ESET VS WD同样的Antimalware Protected Process Light自我保护技术却并不同

驭龙

很多人觉得ESET好多年没有进步了，事情真的是这样吗？其实ESET一直是在小步快速的更新技术，只是没有那种令人眼前一亮的全新技术，但ESET的进步还是不少的，只是很低调，更新功能模块和引擎模块也是如此，新功能也一样低调。

大家还记得上个月的DoubleAgent吗？那货利用Verifier破坏了几乎除了WD的大部分安全软件的自我保护机制，WD之所以幸免于难是因为它的Antimalware Protected Process Light  技术，所以WD的MsMpEng进程不会被破坏，但是同样拥有Antimalware Protected Process Light  技术的ESET 10为什么会被DoubleAgent干掉？这是为什么呢？

先说什么是AM-PPL功能吧，关于它可看这个帖子。
http://bbs.kafan.cn/thread-1857947-1-1.html

PPL是系统级别的自我保护，下图中WD的MsMpEng已经受到PPL的保护了。


而ESET 10的内核进程ekrn也是受到PPL保护的，下图可见。


使用procexp.exe是无法查看有PPL保护的ekrn进程加载的模块。


这个PPL保护在ESET的HIPS设置里被称为“保护服务”。


不得不夸奖一下ESET，都说它这些年没有变化，可它是一直在变化的，只是低调而已，看这PPL自我保护技术是除了WD之外，第三方安全软件中仅有的使用PPL自我保护机制的安全软件了。（其他家我没有发现有PPL）

也就是说ESET使用WD那种PPL无赖自我保护机制的安全软件，自我保护级别连超级管理员账户都动不了，PPL的权限是比超级管理员权限还高，不加钩子和驱动（让系统蓝屏那种攻击不算）的话，即使是获得超级管理员权限也干不掉ESET。

那为什么同样使用PPL的ESET会出现被DoubleAgent破了的情况？这个是因为ESET用户层的egui进程没有PPL保护。


虽然WD也只有MsMpEng内核进程被PPL保护，但WD没有用户层，它与用户的交互依赖于系统本身，所以DoubleAgent无可奈何。

然而ESET的egui却会被DoubleAgent干掉，这就是WD与ESET的不同。
https://cybellum.com/doubleagent-taking-full-control-antivirus/

ESET AV do implement “Protected Processes”, however, not over all process so they are still vulnerable.

其实ESET的egui即使是被干掉，ESET的保护还是有的，只不过没有用户交互了。

关于ESET的egui被DoubleAgent破的情况，其实官方已经修复，HIPS模块1273版以后，就不会被DoubleAgent干掉了。
http://support.eset.com/ca6376/

我觉得ESET的进步还是很多的，如DLL格式的驱动引擎和持续不断更新的各种引擎模块，这些变化大家真的没有发现么？

最后宣传一下ESET最近几年各种新技术的介绍，感谢猪头无双的翻译。
http://bbs.kafan.cn/thread-2061099-1-1.html

引领五基生活

前排学习

青春虎

只能说ESET的变化很低调，进步也很低调，默默在前进

/tiao眼镜鱼

来学习了

驭龙

青春虎 发表于 2017-4-23 13:07
只能说ESET的变化很低调，进步也很低调，默默在前进

所以我看不惯那些说ESET N年没有变化的说法，要知道ESET 10.X的变化是很大的，只是人家低调而已

花月

前排支持龙大，

sunnyjianna

前排支持，都是些干货啊

149713172

中排支持！！！低调有干货就行！

ylmfhhh

最新10.1.204版本不稳定，自动升级到10.1.204.1版本一样也不稳定。

驭龙

ylmfhhh 发表于 2017-4-23 16:16
最新10.1.204版本不稳定，自动升级到10.1.204.1版本一样也不稳定。

等10.2吧，我现在用企业版的6.6很稳定

DF快递

这个比admin还高的权限,是不是SYSTEM.
如果不是,与SYSTEM相比权限哪个高

驭龙

DF快递 发表于 2017-4-23 16:54
这个比admin还高的权限,是不是SYSTEM.
如果不是,与SYSTEM相比权限哪个高

PPL跟System相比的话，也是并不输的，应该是相同级别，核心系统进程也是受到PPL保护的

j2016

我倒觉得现在的avast进步很大

B100D1E55

很多人没意识到传统引擎能长年保持高检出极低误报已经是个巨大进步了，一些厂商传统路子混不下去了才开始主打IoC、晕拉黑之类的路子
支持一下

ELOHIM

B100D1E55 发表于 2017-4-23 20:29
很多人没意识到传统引擎能长年保持高检出极低误报已经是个巨大进步了，一些厂商传统路子混不下去了才开始主 ...

你有什么好方法，为什么大神这样讲话？

FUZE

这么吊？坐等其他杀软跟进！

fireherman

B100D1E55 发表于 2017-4-23 20:29
很多人没意识到传统引擎能长年保持高检出极低误报已经是个巨大进步了，一些厂商传统路子混不下去了才开始主 ...

这样说也未免有失偏颇了，或者说时代的变迁必然促使技术的革新；

回头看看，56KB喵喵的年代，即使有云……也发挥不出其功能，这让我想起一家技术革新的公司：虽然我没用过他的产品：Cyrix（被VIA收购）

当年（1995年），它推出了整合板的概念（主板集合了声卡，显卡，网卡），现在看来……这是多么的普遍，各大都这么做；但在当年……它就是一个突破，是第一家这么做的CPU厂商，尽管最后他在强大的Intel面前失败了，只能慨叹一句：时不我与。


所以……云查杀/云拉黑 可以说是高速网络时代下的产物，因此那些传统引擎的厂商（包括ESET）也该在这方面发挥自己的专才；BD其实就是个好例子，他的ATC其实也依靠云的。

或者说，ESET在传统引擎+本地查杀的基础上有优势，但网络大数据时代的来临也是个不折不扣，不可回避的现实，那么……

帅哥……快把你的玉照发来我邮箱……让我撸一把。

B100D1E55

ELOHIM 发表于 2017-4-23 20:39
你有什么好方法，为什么大神这样讲话？

我说的是“主打”。云端计算资源丰富不用过分权衡检出率和性能影响的问题，云端不透明因此不用太担心针对性免杀和变形，IoC比传统启发规则更好判识……这些新手段把厂商从早年一些问题中解放出来，但也带来了另一些问题，例如自动提取特征在检出的鲁棒性上就值得质疑，IoC的广谱性/准确性同样如此。
到头来如果一个恶意软件家族发展起来还是得靠添加特征/重新训练模型/增加规则来跟进而不是拉黑，云在当中只能缩短这个响应周期+增大样本收集量。因此我个人不太相信纯云或者是卖弄ML万灵药噱头的解决方案，前者怕是经不起暗处技术对抗，后者大多是初创搞的噱头
话说回来突然想到云主防响应倒是一个例外，由于所处抽象层高（行为解析上），针对性更新规则往往能有效抑制一整个家族的威胁，但相应的对客户端有高要求（别被轻易杀掉/断网之类的）。这点来看360的解决方案相当明智……当然这个规则更新也不是自动化能做到的
并不是大神，所以我讲的也不一定确切

桑德尔

学习了

B100D1E55

fireherman 发表于 2017-4-23 20:59
这样说也未免有失偏颇了，或者说时代的变迁必然促使技术的革新；

回头看看，56KB喵喵的年代，即使 ...

我说的是“主打”啦。ATC有本地模型的，而且会定期重新训练权重并下放到客户端。我这里更多指的是靠简单的自动提取特征谋生的厂商。要说云的话ESET也有啊，但是主打这个显然不是长久之计。本地总要有个高效的模型来广谱判识，不然按照恶意文件产生的速度和云端判识的速度的差距，客户端怕是永远追不上新恶意软件的步伐。
ESET貌似对误报控制有很强的执着，这点我喜欢