收藏本站
切换到窄版

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
执盾者安全社区»论坛 冰盾主动防御系统 规则分享 (原第三方规则)实用改进
返回列表 发新帖
查看: 454|回复: 3

(原第三方规则)实用改进

[复制链接]
KomeijiReimu

1

主题

3

回帖

65

积分

注册会员

积分
65
发表于 2025-11-10 17:18:14 | 显示全部楼层 |阅读模式
本帖最后由 KomeijiReimu 于 2025-11-15 17:08 编辑

https://bbs.trustsing.com/forum. ... d=10&extra=page%3D1
这个里面居然也有我的规则

以sanhu35最后的规则为蓝本,仔细检查了一遍,以*包围命令行,以应对执行规则里面变形指令(比如加空格等),然后添加了更多情况

添加反stealer
增加更多文件关联,右键菜单与系统配置的注册表规则(比如电源计划、sessionmanager、首选语言等)
添加了一些规则以更好地辅助内置规则(感谢GDHJDSYDH的思路)

一切从简,拦截靠后。不能盲目把狩猎思路的sigma规则搬到Hips上来,否则会导致麻烦的误报。

注意阅读各种规则和规则组的说明(尤其是文件防窃取),比如更新的时候要关闭注册表防护> 持久化启动> 内核初始化规则(我的做法是更新系统的时候停止冰盾)

更新或安装软件的时候,必定会出发这里的文件规则中的修改程序重要文件,因此可以新建一个工作区,安装程序的时候切换到新的关闭此条规则的工作区后,再切换回来


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
回复

举报

kanglehao

0

主题

1

回帖

14

积分

新手上路

积分
14
发表于 2025-11-12 17:24:06 | 显示全部楼层
感谢分享
回复

举报

赵世哲

0

主题

2

回帖

22

积分

新手上路

积分
22
发表于 2025-11-12 21:59:04 | 显示全部楼层
谢谢楼主分享
回复

举报

suspiro

0

主题

4

回帖

30

积分

新手上路

积分
30
发表于 昨天 20:40 | 显示全部楼层
感谢分享
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|执盾者安全社区 ( 粤ICP备2023119480号-1 )

GMT+8, 2025-12-20 05:35 , Processed in 0.017627 second(s), 23 queries .

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表