查看: 8030|回复: 69
收起左侧

[讨论] 折腾杀软到最后,还是白名单最省心

  [复制链接]
ccboxes
发表于 2020-6-4 22:02:46 | 显示全部楼层 |阅读模式
本帖最后由 ccboxes 于 2020-6-6 17:25 编辑

用过大部分知名安软,特别喜欢折腾主防和HIPS,后来醒悟了。
主防杀不如扫描杀,扫描杀不如拒绝一切未知文件执行,常规安软默认未知文件安全,这从逻辑上就不对。但用HIPS实现白名单防护需要自己去维护一大堆规则,把我埋在了comodo的规则列表里。直到遇见了voodooshield——它把本需要大把时间折腾的白名单防护傻瓜化了。

自从用了voodooshield,快两年没来卡饭了。昨天又续三年,既然我自己不作死,门上有锁,何须警卫。
PS:很多人提到了如何防御白利用和供应链攻击。

问题在于白名单中的软件如何被利用。
如果是白加黑,那首先要有黑dll+白exe/driver或者黑exe+白driver进入系统并被无意间启动,在voodooshield进入锁定模式后,没有任何非授权exe或命令行可以运行,那白加黑如何进入系统呢?除非我自己作死引入,不然没有问题。

如果是expliot比如利用浏览器漏洞或者PDF阅读器漏洞,那就要看情况了。VS没有办法阻止入侵过程,但绝大多数exploit会启动新的进程或者运行shell来进行恶意行为,VS会拦截他们。但仍然有部分高危expliot可以在不运行新程序和shell的情况下执行恶意代码,这是VS无能为力的。我的解决办法是将windows10自带的exploit protection开启并对部分高危进程使用更严格的设置,同时搭配Malwarebytes Anti-Exploit,并开启内存隔离。

供应链攻击,像当时的ccleaner,或者华硕liveupdate自动下载病毒。这只能说这是世界性难题,即使是所谓zero trust的防护软件也总要去信任一些东西。VS在匹配白名单时使用哈希,这让静默更新可以被察觉,也有virustotal扫描器和自己的机器学习扫描器去提示新文件的安全性,部分缓解了这个问题。然而我们都知道当时ccleaner让几乎所有安软吃瘪了(没有个人安软成功防御),所以为了避免这种问题应该尽量使用来自大公司(准确的说法是软件行业的大公司,华硕、西数这种硬件公司软件通常写的很烂)的软件以及开源软件,除此之外没有其他方法。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +2 收起 理由
浮空墓碑 + 2 感谢提供分享

查看全部评分

liu237
发表于 2020-6-4 22:04:52 | 显示全部楼层
这算是闭关锁国吗仅开放几个港口,还都是严格固定筛选的。。。
ccboxes
 楼主| 发表于 2020-6-4 22:11:36 | 显示全部楼层
liu237 发表于 2020-6-4 22:04
这算是闭关锁国吗仅开放几个港口,还都是严格固定筛选的。。。

闭关锁国最安全,99.9%的病毒在非白即黑下没有任何生存空间,何况voodooshield还有antiexploit
岚Azure
发表于 2020-6-4 22:38:39 | 显示全部楼层
这。。。火绒也能做到吧。
发起对象:*
范围:文件:*
          注册表:*
          执行:*
创建、删除、修改:询问我

然后一个个添加信任。
ELOHIM
发表于 2020-6-4 22:50:35 | 显示全部楼层
186个白名单?
基于证书的还是路径的还是哈希的?
没用过。
多讲讲吧。。
ccboxes
 楼主| 发表于 2020-6-4 23:02:50 | 显示全部楼层
本帖最后由 ccboxes 于 2020-6-4 23:16 编辑
岚Azure 发表于 2020-6-4 22:38
这。。。火绒也能做到吧。
发起对象:*
范围:文件:*

hips当然可以实现白名单,但易用性差远了,不同父进程执行的相同命令和程序,其安全性是完全不同的,一个个添加信任弹窗点到天荒地老,更新程序时更是要手工更新哈希值,你也看到了我的whitelist有198个,这还不包括一些系统进程。而且hips也太重了,我根本不限制除了运行程序和命令行之外的任何行为,那些监控点都是拖慢性能的累赘。

白名单防护从功能上是简单的(当然要拦截到绝大部分执行,特别是非法执行很难),最重要的是易用性。
ccboxes
 楼主| 发表于 2020-6-4 23:10:45 | 显示全部楼层
ELOHIM 发表于 2020-6-4 22:50
186个白名单?
基于证书的还是路径的还是哈希的?
没用过。

多种匹配方式,路径、父进程、哈希、签名、命令行都使用,仅仅使用一种可太弱了。而且命令行防护极为强大,expliot反弹的shell也能拦截。

评分

参与人数 1人气 +1 收起 理由
ELOHIM + 1 感谢解答: )

查看全部评分

ELOHIM
发表于 2020-6-4 23:23:26 | 显示全部楼层
ccboxes 发表于 2020-6-4 23:10
多种匹配方式,路径、父进程、哈希、签名、命令行都使用,仅仅使用一种可太弱了。而且命令行防护极为强大 ...

我刚才在想,是否可以在论坛进行一次裸奔前提下的入侵防御或者恶意文件执行防御测试呢。
要求只限于使用微软提供的原版系统内置的所有保护措施,普通用户登录,
但是不能使用Windows Defender的防病毒功能,可以使用受保护文件夹功能和内置防火墙。。
我想了解一下系统内置的被动防御有效性到底有多少。
同时也可以学习各位大神是怎样使用操作系统的。

c帅有没有兴趣参与一下??贴子写了一半又取消了。。。
761773275
发表于 2020-6-4 23:26:18 | 显示全部楼层
兄弟你的码可以看得到,AI可以消
ccboxes
 楼主| 发表于 2020-6-4 23:31:45 来自手机 | 显示全部楼层
761773275 发表于 2020-6-4 23:26
兄弟你的码可以看得到,AI可以消

哈哈,截图亮出来吧,我倒要看看你还原的是什么东西。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 00:04 , Processed in 0.140423 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表