感觉卡巴斯基的进程很容易就被结束的样子？

显示全部楼层 · 发表于 2019-2-18 16:03:19

程序管理猿发表于 2019-2-18 15:47
https://bbs.kafan.cn/thread-2138187-1-1.html
就是这个。一旦加载后基本上清除不了，除非offline。

这个也太特殊了，不具有代表性。。。加载成功几乎什么杀软都得跪。。

显示全部楼层 · 发表于 2019-2-18 21:09:26

本帖最后由 ccboxes 于 2019-2-18 21:14 编辑

程序管理猿发表于 2019-2-18 12:30
注册皮包公司弄个数字签名或者偷一个或者索性利用不规范的驱动，不是什么难事。据我所知，金山，火绒，腾 ...

安软在Ring0层的对抗中先天劣势，还是那句话：考虑到兼容性、稳定性和资源占用，安全软件不能部署太多驱动级的对抗手段，除非是专杀类的清除工具。Win10已经比Win7要好的多，UEFI+Security Boot下起码没有受信任签名的内核驱动已经无法用正常方式加载。

不过注册皮包公司是不可能的，目前Win10的内核驱动必须有微软的签名才能加载，都是审核过的，非内核驱动威胁性小得多。利用合法驱动我只能说驱动连与其通信的进程都不验证，程序员该开除。这类问题永远没有解决方法，毕竟Windows作为一个开放的操作系统，总是要信任一些第三方的。

显示全部楼层 · 发表于 2019-2-18 22:55:37

www-tekeze 发表于 2019-2-18 16:03
这个也太特殊了，不具有代表性。。。加载成功几乎什么杀软都得跪。。

确实比较特殊，但以后可能会成为常态。这种长期驻留能力是黑产长期的追求。

显示全部楼层 · 发表于 2019-2-18 22:56:54

本帖最后由程序管理猿于 2019-2-18 23:04 编辑

ccboxes 发表于 2019-2-18 21:09
安软在Ring0层的对抗中先天劣势，还是那句话：考虑到兼容性、稳定性和资源占用，安全软件不能部署太多驱 ...

说的很有道理。安全软件的包袱多，任务重。
另外据14L说，卡巴对未知程序加载驱动都会报毒，不知道是否准确？

显示全部楼层 · 发表于 2019-2-18 23:07:15

程序管理猿发表于 2019-2-18 22:55
确实比较特殊，但以后可能会成为常态。这种长期驻留能力是黑产长期的追求。

成为常态？看22楼解答，也只会是一些漏网之鱼。。。

0day利用才是黑产最大的追求，但0day很值钱，也不用过于担心。

显示全部楼层 · 发表于 2019-2-18 23:12:06

www-tekeze 发表于 2019-2-18 23:07
成为常态？看22楼解答，也只会是一些漏网之鱼。。。

0day利用才是黑产最大的追求，但0day很值钱，也 ...

不是一些漏网之鱼而是不少。微软的限制大部分落在了安全软件身上，给黑产的压力反而没那么大。
说0Day那就更是了，本地提权漏洞就可以随意进内核。进了内核当然要想办法长期驻留。

显示全部楼层 · 发表于 2019-2-18 23:33:29

本帖最后由 www-tekeze 于 2019-2-18 23:46 编辑

程序管理猿发表于 2019-2-18 23:12
不是一些漏网之鱼而是不少。微软的限制大部分落在了安全软件身上，给黑产的压力反而没那么大。
说0Day那 ...

bug10确实对安软限制更多。。。本地提权漏洞也没那么多，除非从不打补丁那当然没救。

补充：如果微软已提供补丁，那就不成其为0day，所以能真正称为0day的很少很少，非常值钱没那么容易搞到。

显示全部楼层 · 发表于 2019-2-19 09:26:58

有点纠结的问题。

显示全部楼层 · 发表于 2019-2-21 16:36:43

星星#星星发表于 2019-2-18 00:33
如果病毒也用着一样的技术呢？

病毒需要加载驱动来进入内核，才能实现PChunter 的功能，你觉得呢？

显示全部楼层 · 发表于 2019-2-21 17:31:25

静影沉璧发表于 2019-2-18 00:17
用不着这么麻烦，把系统时间改了就行了

这个黑色的ui怎么搞的

[交流探讨] 感觉卡巴斯基的进程很容易就被结束的样子？

评分