综合征患者对火绒和瑞星的一个小点对比，只为引出对火绒自定义保护的探讨

显示全部楼层 · 发表于 2020-9-21 19:09:24

火绒和瑞星的一个小点对比，只为引出对火绒自定义保护的探讨
有两个小疑问
1、火绒自定义保护对于文件夹的保护范围？
2、火绒自定义保护面对其它加驱软件的拦截强度、效果和优先级（请不要把话题引到驱动对抗上）？
3、本次火绒扫描和瑞星扫描的差异化原因在什么地方？同样都是加驱了，一个扫出来一个没扫出来

有可能是内置白名单的原因？
火绒我是添加到瑞星白名单中，

瑞星未添加到火绒白名单中。

前提：我们（杀软综合征患者）假设火绒和瑞星被同时安装在同一台电脑上
版本号：

第一个上台的是瑞星，对某个文件夹拒绝访问修改删除新建（火绒关闭保护）

瑞星拒绝的很彻底，无法打开文件夹

然后让火绒扫描被瑞星保护的文件夹

结果火绒无法扫描（扫描文件数为零）

第二个火绒上场了，对同一个文件夹拒绝访问修改删除新建（瑞星关闭保护）

火绒可以打开文件夹（区别点，我一直很奇怪为什么5.0会做出如此修改，之前也有人提出来），但是无法对文件夹里文件做访问修改删除新建

然后让瑞星扫描被火绒保护的文件夹

瑞星可以扫描出被火绒保护的文件夹下的文件
-----------

第三个，火绒瑞星同时开启保护

瑞星依旧扫出，火绒无法扫出

另外瑞星的行为拦截优先于火绒行为拦截

显示全部楼层 · 发表于 2020-9-21 19:42:33

估计这就涉及到各家杀软穿透驱动的实现了
http://blog.topsec.com.cn/%E6%94 ... %E6%8F%AD%E7%A7%98/

显示全部楼层 · 发表于 2020-9-21 19:48:25

dsb2466 发表于 2020-9-21 19:42
估计这就涉及到各家杀软穿透驱动的实现了
http://blog.topsec.com.cn/%E6%94%BB%E9%98%B2%E5%AF%B9%E6%8A% ...

这也是比较考验功底的地方

显示全部楼层 · 发表于 2020-9-21 20:04:38

我能说瑞星的驱动强度其实并不高么？（虽然占了AM-PPL不少红利）
不过我得说，瑞星现有这套HIPS搞的很烂，经常拦截没有数字签名的程序，虽然现在优化好了不少，据说明年打算换文件监控和主防，我倒是挺想期待一下的，就是现在这营收业绩能否支撑他们在明年完成都很难说。

显示全部楼层 · 发表于 2020-9-21 20:10:47

dg1vg4 发表于 2020-9-21 20:04
我能说瑞星的驱动强度其实并不高么？（虽然占了AM-PPL不少红利）
不过我得说，瑞星现有这套HIPS搞的很烂， ...

我能说瑞星V17的hips还不是完整版,也不知道瑞星怎么想的

显示全部楼层 · 发表于 2020-9-21 20:32:38

dg1vg4 发表于 2020-9-21 20:04
我能说瑞星的驱动强度其实并不高么？（虽然占了AM-PPL不少红利）
不过我得说，瑞星现有这套HIPS搞的很烂， ...

你用过这个版本的系统加固吗

显示全部楼层 · 发表于 2020-9-21 20:35:29

莱薇发表于 2020-9-21 20:32
你用过这个版本的系统加固吗

没有，这界面看起来很像v16时代啊。

显示全部楼层 · 发表于 2020-9-21 20:37:59

dg1vg4 发表于 2020-9-21 20:35
没有，这界面看起来很像v16时代啊。

就是V16的系统加固，谁也没想到等V16正式上线系统加固的时候阉割了系统底层访问(AD)。

显示全部楼层 · 发表于 2020-9-21 23:52:33

chunyet 发表于 2020-9-21 21:55
X星还是算了吧，都什么年代了

对对对，都这么多年了，光是活着就占用阳光空气和水真是对不住了啊。

显示全部楼层 · 发表于 2020-9-21 23:53:50

但是只要你把火绒瑞星装在一起了话题就难免最后回到了驱动对抗正常人谁把这俩装一起

问题讨论范围已经是“火绒自定义保护面对其它加驱软件”了那驱动就100%会对抗吧

当然回过来说我觉得比较两个杀软在这种极端条件下的优劣远不如正常单奔测试和勒索以及木马的对抗有意义

显示全部楼层 · 发表于 2020-9-22 05:50:06

欧阳宣发表于 2020-9-21 23:53
但是只要你把火绒瑞星装在一起了话题就难免最后回到了驱动对抗正常人谁把这俩装一起

问题讨论范围已经 ...

我想讨论的是加驱后的差异化，不一定是安全软件，以后只要有软件加驱动带自保，打算怎么面对

显示全部楼层 · 发表于 2020-9-22 06:37:29

火绒3.0，自定义保护可以拦截瑞星扫描，

火绒，瑞星扫描互交白卷

显示全部楼层 · 发表于 2020-9-22 09:41:19

楼主好久不见

显示全部楼层 · 发表于 2020-9-22 10:11:36

好久没用X星了，不喜欢

显示全部楼层 · 发表于 2020-9-22 10:55:44

瑞星的界面多少年没变。丑上天了。不过小狮子还是很喜欢的

显示全部楼层 · 发表于 2020-9-22 11:25:48

楼主的意思是，火绒5.0防御设计有点放松了？
难道火绒5.0妥协了？

显示全部楼层 · 发表于 2020-9-22 12:54:22

刘刚好像是瑞星出来的，瑞星底层那一套应该熟悉

显示全部楼层 · 发表于 2020-9-22 13:41:56

不错来看看。

显示全部楼层 · 发表于 2020-9-22 14:26:55

瑞星和国外的迈克菲常规卸载之后还是有残留非要用专门的卸载工具蛮恶心的....

就这点我一直不在物理机用瑞星....

显示全部楼层 · 发表于 2020-9-22 14:38:12

本帖最后由火绒工程师于 2020-9-22 15:00 编辑

您好，1. 火绒5.0得文件夹自定义保护范围确实这样设计的，保护文件夹下的文件内容不被读取

2. 对已经成功加载驱动获得系统权限的程序，就是驱动层对抗的话题范围，安全软件和安全软件之间，没必要利用“内核”或者“驱动级别”技术相互之间做“对抗”。可以参考火绒的知乎回复(https://www.zhihu.com/question/399472910/answer/1265929869)。

3. 您反馈的问题已经在跟进中，id:19972, 723。

感谢您的反馈~

[讨论] 综合征患者对火绒和瑞星的一个小点对比，只为引出对火绒自定义保护的探讨

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源