火绒安全软件

用户规则分享区
发新帖
打印 上一主题 下一主题

[自定义规则] 【高级防护】反攻击规则 V4.30

  [复制链接]
111552 2039
楼主
发表于 2018-12-5 17:56:14 | 只看该作者 |倒序浏览 |阅读模式
跳转到指定楼层
本帖最后由 191196846 于 2021-1-18 11:04 编辑

一、规则简介
基于 MITRE ATT&CK™ & 恶意软件行为特征 编写而成,能够检测,阻止,拦截各类恶意软件的攻击载体和攻击途径,典型的如无文件攻击,漏洞攻击,加密勒索等。


二、规则内容
规则命名方式:
[推荐操作]防护项目.类型.编号
例如:[结束]勒索行为防护.A.00

1. 勒索行为防护

- 识别特定双后缀文件创建的动作
- 识别勒索信释放动作

2. 漏洞攻击防护

- 识别 MS Office 进程释放可执行文件的动作
- 识别 MS Office 调用系统组件的动作

3. 木马行为防护
- 识别在可疑目录创建可执行文件的动作
- 识别利用系统组件创建启动项的动作
- 识别部分窃取信息的动作

4. 系统进程防护
- 识别系统组件调用Powershell的动作
- 识别脚本宿主进程创建可执行文件/调用系统组件的动作
- 识别利用系统组件进行远程下载的动作



三、注意事项
1. 日常使用不会有任何弹窗;若触发规则弹窗,请按照推荐操作进行(结束进程或者阻止操作)
2. 不建议与其他规则搭配使用。
3. 认为弹窗是误报请尽量不要选择“记住操作”,会导致一些通用规则失效,请将日志上传并@我
4. 有任何其他问题请在本帖@我。



新手:如何正确启用/导入规则
1. 打开“防护中心”
2. 点击左侧高级防护
3. 打开开关
4. 点击文字
5. 导入自定义规则
6. 导入自动处理规则(重要!)
https://s2.ax1x.com/2019/07/11/ZR0t1O.jpg

下载地址
https://jerry-0000.lanzous.com/b0w7loed
密码:4ksm


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?[立即注册]

x

评分

参与人数 60金钱 +197 收起 理由
我专治各种不服 + 1
20031124lzp + 5 不错,支持了!!
ConStanyin + 1 内容超赞!!!
我是小学生 + 5
绒火Loong + 5 能不用国产就不用国产,用了国产一定要用火.
ultraseven + 5 内容超赞!!!妥善解决部分国产流氓软件行.
JKVKK + 5 内容超赞!!!
AZAS + 5 谢谢楼主分享!!
yxdemon + 5 内容超赞!!!
Artorias + 5 内容超赞!!!
Gorogoa + 2
Suyirt + 5 内容超赞!!!
johan + 1 内容超赞!!!
TMDW + 5 感谢楼主
get358691874 + 1 楼主的内容真是好极了。
jinshao + 2 麻烦问下,导入之后谷歌不能运行,令牌不存.
8477 + 5 不错,支持了!!
时之刃110 + 5 持续更新,挺不错的
1.01 + 5 楼主的内容真是好极了。自成一体,4类防护.
feimeng + 1 内容超赞!!!

查看全部评分

回复

使用道具 举报

111552 2039
来自 2#
发表于 2019-7-17 15:54:07 | 只看该作者
本帖最后由 191196846 于 2021-1-18 11:06 编辑

4.0版本更新日志

4.30
01/17/2021
1. 解决部分误报
2. 新增 隐私窃取防护.A.00 , 针对腾讯系应用

4.28
01/10/2021
1. 解决部分误报

4.27
05/06/2020
1. 解决部分误报

4.26
05/02/2020
1. 增强对隐私窃取类木马的防护
2. 4.0 部分隐私防护,系统进程防护回归,默认关闭,有需要的可以手动开启(需要自己添加排除规则)
3. 解决部分误报

4.25
04/18/2020
1. 默认关闭powershell防护,有需要可以开启
2. 解决部分误报

4.24
03/23/2020
1. 删除部分可能导致误报的规则

4.23
03/15/2020
1. 解决部分误报

4.22
03/07/2020
1. 解决部分误报

4.21
03/04/2021
1. 解决部分误报

4.20
03/04/2021
1. 增强对 Formbook and AgentTesla 的防护
2. 解决部分误报

4.14
03/03/2020
1. 解决部分误报

4.12
02/25/2020
1. 解决部分误报

4.11
02/19/2020
1. 解决部分误报

4.10
02/17/2020
1. 合并规则组

4.05
02/14/2020
1. 解决WPS误报

4.04
12/10/2019
1. 解决部分误报

4.03
09/03/2019
1. 解决部分误报


4.02
08/13/2019
1. 解决部分误报


4.01
07/17/2019
1. 解决部分误报








点评

大佬牛逼~~~  发表于 2021-1-21 19:58

评分

参与人数 3金钱 +12 收起 理由
Gorogoa + 2 感谢分享
liangxiaoxiang + 5 为什么你这么给力??
Nobuchika + 5

查看全部评分

回复

使用道具 举报

111552 2039
板凳
发表于 2018-12-6 09:06:45 | 只看该作者
更新1.1

增加了些拦截规则

评分

参与人数 1金钱 +5 收起 理由
Nobuchika + 5

查看全部评分

回复

使用道具 举报

111552 2039
地板
发表于 2018-12-6 12:27:43 | 只看该作者
谢谢楼主
回复

使用道具 举报

111552 2039
5#
发表于 2018-12-6 15:54:39 | 只看该作者
支持一下
回复

使用道具 举报

111552 2039
6#
发表于 2018-12-6 16:26:59 | 只看该作者
更新1.2

调整拦截架构,新增更多规则

评分

参与人数 1金钱 +5 收起 理由
Nobuchika + 5

查看全部评分

回复

使用道具 举报

111552 2039
7#
发表于 2018-12-6 17:13:01 | 只看该作者
支持优质规则
现在使用场景比较复杂,如果有问题会再来反馈
回复

使用道具 举报

111552 2039
8#
发表于 2018-12-6 17:14:22 | 只看该作者
Nobuchika 发表于 2018-12-6 17:13
支持优质规则
现在使用场景比较复杂,如果有问题会再来反馈

嗯,遇到误报及时反馈给我

感谢支持~

评分

参与人数 1金钱 +5 收起 理由
Nobuchika + 5

查看全部评分

回复

使用道具 举报

111552 2039
9#
发表于 2018-12-6 18:31:05 | 只看该作者
支持一下
回复

使用道具 举报

111552 2039
10#
发表于 2018-12-6 19:48:30 | 只看该作者
支持一下
回复

使用道具 举报

111552 2039
11#
发表于 2018-12-6 20:43:46 | 只看该作者
更新1.3

调整可能导致误报的规则

评分

参与人数 1金钱 +5 收起 理由
Nobuchika + 5

查看全部评分

回复

使用道具 举报

111552 2039
12#
发表于 2018-12-6 20:48:23 | 只看该作者
本帖最后由 191196846 于 2018-12-6 20:49 编辑

https://www.anquanke.com/post/id/167334

最新 Flash 0day 漏洞(CVE-2018-15982)攻击  拦截


[

attach]35353[/attach]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?[立即注册]

x
回复

使用道具 举报

111552 2039
13#
发表于 2018-12-6 21:22:10 | 只看该作者
支持一下
回复

使用道具 举报

111552 2039
14#
发表于 2018-12-6 21:38:44 | 只看该作者
支持一下!!!
回复

使用道具 举报

111552 2039
15#
发表于 2018-12-7 20:45:28 | 只看该作者
谢谢大佬
回复

使用道具 举报

111552 2039
16#
发表于 2018-12-7 22:19:18 | 只看该作者
支次一些
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表