huorong9025 发表于 2025-7-3 15:44
不太行，只能同时吧cmd和net加入自动才行，但是这样好像不太安全

嗯嗯，不建议把cmd和net添加自动允许规则，您可以尝试在需要运行时暂时退出火绒，之后再开启；或者您在执行updateuser.exe时手动点击“允许”看看~

huorong9025 发表于 2025-7-3 15:24
防护项目：命令行修改用户账户密码
执行文件：C:\Windows\System32\net.exe
执行命令行：net  user test KZ ...

好的，您可以尝试在系统加固-敏感动作防护项内添加自动处理规则，放过您这个程序试下：

防护项目：命令行修改用户账户密码
执行文件：C:\Windows\System32\net.exe
执行命令行：net  user test KZdou2gWSzlH
操作结果：已阻止
进程ID：7840
操作进程：C:\Windows\System32\cmd.exe
操作进程命令行：C:\Windows\system32\cmd.exe /c net user test KZdou2gWSzlH
父进程ID：4424
父进程：D:\tools\updateUser.exe
父进程命令行：d:\tools\updateuser  test 12

updateUser.exe 就是很简单的python调用命令创建，创建好后打印信息回传回控制端

1. try:
   
2.         if re.search(strUser, os.popen('net user').read()):
   
3.             os.popen('net user %s %s' % (strUser, strPassWord))
   
4.         # 不存在用户
   
5.         else:
   
6. 
   
7.             os.popen('net user %s %s /add /passwordchg:no /fullname:%s /comment:""' % (strUser, strPassWord, strUser))
   
8.             os.popen('net localgroup Users %s /delete' % strUser)
   
9.             os.popen('net localgroup Administrators %s /add' % strUser)
   
10.     except Exception as error:
    
11.         print(''.join(strIp).split('_')[1], 'Change Password Failed!', str(error))

复制代码

您好，麻烦您把火绒日志全部导出这边看下哈~您编写的这个文件是否方便提供呢？