对于前几天看到的绕过自我保护方法的测试

zay365

漏洞驱动白利用防不住就算了，连r3攻击都防不住就说不过去了@lifan88

温馨小屋

Miostartos 发表于 2020-2-23 22:43
这玩意只要有PPL就是随便防。
只能说微软都给你喂嘴上了都不用，还能说啥呢。
PS.诺顿以前不支持PPL被搞 ...

诺顿两个进程都没PPL，能拿到NS进程句柄，但是注入操作会被杀掉





卡巴只有avp有PPL，但是没有PPL的avpui也做了处理，可以免疫注入

记录微笑

McAfee ENS一般弄不死
因为他的Process Validation进程是PPL保护的，当其他进程被结束之后这个进程只要还在，就会立即尝试重启其他进程。上次遇到的那个ARK白利用把ENS按死之后这个进程一直后台待命，把被白利用的ARK关掉之后ENS就被拉起来了。

可能是为了稳定考虑，我记得咖啡个人版被结束会直接蓝屏

企稳向好

BD那个官方论坛人气好像不太行，要反馈的话建议还是直接发邮件联系技术支持。不过BD技术支持的水平也是一言难尽，搞不好又是拿些客套话糊弄了事
BD系好像都在一些问题上特别顽固，像BD官方对驱动的态度，EMSI对PPL的态度，BG对引擎的态度，GD对勒索的态度。也不知道他们是真的对自己的产品过于自信，还是只是假装顽固掩盖自己研发上的薄弱

lifan88

人家不劫持你还是给面子的（历史版本漏洞警告）r3日人手段确实坑

还是，报毒不算能防住，你按着思路重写一个，加点料，还能扫出来就有鬼了

真正考验杀软还是要看面对未知攻击的反应
补充一个，能截断这种类似操作和重写的主防确实这个杀软做的厉害。。。HIPS手动控制除外

lifan88

zay365 发表于 2020-2-24 09:10
漏洞驱动白利用防不住就算了，连r3攻击都防不住就说不过去了@lifan88

其实问题不大，就怕勒索硬盘锁给你来这手

HEMM

温馨小屋 发表于 2020-2-24 09:43
诺顿两个进程都没PPL，能拿到NS进程句柄，但是注入操作会被杀掉

也试试BUG豆嘛~是不是瞧不起BUG豆啊？
这款安软真是.....

桑德尔

温馨小屋 发表于 2020-2-24 09:43
诺顿两个进程都没PPL，能拿到NS进程句柄，但是注入操作会被杀掉

保护ekrn和avp就对了，PPL保护不了UI进程，需要额外处理才能免疫这招

火绒工程师

楼主您好，感谢测试，您反馈的问题已确认，火绒下个大版本升级后解决此问题，感谢您的反馈！

wohaofan1200

B开头的在我心目中的高大形象破碎
PS：本来觉得他家不仅常规引擎做得牛，主防也先进得不行，现在看来也是不思进取