智量盾终端安全V3.03发布

swizzer

借楼问一下@智量官方 ，规则管理器能否添加分组功能以及可调优先级（比如，支持规则手动上移）啊

现在的规则编写时，优先级难以调整不说，没有分组还显得很乱···


如果有一天规则编辑能像MalwareDefender那样就好了···

智量官方

感谢你的建议，针对规则的设定，有好些用户都提出了建议，我们后期会进行一些优化。

swizzer

智量官方 发表于 2021-12-27 22:09

edited···

智量官方

swizzer 发表于 2021-12-27 22:17
官人这是···

抱歉，一会编辑掉，我这边回帖出了点问题。

智量官方

yexo 发表于 2021-12-27 02:38
我也感觉问题大概出在服务项缺失上，因为服务中我压根没看到有智量安全服务这一项，注册表中只有两个驱动 ...

你好，防火墙设置为最大化后微软的程序访问网络都会提示的，不知道你那边有什么程序会被默认放行呢?

1. 基于RPC的攻击其实一般不太会这么说，因为RPC只是系统正常的功能机制，就跟系统提供的很多API一样，很少有人会说基于API的攻击。一般来讲可以通过RPC实现持久化，比如计划任务。内网平移（WMI），驱动加载等。所有这些部分智量都有相应的行为检测，不用担心。只是WMI方面还有一些不够，不过在马上推出的下个版本中会加入WMI防火墙的功能，相信能更好的抵御无文件攻击.

2. 无文件攻击一般和基于内存攻击相辅相成，智量的行为防护和内存分析在对付无文件攻击上是特色功能。另外就如上面所说，马上会推出新功能会帮助智量更好的抵御无文件威胁.

3. 系统自带的白文件被利用是常见攻击，一般分为两种，第一是利用它自身提供的功能，比如PowerShell等，还有一种就是被注入。这两类攻击智量都能很好的防御，不用担心。因为白文件的行为是可预测，可控的。偏离一般意味着攻击发生，智量在这一点上有整个行为链的防御.

display

上网有点卡顿，比avast明显卡

yexo

智量官方 发表于 2021-12-27 22:42
你好，防火墙设置为最大化后微软的程序访问网络都会提示的，不知道你那边有什么程序会被默认放行呢?

1 ...

目前已发现的，svchost (DNS, DHCP)，lsass (HTTP)。

最大化模式下，对入站是都默认阻止吗，还是也有默认放行的情况？比如白名单内的程序。

我相信智量对借由WMI，DCOM，MS-DRSR等等途径进行的攻击也有所应对，期待后续版本带来的惊喜。对于没有实体、全程只在白文件的内存中运行的攻击，确实需要行为防护和内存分析很强的工具才行，这也是很喜欢智量的一个重要原因。

yexo

display 发表于 2021-12-28 09:11
上网有点卡顿，比avast明显卡

智量盾真的不卡，看看是不是有其他软件或者冲突导致的。

智量官方

yexo 发表于 2021-12-28 10:21
目前已发现的，svchost (DNS, DHCP)，lsass (HTTP)。

最大化模式下，对入站是都默认阻止吗，还是也有 ...

你好，应该是规则中已经放行了 svchost.exe和lsass.exe, 可以看看是否有允许的规则

yexo

智量官方 发表于 2021-12-28 14:30
你好，应该是规则中已经放行了 svchost.exe和lsass.exe, 可以看看是否有允许的规则

没有相应的规则，所以我才询问的，而且不止这两个程序，还有一些别的非系统程序也默认放行了，一开始以为最大化模式就是其他防火墙的自定义模式，但看起来并非如此，等我重装系统后再看看吧，系统可能也有些问题。