 已采取操作: 清理 , 内容版本: 1.1 , 引擎版本: 1.1
2024-05-05 03:37:49.701+0800|Activity|Remediationbl       |mfeatp                   |      2536|     19208|RepairModule        |ARRemediation.cpp(231)                  | 增强补救: 已恢复注册表值 ComSpec。
2024-05-05 03:37:49.712+0800|Activity|Remediationbl       |mfeatp                   |      2536|     19208|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Drive\shell\cmd\command。
2024-05-05 03:37:49.720+0800|Activity|Remediationbl       |mfeatp                   |      2536|     19208|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\batfile\shell\runas\command。
2024-05-05 03:37:49.722+0800|Activity|Remediationbl       |mfeatp                   |      2536|     19208|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Directory\shell\cmd\command。
2024-05-05 03:37:49.740+0800|Activity|Remediationbl       |mfeatp                   |      2536|     19208|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\cmdfile\shell\runas\command。
2024-05-05 03:37:50.069+0800|Activity|Orchestrator        |mfeatp                   |      2536|     19208|Action              |post_scan_actions.cpp(2649)             | On-Execute Scan 发现检测项，检测项名称: ATP/Suspect!e9be2f86e3a3，在源进程 ID: 5060 中 , 源路径: F:\Software\ , 源名称: Win 10 Tweaker.exe , 源哈希: cb6cd09f6a25744a8fa6e4b3e4d260c5 , 信誉: 1 [已知恶意文件] , 源用户: DESKTOP , 目标用户: DESKTOP- , 已采取操作: 清理 , 规则 ID: 0 , 内容版本:  , 引擎版本:
2024-05-05 03:37:52.929+0800|Activity|Remediationbl       |mfeatp                   |      2536|     16360|RepairModule        |ARRemediation.cpp(231)                  | 增强补救: 已恢复注册表值 ComSpec。
2024-05-05 03:37:52.948+0800|Activity|Remediationbl       |mfeatp                   |      2536|     16360|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Drive\shell\cmd\command。
2024-05-05 03:37:52.954+0800|Activity|Remediationbl       |mfeatp                   |      2536|     16360|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\batfile\shell\runas\command。
2024-05-05 03:37:52.956+0800|Activity|Remediationbl       |mfeatp                   |      2536|     16360|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Directory\shell\cmd\command。
2024-05-05 03:37:52.978+0800|Activity|Remediationbl       |mfeatp                   |      2536|     16360|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\cmdfile\shell\runas\command。
2024-05-05 03:37:53.324+0800|Activity|Orchestrator        |mfeatp                   |      2536|     16360|Action              |post_scan_actions.cpp(2649)             | On-Execute Scan 发现检测项，检测项名称: ATP/Suspect!e9be2f86e3a3，在源进程 ID: 5060 中 , 源路径: F:\Software\ , 源名称: Win 10 Tweaker.exe , 源哈希: cb6cd09f6a25744a8fa6e4b3e4d260c5 , 信誉: 1 [已知恶意文件] , 源用户: DESKTOP- , 目标用户: DESKTOP- , 已采取操作: 清理 , 规则 ID: 0 , 内容版本:  , 引擎版本:
2024-05-05 03:37:56.071+0800|Activity|Remediationbl       |mfeatp                   |      2536|     17308|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Drive\shell\Powershell\command。
2024-05-05 03:37:56.074+0800|Activity|Remediationbl       |mfeatp                   |      2536|     17308|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Directory\shell\Powershell\command。
2024-05-05 03:37:56.094+0800|Activity|Remediationbl       |mfeatp                   |      2536|     17308|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\Microsoft.PowerShellConsole.1\Shell\Open\Command。
2024-05-05 03:37:56.135+0800|Activity|Remediationbl       |mfeatp                   |      2536|     17308|RepairModule        |ARRemediation.cpp(259)                  | 增强补救: 已删除注册表项 HKLM\SOFTWARE\Classes\SystemFileAssociations\.ps1\Shell\0\Command。
2024-05-05 03:37:56.392+0800|Activity|Orchestrator        |mfeatp                   |      2536|     17308|Action              |post_scan_actions.cpp(2649)             | On-Execute Scan 发现检测项，检测项名称: ATP/Suspect!801262e122db，在源进程 ID: 5060 中 , 源路径: F:\Software\ , 源名称: Win 10 Tweaker.exe , 源哈希:  , 信誉: 1 [已知恶意文件] , 源用户: DESKTOP-, 目标用户: DESKTOP- , 已采取操作: 清理 , 规则 ID: 0 , 内容版本:  , 引擎版本:

后经过多次测试，无论在自适应防护里是否打开增强补救、amsi脚本增强扫描，相关注册表键值都会被清理掉，除非强制措施里不打开清理操作，那么这样自适应防护仅仅会阻止有关某一具体的操作，而不会终止“病毒”进程、回滚相关操作了。

pal家族

细心了啊！
我想了解下楼主用的哪个清理软件呀

微信

卸载咖啡可以解决问题

bbszy

微信 发表于 2024-5-6 10:57
卸载咖啡可以解决问题

主要是想用访问保护，虽然冰盾也有相关功能，但是不能在不注入的情况下防止读取某个进程的内存。

bbszy

pal家族 发表于 2024-5-6 09:04
细心了啊！
我想了解下楼主用的哪个清理软件呀

日常没用清理软件。

这个里面报毒的是俄罗斯的一个软件，win10 tweaker

记录微笑

一般清理的注册表项会在隔离区中体现

bbszy

记录微笑 发表于 2024-5-10 01:45
一般清理的注册表项会在隔离区中体现

测试了一下，从隔离区里恢复相关注册表键值隔离项目，文件关联还是损坏状态。

soongn

HiBit Uninstaller就清除的很干净了，没必要用优化软件

Balaor

bbszy 发表于 2024-5-6 11:40
主要是想用访问保护，虽然冰盾也有相关功能，但是不能在不注入的情况下防止读取某个进程的内存。

McAfee的访问保护，一直深得我的最爱！！用得最长久的安全软件就是McAfee了，，
不过现在，火绒也能实现访问保护的功能了。。