Malware Defender版本为2.7.3无法下载内核符号文件,咋整？

显示全部楼层 · 发表于 2020-3-20 15:32:22

本帖最后由 zhousulin5 于 2020-3-20 15:35 编辑

lifan88 发表于 2020-3-20 12:53
然而MD并没有你想象地那么牛，被人挖漏洞直接gg

你需要看看这个：http://bbs.micropoint.com.cn ...

我的印象中，你所找到的MD的漏洞大部分都可以归结为规则的漏洞。而且大部分都是忽略了对注册表的恶意修改，还有一些则是忽略了对系统进程的注入。例如你举例那个利用总线枚举接口实现加驱，MD确实发现不了它的加驱动作，但是防住了修改注册表就能防住这个样本。
让人测试的时候，怎能叫人故意去允许一些危险行为然后说MD被穿呢？例如修改explorer内存、伪造系统服务、底层写磁盘，使用HIPS的价值就在于管控这些危险行为。
所以，我认为飘的说法没问题。即便MD有不少漏洞，它仍然是目前为止最能保证安全的工具，只是效果因人而异。
当然了，白加黑是MD的软肋，也是所有手动HIPS的软肋，这基本无解。

显示全部楼层 · 发表于 2020-3-20 15:58:41

本帖最后由 lifan88 于 2020-3-20 16:07 编辑

zhousulin5 发表于 2020-3-20 15:32
我的印象中，你所找到的MD的漏洞大部分都可以归结为规则的漏洞。而且大部分都是忽略了对注册表的恶意修改 ...

不是，你误解我的意思了。。。

你说的这些完全是可以防御的，我指的MD被穿就只有三个，就只有三个。

第一种是内核漏洞，穿MD是直接NTOS，内核0day，equation的某组件在某个xp版本不需要任何注册表，驱动和注入直接进内核

其余的都是某些版本的内核可以在r3下恢复你的ssdt，同样也是不需要驱动，也不需要注册表，而且还没有让MD能识别的读ntos操作

还有就是gapz的注入explorer的shellcode，不需要注册表，也不需要驱动，直接注入explorer，然后你说的规则漏洞，正常情况下explorer在XP下是MD提示一直会读取dr0，然而那个要是利用explorer写磁盘你能不能认出来？

所以你需要多了解一下大佬的操作有多骚，r3穿md的基本没见过，都是内核漏洞穿的MD

其余的我自己测试就没有过得了MD的，你应该多理解我的意思

然后你不看看第二个回复锁死HIPS的，我给你看的并不是第一个，是第二个，可能可以直接打开你驱动设备发东西直接抬走MD，不需要注入，不需要注册表，但是需要驱动，这个驱动就是MD自己的驱动（这种行为除非是取证工具级别，不然是不可视的）。

我推荐是，多了解漏洞，才会知道一切都是纸（某绒在最近已经被人挖爆了，低权限，UAC拉最高，直接注入某绒和对驱动设备发消息都实现了）

显示全部楼层 · 发表于 2020-3-20 16:02:45

zhousulin5 发表于 2020-3-20 15:32
我的印象中，你所找到的MD的漏洞大部分都可以归结为规则的漏洞。而且大部分都是忽略了对注册表的恶意修改 ...

我再重复一次，能穿MD只有三种，除此之外没有，白加黑不是MD的软肋，是微点的软肋

白加黑就是比较难分辨

抓了那么多样本，就只有一个完美穿md的，其余的都不完美，就是原xp系统存在内核漏洞，导致直接出现无来源的内核线程，然后内核加载驱动

显示全部楼层 · 发表于 2020-3-20 17:04:39

lifan88 发表于 2020-3-20 12:53
然而MD并没有你想象地那么牛，被人挖漏洞直接gg

你需要看看这个：http://bbs.micropoint.com.cn ...

我只说他是最安全的，没有说什么都能防，

能破得了md的，也能破其它，
破得其它的，不一定破得了md。

md能防大部分0day,只有小部分防不了.

显示全部楼层 · 发表于 2020-3-20 17:26:17

yjwfdc 发表于 2020-3-20 17:04
我只说他是最安全的，没有说什么都能防，

能破得了md的，也能破其它，

到现在只有内核0day和shellcode防不了，其余没有问题

但是我现在没做过永恒之蓝之类的取证，还不清楚MD能不能防远程入侵

显示全部楼层 · 发表于 2020-3-20 17:26:57

lifan88 发表于 2020-3-20 15:58
不是，你误解我的意思了。。。

你说的这些完全是可以防御的，我指的MD被穿就只有三个，就只有三个。

某绒不是一个完整的hips，编者也没有认真写，所以被过是分分钟的事。不能和md比。

显示全部楼层 · 发表于 2020-3-20 18:20:42

yjwfdc 发表于 2020-3-20 17:26
某绒不是一个完整的hips，编者也没有认真写，所以被过是分分钟的事。不能和md比。

4.0还可做一个MD弱化版的64位版本，5.0自废武功了。。。

4.0的自定义规则改改强度还是够的

显示全部楼层 · 发表于 2020-3-20 19:00:07

我有保留了两个md全文件的带有内核符号的备份，楼主可以试试看（MD只兼容到win7x32），我貌似有md的XP/win7全文件备份，楼主你得自己试试我备份的什么系统版本，什么MD版本。。。

显示全部楼层 · 发表于 2020-3-20 22:31:41

lifan88 发表于 2020-3-20 19:00
我有保留了两个md全文件的带有内核符号的备份，楼主可以试试看（MD只兼容到win7x32），我貌似有md的XP/win7 ...

我在论坛找过W7的内核模块，复制到安装文件夹下，貌似没效果，还是会弹出下载内核的窗口，一气之下不让提示了。

你的附件是整个MD安装文件夹？

显示全部楼层 · 发表于 2020-3-20 22:40:54

sinbad2 发表于 2020-3-20 22:31
我在论坛找过W7的内核模块，复制到安装文件夹下，貌似没效果，还是会弹出下载内核的窗口，一气之下不让提 ...

对，很久以前安装完而且下载了内核符号后，我把整个目录拷贝下来备份了

如果内核符号不在安装目录就GG

[讨论] Malware Defender版本为2.7.3无法下载内核符号文件,咋整？

评分

评分

本帖子中包含更多资源