楼主: sinbad2
收起左侧

[讨论] Malware Defender版本为2.7.3无法下载内核符号文件,咋整?

[复制链接]
zhousulin5
发表于 2020-3-20 15:32:22 | 显示全部楼层
本帖最后由 zhousulin5 于 2020-3-20 15:35 编辑
lifan88 发表于 2020-3-20 12:53
然而MD并没有你想象地那么牛,被人挖漏洞直接gg

你需要看看这个:http://bbs.micropoint.com.cn ...

我的印象中,你所找到的MD的漏洞大部分都可以归结为规则的漏洞。而且大部分都是忽略了对注册表的恶意修改,还有一些则是忽略了对系统进程的注入。例如你举例那个利用总线枚举接口实现加驱,MD确实发现不了它的加驱动作,但是防住了修改注册表就能防住这个样本。
让人测试的时候,怎能叫人故意去允许一些危险行为然后说MD被穿呢?例如修改explorer内存、伪造系统服务、底层写磁盘,使用HIPS的价值就在于管控这些危险行为。
所以,我认为飘的说法没问题。即便MD有不少漏洞,它仍然是目前为止最能保证安全的工具,只是效果因人而异。
当然了,白加黑是MD的软肋,也是所有手动HIPS的软肋,这基本无解。

评分

参与人数 1人气 +1 收起 理由
yjwfdc + 1 感谢解答: )

查看全部评分

lifan88
发表于 2020-3-20 15:58:41 | 显示全部楼层
本帖最后由 lifan88 于 2020-3-20 16:07 编辑
zhousulin5 发表于 2020-3-20 15:32
我的印象中,你所找到的MD的漏洞大部分都可以归结为规则的漏洞。而且大部分都是忽略了对注册表的恶意修改 ...

不是,你误解我的意思了。。。

你说的这些完全是可以防御的,我指的MD被穿就只有三个,就只有三个。

第一种是内核漏洞,穿MD是直接NTOS,内核0day,equation的某组件在某个xp版本不需要任何注册表,驱动和注入直接进内核

其余的都是某些版本的内核可以在r3下恢复你的ssdt,同样也是不需要驱动,也不需要注册表,而且还没有让MD能识别的读ntos操作

还有就是gapz的注入explorer的shellcode,不需要注册表,也不需要驱动,直接注入explorer,然后你说的规则漏洞,正常情况下explorer在XP下是MD提示一直会读取dr0,然而那个要是利用explorer写磁盘你能不能认出来?

所以你需要多了解一下大佬的操作有多骚,r3穿md的基本没见过,都是内核漏洞穿的MD

其余的我自己测试就没有过得了MD的,你应该多理解我的意思

然后你不看看第二个回复锁死HIPS的,我给你看的并不是第一个,是第二个,可能可以直接打开你驱动设备发东西直接抬走MD,不需要注入,不需要注册表,但是需要驱动,这个驱动就是MD自己的驱动(这种行为除非是取证工具级别,不然是不可视的)。

我推荐是,多了解漏洞,才会知道一切都是纸(某绒在最近已经被人挖爆了,低权限,UAC拉最高,直接注入某绒和对驱动设备发消息都实现了)

lifan88
发表于 2020-3-20 16:02:45 | 显示全部楼层
zhousulin5 发表于 2020-3-20 15:32
我的印象中,你所找到的MD的漏洞大部分都可以归结为规则的漏洞。而且大部分都是忽略了对注册表的恶意修改 ...

我再重复一次,能穿MD只有三种,除此之外没有,白加黑不是MD的软肋,是微点的软肋

白加黑就是比较难分辨

抓了那么多样本,就只有一个完美穿md的,其余的都不完美,就是原xp系统存在内核漏洞,导致直接出现无来源的内核线程,然后内核加载驱动

评分

参与人数 1人气 +3 收起 理由
yjwfdc + 3 也可说明md是最安全的了吧。

查看全部评分

yjwfdc
头像被屏蔽
发表于 2020-3-20 17:04:39 | 显示全部楼层
lifan88 发表于 2020-3-20 12:53
然而MD并没有你想象地那么牛,被人挖漏洞直接gg

你需要看看这个:http://bbs.micropoint.com.cn ...

我只说他是最安全的,没有说什么都能防,

能破得了md的,也能破其它,
破得其它的,不一定破得了md。

md能防大部分0day,只有小部分防不了.
lifan88
发表于 2020-3-20 17:26:17 | 显示全部楼层
yjwfdc 发表于 2020-3-20 17:04
我只说他是最安全的,没有说什么都能防,

能破得了md的,也能破其它,

到现在只有内核0day和shellcode防不了,其余没有问题

但是我现在没做过永恒之蓝之类的取证,还不清楚MD能不能防远程入侵
yjwfdc
头像被屏蔽
发表于 2020-3-20 17:26:57 | 显示全部楼层
lifan88 发表于 2020-3-20 15:58
不是,你误解我的意思了。。。

你说的这些完全是可以防御的,我指的MD被穿就只有三个,就只有三个。

某绒不是一个完整的hips,编者也没有认真写,所以被过是分分钟的事。不能和md比。
lifan88
发表于 2020-3-20 18:20:42 | 显示全部楼层
yjwfdc 发表于 2020-3-20 17:26
某绒不是一个完整的hips,编者也没有认真写,所以被过是分分钟的事。不能和md比。

4.0还可做一个MD弱化版的64位版本,5.0自废武功了。。。

4.0的自定义规则改改强度还是够的
lifan88
发表于 2020-3-20 19:00:07 | 显示全部楼层
我有保留了两个md全文件的带有内核符号的备份,楼主可以试试看(MD只兼容到win7x32),我貌似有md的XP/win7全文件备份,楼主你得自己试试我备份的什么系统版本,什么MD版本。。。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
sinbad2
 楼主| 发表于 2020-3-20 22:31:41 | 显示全部楼层
lifan88 发表于 2020-3-20 19:00
我有保留了两个md全文件的带有内核符号的备份,楼主可以试试看(MD只兼容到win7x32),我貌似有md的XP/win7 ...

我在论坛找过W7的内核模块,复制到安装文件夹下,貌似没效果,还是会弹出下载内核的窗口,一气之下不让提示了。


你的附件是整个MD安装文件夹?
lifan88
发表于 2020-3-20 22:40:54 | 显示全部楼层
sinbad2 发表于 2020-3-20 22:31
我在论坛找过W7的内核模块,复制到安装文件夹下,貌似没效果,还是会弹出下载内核的窗口,一气之下不让提 ...

对,很久以前安装完而且下载了内核符号后,我把整个目录拷贝下来备份了

如果内核符号不在安装目录就GG
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 06:49 , Processed in 0.099129 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表