关于火绒启动优化管理，是否加入驱动对抗

www-tekeze

yzsts 发表于 2018-5-7 10:51
没用的，那个千牛自动更新，我在火绒剑自动启动项禁用了，计划服务里面也禁用了，过几天在看又出来了

如果火绒剑也禁用不了，那就没辙了。。。火绒不搞驱动对抗，估计也是考虑到有可能引起系统不稳，冲突蓝屏啥的。。

dannes456

火绒的启动项管理就是鸡肋，好多东西明明启动了但是查不到，还有就是有程序要自启动了，火绒当时没有任何反应，非要重启电脑才能提醒，这样的启动项管理要它何用？

wowocock

驱动对抗本身就是条不归路，都在内核，对抗只能是无限的升级，即使其他做对抗的杀软也只是在有限的范围内。所以拦截恶意驱动的加载，才是各大杀软的根本。别人都进来了，想怎么搞，基本也是随心所欲的事。木马可以乱搞，不怕死机蓝屏，正规软件可不敢。

驭龙

wowocock 发表于 2018-5-8 10:04
驱动对抗本身就是条不归路，都在内核，对抗只能是无限的升级，即使其他做对抗的杀软也只是在有限的范围内。 ...

估计以后的病毒想玩内核也不是都能玩的了，1803系统以后，进入内核的门槛又高了一点，WDSG的内核隔离能抵挡一部分低技术的内核威胁，所以现在玩对抗不如玩封堵入口，对吧

我就是XXX

zmyx279323199 发表于 2018-5-6 19:04
聊天软件、浏览器都加驱，到底谁带的头？有些功能不用加驱就能实现，却非要加驱去实现

说的没错，各种XJB加驱，还TM喜欢扫描用户硬盘。

ELOHIM

驱动对抗？
就是说，你有核武，我也有核武。不估后果的看谁先按发射按钮？
同归于尽？

憋了好几天的话，今天才看到有同样的意见……

wowocock

驭龙 发表于 2018-5-8 10:14
估计以后的病毒想玩内核也不是都能玩的了，1803系统以后，进入内核的门槛又高了一点，WDSG的内核隔离能抵 ...

内核隔离的确增加了不少安全性，不过兼容性是个问题，VMWARE是直接挂了。不过木马驱动还是能加载，WIN系统的的缺点是太开放，导致怎么做总会留下缺口。

驭龙

wowocock 发表于 2018-5-8 10:47
内核隔离的确增加了不少安全性，不过兼容性是个问题，VMWARE是直接挂了。不过木马驱动还是能加载，WIN系 ...

嗯，兼容是个问题，不能玩虚拟机了

WDSG只是提高了安全门槛，但不能阻止一切威胁

不过话说开启HVCI规则，只允许微软签名驱动加载的话，应该可以阻止大部分的驱动病毒，只是兼容性太差，所有驱动都要有WHQL认证，兼容性太弱

wowocock

驭龙 发表于 2018-5-8 10:55
嗯，兼容是个问题，不能玩虚拟机了

WDSG只是提高了安全门槛，但不能阻止一切威胁

现在做木马都是有钱人，开几个皮包公司，注册申请微软签名就和玩一样。

驭龙

wowocock 发表于 2018-5-8 11:00
现在做木马都是有钱人，开几个皮包公司，注册申请微软签名就和玩一样。

WHQL不是需要微软测试的吗？他们只是测试兼容性，不测试行为么？

其实WDSG只是个辅助，还是需要一个安软的，期待核晶防护引擎早日支持WDSG的内核隔离