Huorong-ATP-Rules
Huorong-ATP-Rules copied to clipboard
JerryLinLinLin
一款火绒增强HIPS自定义规则
- Win 版本号 - Windows 11 专业版 23H2 22631.2861 - 火绒版本号 - 5.0.75.1 - 火绒日志 (打开火绒日志界面,选择对应日志,导出/复制粘贴到此处) 火绒日志 触犯规则:Suspicious.ScriptHost.B 操作类型:【执行】 操作文件:C:\Windows\System32\wscript.exe 操作结果:已阻止 进程ID:2320 操作进程:C:\Windows\System32\svchost.exe 操作进程命令行:C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Schedule 父进程ID:1512...
mega[FP]
- Win 版本号 Windows 11 专业版 22631.3007 - 火绒版本号 5.0.75.1 - 火绒日志 (打开火绒日志界面,选择对应日志,导出/复制粘贴到此处) 触犯规则:Suspicious.RunFromSusPath.C 操作类型:【执行】 操作文件:C:\ProgramData\MEGAsync\MEGAupdater.exe 操作结果:已允许 进程ID:2092 操作进程:C:\Windows\System32\svchost.exe 操作进程命令行:C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule 父进程ID:1476 父进程:C:\Windows\System32\services.exe 父进程命令行:C:\Windows\system32\services.exe - 截图...
This pull request add the support for huorong sysdiag version 6 which was not supported by the current version of the rule. This pull request also fixed the issue mentioned...
