楼主: 柯林
收起左侧

[讨论] 加驱就过?

[复制链接]
劲野
发表于 2018-6-27 13:44:08 | 显示全部楼层
安全永远只能相对而言,没有绝对...
ELOHIM
发表于 2018-6-27 15:36:07 | 显示全部楼层


我其实想着发一篇贴子来着。
不过楼主既然发了这篇, 我就蹭蹭热度好了。

在虚拟机测试的时候,如果使用管理员权限登录系统的话,双击,即使UAC没有关,恶意文件也会很快取得管理员权限,MSE大多数时候没反应。UAC也被关
如果使用标准用户登录,双击,如果有加驱的操作才能作恶的话,MSE十有八九会有反应。
简短说一下好了。。
lixihong10
发表于 2018-6-27 15:55:18 | 显示全部楼层
没看动。是要提取 PCHUNTER 的驱动文件出来还是???
wowocock
发表于 2018-6-27 16:06:05 | 显示全部楼层
加了驱动后,想怎么干就怎么干,什么杀软都是浮云。随便吊打。

评分

参与人数 1人气 +1 收起 理由
柯林 + 1 感谢解答: )

查看全部评分

缺缺
发表于 2018-6-27 16:09:47 | 显示全部楼层
这就是为什么这么多人讨厌猎豹和QQ了,尤其是QQ!!
GreenCodes
发表于 2018-6-27 16:15:54 | 显示全部楼层
windows早已不适合消费级用户,国外很多高校,商业机构都开始换装mac
柯林
 楼主| 发表于 2018-6-27 16:44:18 | 显示全部楼层
缺缺 发表于 2018-6-27 16:09
这就是为什么这么多人讨厌猎豹和QQ了,尤其是QQ!!

是啊,太那个啥了
柯林
 楼主| 发表于 2018-6-27 16:47:01 | 显示全部楼层
lixihong10 发表于 2018-6-27 15:55
没看动。是要提取 PCHUNTER 的驱动文件出来还是???

只是个简单测试,原以为杀软设置什么“文件保险箱”之类的可能真有点用处,想不到“并没什么卵用”……所以规则什么的,尴尬了
ccboxes
发表于 2018-6-27 18:53:49 | 显示全部楼层
我说,不懂就不要乱说。如果咖啡能拦,才是要敬而远之。

PCHunter的驱动经过微软的认证,与所有安全软件的驱动都是平级,想要在这种情况下监控甚至拦截其行为必然要部署Ring0级的对抗手段,甚至调用Windows的未公开API,这种完全无视用户系统稳定性和数据安全的做法是不可接受的。

至于病毒加驱的问题,Win7以上(不含Win7)不需要担心,默认情况下系统只允许加载受信任的驱动,同时安全软件的驱动将先于所有非必要驱动加载。就算是Win7及以下,未知文件加载未认证驱动这种行为实在太过显眼,过不了安软的主防。

如果你非要监控受信任驱动的行为,要么自学编程,要么花钱定制工具。

z2665
发表于 2018-6-27 21:36:53 | 显示全部楼层
驱动层对抗很多时候没有意义。很多时候hook你就只有定时恢复,会造成各种性能问题兼容问题。用户总不会喜欢让人蓝屏的软件。
而且大家安全软件搞驱动都这么多年了该用的未公开API很多都用过了。这里也无法成为壁垒。
所以只要进了ring0,大家都公平了。带hips的杀毒软件该做的就是控制好入口,阻止在加载驱动之前。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 12:43 , Processed in 0.100723 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表