建议增加自我保护

cjx · 发表于 2023-12-10 08:26:27

建议给火绒目录和注册表及驱动增加自我保护，可以通过windows把它的部分文件删除来使它的安全服务异常

火绒运营专员 · 发表于 2023-12-10 08:50:01

您好，火绒相关目录是存在保护的，您提到的“ 可以通过windows把它的部分文件删除来使它的安全服务异常”这个操作方便详细描述下具体操作方式嘛？

wugeng · 发表于 2023-12-10 17:07:53

自定义防护里可以自己添加
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HipsDaemon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wsctrlsvc.exe
或者在系统防护内关闭映像劫持。

cjx · 发表于 2023-12-10 21:51:12

火绒运营专员发表于 2023-12-10 08:50
您好，火绒相关目录是存在保护的，您提到的“ 可以通过windows把它的部分文件删除来使它的安全服务异常”这 ...

就是直接把他那个目录删除，貌似他不会拦截

火绒运营专员 · 发表于 2023-12-11 09:30:53

cjx 发表于 2023-12-10 21:51
就是直接把他那个目录删除，貌似他不会拦截

您好，我们确认一下

火绒运营专员 · 发表于 2023-12-11 14:24:37

cjx 发表于 2023-12-10 21:51
就是直接把他那个目录删除，貌似他不会拦截

您好，您那边是有删除目录文件导致了安全服务异常吗？

RAMOS-GPT · 发表于 2023-12-13 09:10:38

火绒目录本身存在权限保护，并且目录中的文件正在运行。如果没有退出火绒是删不掉的。有一种删的办法就是用pyark结束火绒进程，然后去目录下删文件。这个漏洞已报告给火绒专员。

化悲痛为力量 · 发表于 2023-12-13 11:45:49

攻防兼备

火绒运营专员 · 发表于 2023-12-13 15:22:06

本帖最后由火绒运营专员于 2023-12-13 15:33 编辑

您好，当前文件有自我保护

文件被什么软件恶意删除了？遇到了啥问题？麻烦您详细说下如何删除的火绒文件？

cjx · 发表于 2023-12-16 12:49:00

就是有一次不小心对火绒的目录进行del

火绒运营专员 · 发表于 2023-12-16 13:05:21

本帖最后由火绒运营专员于 2023-12-20 16:57 编辑

cjx 发表于 2023-12-16 12:49
就是有一次不小心对火绒的目录进行del

您好，火绒软件正常保护电脑下，火绒文件是不支持del键删除的。您是使用的ark工具删除的火绒文件？还是手动del键删除的文件？

火绒运营专员 · 发表于 2023-12-18 18:01:18

cjx 发表于 2023-12-16 12:49
就是有一次不小心对火绒的目录进行del

您好，当前火绒是有自保的哈，正常模式下是无法进行删除文件的哈~

TFY · 发表于 2025-5-13 21:34:25

火绒在内核驱动保护那就是真的s。
之前的问题还是没有解决。
内核防护弄个内存绕过直接崩掉。
而且干掉之后貌似可以提权限直接把火绒目录干掉。
总之就是内核防护不行。一直拉名单。

火绒运营专员 · 发表于 2025-5-14 12:00:52

本帖最后由火绒运营专员于 2025-5-14 12:37 编辑

TFY 发表于 2025-5-13 21:34
火绒在内核驱动保护那就是真的s。
之前的问题还是没有解决。
内核防护弄个内存绕过直接崩掉。

您好，您提到之前的问题没有解决，方便提供您之前反馈的帖子链接这边确认下问题进展吗？

TFY · 发表于 2025-5-14 19:00:47

火绒运营专员发表于 2025-5-14 12:00
您好，您提到之前的问题没有解决，方便提供您之前反馈的帖子链接这边确认下问题进展吗？ ...

没有什么的，只是提一嘴而已。
望你们对于内核保护有所加强而不是拉名单

建议增加自我保护

回帖奖励 +1 金钱

回帖奖励 +1 金钱

浏览过的版块