ESET VS WD同样的Antimalware Protected Process Light自我保护技术却并不同

驭龙

很多人觉得ESET好多年没有进步了，事情真的是这样吗？其实ESET一直是在小步快速的更新技术，只是没有那种令人眼前一亮的全新技术，但ESET的进步还是不少的，只是很低调，更新功能模块和引擎模块也是如此，新功能也一样低调。

大家还记得上个月的DoubleAgent吗？那货利用Verifier破坏了几乎除了WD的大部分安全软件的自我保护机制，WD之所以幸免于难是因为它的Antimalware Protected Process Light  技术，所以WD的MsMpEng进程不会被破坏，但是同样拥有Antimalware Protected Process Light  技术的ESET 10为什么会被DoubleAgent干掉？这是为什么呢？

先说什么是AM-PPL功能吧，关于它可看这个帖子。
http://bbs.kafan.cn/thread-1857947-1-1.html

PPL是系统级别的自我保护，下图中WD的MsMpEng已经受到PPL的保护了。


而ESET 10的内核进程ekrn也是受到PPL保护的，下图可见。


使用procexp.exe是无法查看有PPL保护的ekrn进程加载的模块。


这个PPL保护在ESET的HIPS设置里被称为“保护服务”。


不得不夸奖一下ESET，都说它这些年没有变化，可它是一直在变化的，只是低调而已，看这PPL自我保护技术是除了WD之外，第三方安全软件中仅有的使用PPL自我保护机制的安全软件了。（其他家我没有发现有PPL）

也就是说ESET使用WD那种PPL无赖自我保护机制的安全软件，自我保护级别连超级管理员账户都动不了，PPL的权限是比超级管理员权限还高，不加钩子和驱动（让系统蓝屏那种攻击不算）的话，即使是获得超级管理员权限也干不掉ESET。

那为什么同样使用PPL的ESET会出现被DoubleAgent破了的情况？这个是因为ESET用户层的egui进程没有PPL保护。


虽然WD也只有MsMpEng内核进程被PPL保护，但WD没有用户层，它与用户的交互依赖于系统本身，所以DoubleAgent无可奈何。

然而ESET的egui却会被DoubleAgent干掉，这就是WD与ESET的不同。
https://cybellum.com/doubleagent-taking-full-control-antivirus/

ESET AV do implement “Protected Processes”, however, not over all process so they are still vulnerable.

其实ESET的egui即使是被干掉，ESET的保护还是有的，只不过没有用户交互了。

关于ESET的egui被DoubleAgent破的情况，其实官方已经修复，HIPS模块1273版以后，就不会被DoubleAgent干掉了。
http://support.eset.com/ca6376/

我觉得ESET的进步还是很多的，如DLL格式的驱动引擎和持续不断更新的各种引擎模块，这些变化大家真的没有发现么？

最后宣传一下ESET最近几年各种新技术的介绍，感谢猪头无双的翻译。
http://bbs.kafan.cn/thread-2061099-1-1.html

引领五基生活

前排学习

青春虎

只能说ESET的变化很低调，进步也很低调，默默在前进

/tiao眼镜鱼

来学习了

驭龙

青春虎 发表于 2017-4-23 13:07
只能说ESET的变化很低调，进步也很低调，默默在前进

所以我看不惯那些说ESET N年没有变化的说法，要知道ESET 10.X的变化是很大的，只是人家低调而已

花月

前排支持龙大，

sunnyjianna

前排支持，都是些干货啊

149713172

中排支持！！！低调有干货就行！

ylmfhhh

最新10.1.204版本不稳定，自动升级到10.1.204.1版本一样也不稳定。

驭龙

ylmfhhh 发表于 2017-4-23 16:16
最新10.1.204版本不稳定，自动升级到10.1.204.1版本一样也不稳定。

等10.2吧，我现在用企业版的6.6很稳定