改主页驱动木马一枚，运行后几乎免疫所有杀软

www-tekeze

pal家族 发表于 2018-12-5 21:36
抱歉，trusted application mode只信任合作者的书签和明确加白者
不是随便书签就信任的

pal大，这个实际不用解释，没哪家安全厂商会那么Low的。。。不过是调侃下kaba666而已。。。

kaba666

www-tekeze 发表于 2018-12-5 21:06
非白即黑？ 看楼下说的，有数签就被过了，没有哪种是万能的。。

不，原来老版本卡巴对隐藏加载驱动，会有红框提示，现在卡巴什么驱动都放过！这还是卡巴现在的设计上太大意了！我以前就测试过病毒对抗杀软，只要病毒加驱动成功，没有哪家杀软能抗衡！包括杀软自我保护功能！

www-tekeze

kaba666 发表于 2018-12-5 21:50
不，原来老版本卡巴对隐藏加载驱动，会有红框提示，现在卡巴什么驱动都放过！这还是卡巴现在的设计上太大 ...

详细不清楚，对国外杀软没太多了解。。。但你说那个信任模式仍有漏洞，比如CCleaner闹的那件事，所以我说没有哪种是万能的。。。

记录微笑

www-tekeze 发表于 2018-12-5 21:21
360也是默认开启，关不掉。。。火绒那个写MBR的也是默认不开启，反正都想减少弹窗，提升体验，和火绒官人 ...

其实我认为GD有意隐藏了主防关闭按钮蛮好的，保证了用户即使关闭了文件系统监控后还有一道防线。

www-tekeze

whl2606555 发表于 2018-12-5 22:15
其实我认为GD有意隐藏了主防关闭按钮蛮好的，保证了用户即使关闭了文件系统监控后还有一道防线。

隐藏？那就是直接不让关？ 火绒分三项，监控是“文件实时监控”，关闭后不影响扫描，单步主防是“系统加固”，行为主防是“恶意行为监控”。。。想测主防把文件实时监控关了就行。

记录微笑

www-tekeze 发表于 2018-12-5 22:24
隐藏？那就是直接不让关？ 火绒分三项，监控是“文件实时监控”，关闭后不影响扫描，单步主防是“系统加 ...

大部分杀毒软件是在托盘就可以完全关闭杀软，GD想关主防必须到主界面里关闭，而且强制在重启后打开。这样从客观上可以避免用户关闭行为监控。我看b站很多测病毒的就被GD这点给坑了。

ccboxes

kaba666 发表于 2018-12-5 21:50
不，原来老版本卡巴对隐藏加载驱动，会有红框提示，现在卡巴什么驱动都放过！这还是卡巴现在的设计上太大 ...

大意。。。。。。。。。。。。
各大厂都有着几百人的团队，拦截驱动安装加载是有主防的安软必须具有的能力，他们会想不到？只是手动的HIPS不再开放拦截加驱这个功能。卡巴的主防PDM对于可疑加驱有专门报法，只是你没见过。

但是如果你想要安软阻止一个已经加载的恶意驱动，甚至要在没有活动安软驱动的情况下，只要病毒作者花精力针对就是不可能的。在R0，对抗手段实在太多了，以明敌暗，以后敌先，没有胜算。

对于驱动病毒，我同意@wowocock的说法，进PE铲了它，不要在受感染的系统上浪费时间。

PS:如果真的极度在乎安全，你就不该纠结安软，你应该去学习使用HIPS或白名单制的防护软件。

落华无痕

ccboxes 发表于 2018-12-5 22:53
大意。。。。。。。。。。。。
各大厂都有着几百人的团队，拦截驱动安装加载是有主防的安软必须具有的能 ...

就算进pe删除，也得知道病毒在哪里呢。木马运行后重启了电脑的话，杀软根本扫描不到木马。没经验的人来说，就无从下手了。除非进pe把drivers目录复制到其他目录，再重启用杀软扫描。万一不在drivers目录呢？

ccboxes

落华无痕 发表于 2018-12-5 23:06
就算进pe删除，也得知道病毒在哪里呢。木马运行后重启了电脑的话，杀软根本扫描不到木马。没经验的人来说 ...

除非是APT级别的无文件威胁，驱动病毒是一定在注册表里有注册信息，好找的很，PE下根本藏不住。懒得找的话，各大都有可以在PE下运行的扫描器，进PE全盘扫描就是。至于手杀当然是有相关知识的人才做，小白需要做的（也只能做的）是不要关安软，以及危险操作前备份系统。

dsb2466

ccboxes 发表于 2018-12-5 22:53
大意。。。。。。。。。。。。
各大厂都有着几百人的团队，拦截驱动安装加载是有主防的安软必须具有的能 ...

其实不太认可@wowocock 进PE下进行操作，杀软的意义就是尽可能的降低用户清除病毒的难度，你不能指望一个用户他会知道如何进PE（事实上，如果用户知道如何进安全模式都是谢天谢地了。。。）