加驱就过？

显示全部楼层 · 发表于 2018-6-27 13:44:08

安全永远只能相对而言，没有绝对...

显示全部楼层 · 发表于 2018-6-27 15:36:07

我其实想着发一篇贴子来着。
不过楼主既然发了这篇，我就蹭蹭热度好了。

在虚拟机测试的时候，如果使用管理员权限登录系统的话，双击，即使UAC没有关，恶意文件也会很快取得管理员权限，MSE大多数时候没反应。UAC也被关
如果使用标准用户登录，双击，如果有加驱的操作才能作恶的话，MSE十有八九会有反应。

简短说一下好了。。

显示全部楼层 · 发表于 2018-6-27 15:55:18

没看动。是要提取 PCHUNTER 的驱动文件出来还是？？？

显示全部楼层 · 发表于 2018-6-27 16:06:05

加了驱动后，想怎么干就怎么干，什么杀软都是浮云。随便吊打。

显示全部楼层 · 发表于 2018-6-27 16:09:47

这就是为什么这么多人讨厌猎豹和QQ了，尤其是QQ!!

显示全部楼层 · 发表于 2018-6-27 16:15:54

windows早已不适合消费级用户，国外很多高校，商业机构都开始换装mac

显示全部楼层 · 发表于 2018-6-27 16:44:18

缺缺发表于 2018-6-27 16:09
这就是为什么这么多人讨厌猎豹和QQ了，尤其是QQ!!

是啊，太那个啥了

显示全部楼层 · 发表于 2018-6-27 16:47:01

lixihong10 发表于 2018-6-27 15:55
没看动。是要提取 PCHUNTER 的驱动文件出来还是？？？

只是个简单测试，原以为杀软设置什么“文件保险箱”之类的可能真有点用处，想不到“并没什么卵用”……所以规则什么的，尴尬了

显示全部楼层 · 发表于 2018-6-27 18:53:49

我说，不懂就不要乱说。如果咖啡能拦，才是要敬而远之。

PCHunter的驱动经过微软的认证，与所有安全软件的驱动都是平级，想要在这种情况下监控甚至拦截其行为必然要部署Ring0级的对抗手段，甚至调用Windows的未公开API，这种完全无视用户系统稳定性和数据安全的做法是不可接受的。

至于病毒加驱的问题，Win7以上（不含Win7）不需要担心，默认情况下系统只允许加载受信任的驱动，同时安全软件的驱动将先于所有非必要驱动加载。就算是Win7及以下，未知文件加载未认证驱动这种行为实在太过显眼，过不了安软的主防。

如果你非要监控受信任驱动的行为，要么自学编程，要么花钱定制工具。

显示全部楼层 · 发表于 2018-6-27 21:36:53

驱动层对抗很多时候没有意义。很多时候hook你就只有定时恢复，会造成各种性能问题兼容问题。用户总不会喜欢让人蓝屏的软件。
而且大家安全软件搞驱动都这么多年了该用的未公开API很多都用过了。这里也无法成为壁垒。
所以只要进了ring0，大家都公平了。带hips的杀毒软件该做的就是控制好入口，阻止在加载驱动之前。

[讨论] 加驱就过？

评分