• 保存到桌面加入收藏设为首页
经验分享

火绒自定义规则 【支持5.0】【高级防护】反攻击规则100+条!!

时间:2019-04-11 21:58:29   作者:234IT   来源:234IT   阅读:801   评论:0
内容摘要:火绒5.0导入规则默认全部是关闭状态,需要点击100+次按钮启用所有规则务必启用防护中心自定义规则按钮,才能生效最新规则版本为3.1,建议及时更新;导入前必须清空原有旧规则(火绒5.0目前不支持覆盖)一、规则设计目的检测,阻止,拦截各类恶意软件的攻击载体,攻击方法,攻击途径和攻击......
火绒5.0导入规则默认全部是关闭状态,需要点击100+次按钮启用所有规则
务必启用防护中心自定义规则按钮,才能生效
最新规则版本为3.1,建议及时更新;导入前必须清空原有旧规则(火绒5.0目前不支持覆盖)








一、规则设计目的

检测,阻止,拦截各类恶意软件的攻击载体,攻击方法,攻击途径和攻击目标,典型的如Fileless Attacks, Exploits等。


二、规则内容


火绒5.0;规则版本3.0及以上:

[推荐操作]具体拦截项
[结束]AppData路径注入/劫持行为 [结束]利用系统进程添加启动项
[结束]ASMI脚本扫描接口劫持 [结束]窃取隐私信息
[结束]CMD启动恶意进程 [结束]添加恶意启动项
[结束]CMD释放可疑文件 [结束]系统卷标信息路径下启动恶意进程
[结束]dllhost写入恶意程序 [结束]修改AppInit DLLs/AppCert DLLs|持久化
[结束]Excel漏洞攻击 [结束]修改NetshHelpDlls以加载恶意程序
[结束]Local路径下启动系统进程 [结束]修改OFFICE默认文档|持续化
[结束]MSI安装包可疑操作 [结束]修改关联项绕过UAC|UAC Bypass
[结束]PowerPoint漏洞攻击 [结束]修改系统wbem目录
[结束]PowerShell启动恶意进程 [结束]修改用户登录脚本
[结束]PowerShell释放恶意文件 [结束]疑似勒索/加密行为
[结束]PowerShell执行恶意脚本 [结束]疑似木马/病毒行为
[结束]ProgramData路径注入/劫持行为 [结束]疑似挖矿行为
[结束]Roaming路径下启动系统进程 [阻止]CMD启动可疑进程
[结束]svchost释放恶意文件 [阻止]cspt脚本解释器可疑操作
[结束]Word漏洞攻击 [阻止]Local路径下可疑程序添加启动项
[结束]wps表格漏洞攻击 [阻止]mshta可疑操作
[结束]wps文档漏洞攻击 [阻止]PowerShell启动可疑进程
[结束]wps演示漏洞攻击 [阻止]Roaming下可疑程序窃取隐私信息
[结束]wuapp释放挖矿配置文件 [阻止]rundll32启动可疑进程
[结束]恶意屏幕保护程序 [阻止]services启动可疑进程
[结束]恶意映像劫持 [阻止]temp程序释放可疑文件
[结束]恶意注入打印机程序 [阻止]temp路径启动可疑进程
[结束]公式编辑器漏洞攻击 [阻止]temp路径下程序添加可疑启动项
[结束]回收站路径启动恶意进程 [阻止]vbc启动可疑进程
[结束]利用certutil窃取隐私信息 [阻止]wspt脚本解释器可疑操作
[结束]利用cliconfg绕过UAC|UAC Bypass|Dll Side  Loading [阻止]操作Windows日志文件
[结束]利用dllhost启动可疑进程 [阻止]加载可疑控件
[结束]利用msxsl绕过AppLocker|白名单绕过 [阻止]检测虚拟机|环境嗅探
[结束]利用napstat窃取隐私信息 [阻止]可疑DLL加载
[结束]利用RegAsm窃取隐私信息 [阻止]可疑程序添加系统任务
[结束]利用vbc窃取隐私信息 [阻止]利用cmstp下载可疑程序
[结束]利用wmic启动可疑进程 [阻止]利用PowerShell修改服务项
[结束]利用wmic窃取隐私信息 [阻止]利用regsvr32修改SIP/信任提供者
[结束]利用控制面板启动可疑进程 [阻止]任务计划程序启动可疑子进程/释放文件
[结束]利用系统进程窃取隐私信息 [阻止]任务计划程序启动未知程序
]


火绒4.0;规则版本2.71及以下:

【攻击拦截】OFFICE漏洞利用 拦截针对对常规办公软件的漏洞攻击(目前支持MS,WPS)
【攻击拦截】OFFICE可疑操作 拦截常规办公软件的一些异常/敏感操作,如使用CMD,PS的木马下载行为
【攻击拦截】疑似木马行为 拦截程序恶意操作
【攻击拦截】疑似勒索行为 拦截特定位置的程序在特定位置创建特定双后缀文件,实现识别勒索程序加密行为(遇弹窗请选择结束进程)
【攻击拦截】疑似挖矿行为 拦截恶意挖矿行为
【攻击拦截】疑似注入/劫持行为 拦截恶意程序劫持/注入/利用特定系统程序
【攻击拦截】隐私窃取行为 拦截使用特定程序盗取用户信息/盗号等恶意操作
【攻击拦截】系统安全机制绕过 拦截通过篡改系统设置或使用特殊方式提权绕过系统安全机制
【攻击缓解】反虚拟机/对抗分析 检测程序通过嗅探虚拟机环境以逃避侦测
【攻击缓解】可疑CMD操作 阻止CMD的一些敏感操作(如直接运行TEMP下的文件;在用户目录下创建可疑文件)
【攻击缓解】可疑PowerShell操作 阻止PS的一些敏感操作(同上)
【攻击缓解】可疑脚本操作 阻止脚本解释器的一些敏感操作(同上,更加严格)
【攻击缓解】可疑任务计划程序操作 阻止任务计划程序一些敏感操作(如使用非常规方式添加任务计划项)
【攻击缓解】可疑DLL加载 阻止特定目录加载可疑DLL
【攻击缓解】可疑JAVA应用操作 阻止Java程序的可疑操作(针对adwin后门系列)
【攻击缓解】可疑启动项 阻止特定程序/目录添加可疑开机启动项
【攻击缓解】其他可疑操作 阻止系统进程的敏感操作


三、规则特点

1. 对于普通用户来说,日常使用不会出现任何弹窗;若遇弹窗请仔细查看弹窗内容,不认识/不是自行操作/安装软件 请立即阻止
2. 不依赖自动处理,不依赖全局规则,对电脑性能影响最小化

四、注意事项


1、遇到弹窗尽量不要记住操作,否则规则就无效了;频繁遇到弹窗,认为规则有问题请回复本帖
2、遇到弹窗选择“结束进程”会比“阻止”更有效拦截攻击行为。
3、暂未测试是否与其他规则有冲突的情况,不建议与其他同类型规则搭配使用。
4、主规则导入入口为 自定义规则, Auto 导入入口为自动处理



更新3.1
1、大幅优化规则,减少至72项


更新3.0
1、支持5.0


更新2.71

1、解决部分误报



更新2.7
1、新增规则组 【攻击拦截】疑似挖矿行为, 拦截恶意挖矿行为
2、新增规则组 【攻击缓解】可疑启动项,阻止特定程序/目录添加可疑开机启动项 
3、新增更多拦截规则
4、删除冗余规则

5、解决部分规则组误报





请选择对应火绒版本号
火绒5.0 https://www.lanzous.com/b643696/ 密码:2lyu
火绒4.0 https://www.lanzous.com/b643695/ 密码:821a
提示:请将原有旧规则/自处理规则清空,导入前请先阅读文件夹内 读我.txt

***********************************本站申明****************************************

234IT官方友情提示:

1、我们的官方网址是:http://www.234it.cn/
2、本站杜绝收费会员制!本站终身免费学习下载分享~
3、请勿轻信任何软件上或教程上收徒或其他服务项目,网络有风险!
4、本站软件需自行检测有无后门或病毒,如有恶意软件请于小编联系进行删除!
5、本站部分内容收集于互联网,如果有侵权内容、不妥之处,请联系我们删除。敬请谅解!

感谢大家一路的支持,有什么好的建议或者意见发至邮箱vipfengzivip@qq.com


免责声明:
234IT所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。


标签:高级  规则  定义  攻击  防护  

本站部分内容收集于互联网,如果有侵权内容、不妥之处,请联系我们删除。敬请谅解!

发邮件至:vipfengzivip@qq.com  

二三四网 ( 浙ICP备14041900号-12)
Powered by OTCMS V3.72