查看: 12159|回复: 28
收起左侧

[一般话题] AMP耍无赖技术之AM-PPL: Antimalware Protected Process Light

[复制链接]
驭龙
发表于 2015-10-17 10:33:42 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2015-10-17 10:51 编辑

微软现在又把它的杀毒软件改称呼了,现在叫Anti-Malware Platform,简称AMP

前几天的VB 2015上Microsoft发布了新的AMP白皮书,其中提到Windows 10上的WD 4.8包含三大重要改进,其中有一个真的是有一点耍无赖的感觉,这就是标题上说的AM-PPL技术,全称为Anti-Malware Protected Process Light=反恶意软件受保护轻进程

AM-PPL: Antimalware Protected Process Light的玩赖在于它的作用是这样的
• AM processes can run critical user-mode service components as AM-PPL which is at a higher level than an Admin thus can help shield itself from admin level malware
机器翻译:
•AM进程可以运行关键用户模式服务组件为AM-PPL 这是比管理员更高等级,从而可以帮助自己防护管理员等级的恶意软件

这是不是耍无赖?WD的权限比Admin权限更高,这个能够抵御管理员权限运行的威胁攻击WD进程,这权限不一般啊。

除了这玩赖的技术,还有之前说过的Secure ETW技术和高级清除Rootkits技术
• Secure Event Channel
• Extensible channel that provides critical insight into process activities
• AMs can listen to selected TCB/kernel/win32 level events without kernel level hooks
• TCB/kernel events are trusted, they cannot be tampered with by malware
• Whitepaper published via Connect in Feb 2015.

• Inbox support for Offline Cleaning
• WSC provides API to AM apps to make use of inbox WinRE (Windows Recovery Environment) to provide seamless frictionless offline cleaning experience.
• AM applications can remove rootkits and kernel malware difficult to clean online using this feature, without a need to carry their own offline environment.
We will be encouraging you to use these as undocumented


更多的官方原文,可以参阅AMP白皮书
https://www.virusbtn.com/pdf/con ... tchelder-VB2015.pdf

最后说一下,尽管AMP不断完善和进化,我还是不推荐不了解它的用户使用它,安全软件有不计其数,选择适合自己的很重要,没必要选择你不了解的基准线级别杀软AMP,这是我给大家的忠告,如果以后大家用AMP中毒,可不要怪我没有提醒你哦。
EnZhSTReLniKoVa
发表于 2015-10-17 10:37:04 | 显示全部楼层
用WD 需谨慎,一切后果自负 哈哈  七伤拳啊。。。
国民艾特
发表于 2015-10-17 10:39:15 | 显示全部楼层
是時候準備換殺軟了  WD我現在放心不了
驭龙
 楼主| 发表于 2015-10-17 10:45:07 | 显示全部楼层
君陌潇 发表于 2015-10-17 10:37
用WD 需谨慎,一切后果自负 哈哈  七伤拳啊。。。

然而关于七伤拳,百度百科有一句:
但这七伤拳倘由内力未臻化境的人来使用,对自己有极大伤害,伤人也伤己。内功达到很高深的境界,练了才会对身体有好处。

我内功深厚,练个七伤拳纯属强身健体,内功不够的要慎用哦

评分

参与人数 1人气 +1 收起 理由
HEMM + 1 兄台,当心走火入魔啊~你需要KISS助清心~

查看全部评分

HEMM
发表于 2015-10-17 10:47:14 | 显示全部楼层
这么说这个阿妈漂漂亮功能是用于自保?
也成啊!咱不在检测率上下功夫,有自保在手,入库晚点,慢慢清理大法........
sjneng
发表于 2015-10-17 10:56:43 | 显示全部楼层
MSE改名叫AMP??

不是基本防御了??查杀会上去吗??
驭龙
 楼主| 发表于 2015-10-17 11:13:22 | 显示全部楼层
sjneng 发表于 2015-10-17 10:56
MSE改名叫AMP??

不是基本防御了??查杀会上去吗??

不太可能,而且AMP只不过是个统称,没啥的
c68111c
发表于 2015-10-17 11:36:51 | 显示全部楼层
win8.1就沒這功能囉?
驭龙
 楼主| 发表于 2015-10-17 12:09:33 | 显示全部楼层
c68111c 发表于 2015-10-17 11:36
win8.1就沒這功能囉?

官方只是说win 10的WD,不过我不确定win 8.1有没有
cxy密斯
发表于 2015-10-17 14:30:28 | 显示全部楼层
是不是意味着攻克了wd的权限系统跟着也就很容易玩玩了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 03:37 , Processed in 0.128694 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表