火绒是一款杀防一体的安全软件。全新的界面,丰富的功能,完美的体验。特别针对国内安全趋势,自主研发高性能病毒通杀引擎,由前瑞星核心研发成员打造,拥有十年以上网络安全经验。
务必启用防护中心自定义规则按钮,才能生效
检测,阻止,拦截各类恶意软件的攻击载体,攻击方法,攻击途径和攻击目标,典型的如Fileless Attacks, Exploits等。
火绒5.0;规则版本3.0及以上:
[推荐操作]具体拦截项
[结束]CMD恶意操作 | [结束]操纵系统关键进程 |
---|---|
[结束]Excel漏洞攻击 | [结束]疑似利用系统进程进行恶意操作 |
[结束]Local路径下程序可疑操作 | [结束]疑似勒索/加密行为 |
[结束]MSI安装包可疑操作 | [结束]疑似木马/病毒行为 |
[结束]PowerPoint漏洞攻击 | [结束]窃取隐私信息 |
[结束]PowerShell恶意操作 | [阻止]CMD可疑操作 |
[结束]Roaming路径下程序可疑操作 | [阻止]mshta可疑操作 |
[结束]wmic恶意操作 | [阻止]PowerShell可疑操作 |
[结束]Word漏洞攻击 | [阻止]regsvr32可疑操作 |
[结束]wps文档漏洞攻击 | [阻止]rundll32可疑操作 |
[结束]wps演示漏洞攻击 | [阻止]temp路径下程序可疑操作 |
[结束]wps表格漏洞攻击 | [阻止]任务计划程序启动可疑子进程/释放文件 |
**[结束]修改AppInit DLLs/AppCert DLLs | 持久化** |
**[结束]修改OFFICE默认文档 | 持续化** |
**[结束]修改关联项绕过UAC | UAC Bypass** |
[结束]公式编辑器漏洞攻击 | [阻止]脚本解释器可疑操作 |
火绒4.0;规则版本2.71及以下:
【攻击拦截】OFFICE漏洞利用 | 拦截针对对常规办公软件的漏洞攻击(目前支持MS,WPS) |
---|---|
【攻击拦截】OFFICE可疑操作 | 拦截常规办公软件的一些异常/敏感操作,如使用CMD,PS的木马下载行为 |
【攻击拦截】疑似木马行为 | 拦截程序恶意操作 |
【攻击拦截】疑似勒索行为 | 拦截特定位置的程序在特定位置创建特定双后缀文件,实现识别勒索程序加密行为(遇弹窗请选择结束进程) |
【攻击拦截】疑似挖矿行为 | 拦截恶意挖矿行为 |
【攻击拦截】疑似注入/劫持行为 | 拦截恶意程序劫持/注入/利用特定系统程序 |
【攻击拦截】隐私窃取行为 | 拦截使用特定程序盗取用户信息/盗号等恶意操作 |
【攻击拦截】系统安全机制绕过 | 拦截通过篡改系统设置或使用特殊方式提权绕过系统安全机制 |
【攻击缓解】反虚拟机/对抗分析 | 检测程序通过嗅探虚拟机环境以逃避侦测 |
【攻击缓解】可疑CMD操作 | 阻止CMD的一些敏感操作(如直接运行TEMP下的文件;在用户目录下创建可疑文件) |
【攻击缓解】可疑PowerShell操作 | 阻止PS的一些敏感操作(同上) |
【攻击缓解】可疑脚本操作 | 阻止脚本解释器的一些敏感操作(同上,更加严格) |
【攻击缓解】可疑任务计划程序操作 | 阻止任务计划程序一些敏感操作(如使用非常规方式添加任务计划项) |
【攻击缓解】可疑DLL加载 | 阻止特定目录加载可疑DLL |
【攻击缓解】可疑JAVA应用操作 | 阻止Java程序的可疑操作(针对adwin后门系列) |
【攻击缓解】可疑启动项 | 阻止特定程序/目录添加可疑开机启动项 |
【攻击缓解】其他可疑操作 | 阻止系统进程的敏感操作 |
三、规则特点
1. 对于普通用户来说,日常使用不会出现任何弹窗;若遇弹窗请仔细查看弹窗内容,不认识/不是自行操作/安装软件 请立即阻止
2. 不依赖自动处理,不依赖全局规则,对电脑性能影响最小化
1、遇到弹窗尽量不要记住操作,否则规则就无效了;频繁遇到弹窗,认为规则有问题请回复本帖
2、遇到弹窗选择“结束进程”会比“阻止”更有效拦截攻击行为。
3、暂未测试是否与其他规则有冲突的情况,不建议与其他同类型规则搭配使用。
4、主规则导入入口为 自定义规则, Auto 导入入口为自动处理
请选择对应火绒版本号
火绒5.0 https://www.lanzous.com/b643696/ 密码:2lyu
火绒4.0 https://www.lanzous.com/b643695/ 密码:821a
转载自:http://bbs.huorong.cn/thread-52119-1-1.html
如果这篇文章对你有所帮助,可以通过下边的“打赏”功能进行小额的打赏。
本网站部分内容来源于互联网,如有侵犯版权请来信告知,我们将立即处理。