V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kome
V2EX  ›  信息安全

火绒网络入侵拦截的策略是怎么样的?

  •  
  •   kome · 2020-06-27 20:58:38 +08:00 · 2923 次点击
    这是一个创建于 1609 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天在 SE2 上用 nplayer 通过 SMB 看电脑内的视频, 视频是在移动硬盘里的(后测试本机硬盘也一样), 给移动硬盘挂了共享. 看了两个视频.

    1. [U3-Project] Ghost in the Shell (1995) [UHD-BD 4K 2160p HDR10 HEVC-yuv420p10 LPCM PGS(jpn,eng)].mkv
    2. 4K 风光 6 声道 2012.mkv

    然后在清理火绒托盘的通知时候看到了网络攻击.

    关联进程:System
    命令行:
    攻击方式:Exploit/MS09-050
    远程地址:192.168.1.102:65045
    本地地址:192.168.1.101:445
    防御结果:已阻止
    

    也是第一次(以前没注意)看到用 nplayer 看视频, 提示网络攻击的. 后来测试一下, 每次通过 SE2 的 nplayer 打开上述列表中的两条视频就会出现这个日志, 硬盘中的绝大多数(非全部)其他视频也会触发这条策略. 但是, iPad 在 nplayer 默认配置的基础上改动了同样的设置, 打开同样的视频就没有上述情况. 下载(同一个)视频也是如此, SE2 报网络入侵, iPad 无事发生.

    Windows 版本: 20150.1000
    火绒版本: 5.0.46.12
    火绒病毒库: 2020.06.27 16:17
    SE2 iOS 版本: 13.5.1
    SE2 nplayer 版本: 3.12.8.3
    iPad iOS 版本: 14.0
    iPad nplayer 版本: 3.12.8.3
    

    近一周, nplayer 有三次版本更新, 是不是为了适配 iOS14, 导致了这种问题? 或者说是火绒网络入侵检测策略的问题?

    3 条回复    2020-06-28 08:37:49 +08:00
    Xusually
        1
    Xusually  
       2020-06-27 21:02:16 +08:00
    Exploit/MS09-050 是 SMB 的漏洞
    iOS14 本身对本地网络的访问和发现又了变动,你用一些特别是带有本地网络服务发现的 app 的时候应该会发现有新的权限提醒,比如我家里的共享打印机 app 就有。
    搞不好就是新版对 LAN 的服务操作有变动引起的。
    reayyu
        2
    reayyu  
       2020-06-28 00:03:54 +08:00 via iPhone
    之前用火绒用不了 smb…直接屏蔽了
    wevve2696
        3
    wevve2696  
       2020-06-28 08:37:49 +08:00
    @Xusually 有没有联系方式 留个一个
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1042 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 19:13 · PVG 03:13 · LAX 11:13 · JFK 14:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.