搜索
查看: 17146|回复: 85
收起左侧

[分享] ESET VS WD同样的Antimalware Protected Process Light自我保护技术却并不同

  [复制链接]
驭龙
发表于 2017-4-23 12:39:34 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2017-4-23 15:13 编辑

很多人觉得ESET好多年没有进步了,事情真的是这样吗?其实ESET一直是在小步快速的更新技术,只是没有那种令人眼前一亮的全新技术,但ESET的进步还是不少的,只是很低调,更新功能模块和引擎模块也是如此,新功能也一样低调。

大家还记得上个月的DoubleAgent吗?那货利用Verifier破坏了几乎除了WD的大部分安全软件的自我保护机制,WD之所以幸免于难是因为它的Antimalware Protected Process Light  技术,所以WD的MsMpEng进程不会被破坏,但是同样拥有Antimalware Protected Process Light  技术的ESET 10为什么会被DoubleAgent干掉?这是为什么呢?

先说什么是AM-PPL功能吧,关于它可看这个帖子。
http://bbs.kafan.cn/thread-1857947-1-1.html

PPL是系统级别的自我保护,下图中WD的MsMpEng已经受到PPL的保护了。
QQ拼音截图20170423113917.jpg

而ESET 10的内核进程ekrn也是受到PPL保护的,下图可见。
QQ拼音截图20170423112325.jpg

使用procexp.exe是无法查看有PPL保护的ekrn进程加载的模块。
QQ拼音截图20170423112358.jpg

这个PPL保护在ESET的HIPS设置里被称为“保护服务”。
QQ拼音截图20170423112128.jpg

不得不夸奖一下ESET,都说它这些年没有变化,可它是一直在变化的,只是低调而已,看这PPL自我保护技术是除了WD之外,第三方安全软件中仅有的使用PPL自我保护机制的安全软件了。(其他家我没有发现有PPL)

也就是说ESET使用WD那种PPL无赖自我保护机制的安全软件,自我保护级别连超级管理员账户都动不了,PPL的权限是比超级管理员权限还高,不加钩子和驱动(让系统蓝屏那种攻击不算)的话,即使是获得超级管理员权限也干不掉ESET。

那为什么同样使用PPL的ESET会出现被DoubleAgent破了的情况?这个是因为ESET用户层的egui进程没有PPL保护。
QQ拼音截图20170423112520.jpg

虽然WD也只有MsMpEng内核进程被PPL保护,但WD没有用户层,它与用户的交互依赖于系统本身,所以DoubleAgent无可奈何。

然而ESET的egui却会被DoubleAgent干掉,这就是WD与ESET的不同。
https://cybellum.com/doubleagent-taking-full-control-antivirus/
ESET AV do implement “Protected Processes”, however, not over all process so they are still vulnerable.

其实ESET的egui即使是被干掉,ESET的保护还是有的,只不过没有用户交互了。

关于ESET的egui被DoubleAgent破的情况,其实官方已经修复,HIPS模块1273版以后,就不会被DoubleAgent干掉了。
http://support.eset.com/ca6376/

我觉得ESET的进步还是很多的,如DLL格式的驱动引擎和持续不断更新的各种引擎模块,这些变化大家真的没有发现么?

最后宣传一下ESET最近几年各种新技术的介绍,感谢猪头无双的翻译。
http://bbs.kafan.cn/thread-2061099-1-1.html

评分

参与人数 10分享 +2 人气 +9 收起 理由
Hacker29cn + 1 现在卡饭还讲技术的不多了
HEMM + 1 漂漂亮技术好腻害~
屁颠屁颠 + 2 版区有你更精彩: )
Johnkay.Young + 1 版区有你更精彩: )
fireherman + 1 赞一个!

查看全部评分

引领四基生活
发表于 2017-4-23 12:52:43 | 显示全部楼层
前排学习
青春虎
发表于 2017-4-23 13:07:33 | 显示全部楼层
只能说ESET的变化很低调,进步也很低调,默默在前进
/tiao眼镜鱼
发表于 2017-4-23 13:07:34 | 显示全部楼层
来学习了
驭龙
 楼主| 发表于 2017-4-23 13:09:32 | 显示全部楼层
青春虎 发表于 2017-4-23 13:07
只能说ESET的变化很低调,进步也很低调,默默在前进

所以我看不惯那些说ESET N年没有变化的说法,要知道ESET 10.X的变化是很大的,只是人家低调而已
zx1z1
发表于 2017-4-23 13:47:25 | 显示全部楼层
前排支持龙大,
sunnyjianna
发表于 2017-4-23 14:09:10 | 显示全部楼层
前排支持,都是些干货啊
149713172
发表于 2017-4-23 15:07:57 来自手机 | 显示全部楼层
中排支持!!!低调有干货就行!
ylmfhhh
发表于 2017-4-23 16:16:12 | 显示全部楼层
最新10.1.204版本不稳定,自动升级到10.1.204.1版本一样也不稳定。
驭龙
 楼主| 发表于 2017-4-23 16:36:24 | 显示全部楼层
ylmfhhh 发表于 2017-4-23 16:16
最新10.1.204版本不稳定,自动升级到10.1.204.1版本一样也不稳定。

等10.2吧,我现在用企业版的6.6很稳定
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|纳美地| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-6-17 15:26 , Processed in 0.047323 second(s), 4 queries , MemCache On.

快速回复 返回顶部 返回列表