B站看到的驱动渗透绕卡巴主防

Eunismal

开了内核隔离也会吗？

lhz1215

我试了下用火绒剑也可以结束掉卡巴。但是启动时候UAC都会提示。感觉确实没啥意义。

tenir

看了下，没意思

a27573

wowocock 发表于 2022-4-7 10:29
现在我们测试白EXE+灰dll+漏洞白驱动+加载任意内核代码，可以吊打所有杀软。而且以后的攻击，通过类似这种 ...

是啊，网络评论一大堆说TPM是美国后门的
国内又不是不做可信计算

不过我也看到一些人说现在简单的漏洞越来越少，而且因为各种缓解技术的应用，很多洞变成不可利用的了，上报也不收，因此他们不看好二进制特别是PWN方向的未来
大佬怎么看？

ak666

wowocock 发表于 2022-4-7 10:29
现在我们测试白EXE+灰dll+漏洞白驱动+加载任意内核代码，可以吊打所有杀软。而且以后的攻击，通过类似这种 ...

漏洞白驱动好像不是很稳定，基本上很快就会被云杀了把。。QAQ

tdsskiller

ak666 发表于 2022-4-8 00:05
漏洞白驱动好像不是很稳定，基本上很快就会被云杀了把。。QAQ

你见过卡巴杀过dell的驱动吗？全白文件的话你云也没有用啊……这种阴间0day连招2017年隐魂就玩过了，全过程没有黑文件落地，除非你能dump别人的内存上传到云，但是最坑爹是人家的执行流还加密...dump出来也确定不了，而且那么多用户大海捞针dump也搞不定...除非抓到母体，自己完全确定一遍执行流，有目的dump和抓0day才可能主防能搞定

tdsskiller

Eunismal 发表于 2022-4-7 17:15
开了内核隔离也会吗？

能免疫掉大部分copy-paste流派，安全性能是可以的，如果兼容性允许的话可以开着。硬搞你没戏，whql太多了。内核隔离下搞你在gayhub上早就有poc了，一个系统启动后用漏洞whql驱动搞你，一个是过掉hvci和Secureboot在系统启动前搞你

神算子

swizzer 发表于 2022-4-7 14:15
只要想绕过，那就一定可以绕过。智量也不会好哪里去，更何况这种对抗也不是智量强项。

那如何对付

swizzer

神算子 发表于 2022-4-8 10:58
那如何对付

没有一劳永逸的解决方案，只能说双方你来我往，共同进步

tdsskiller

神算子 发表于 2022-4-8 10:58
那如何对付

没辙，现在基本的我认为方案只能见一个安排一个。

真要免疫只有一种方案：上网不涉密，涉密不上网，使用定制并且未公开的安全软件和系统，现代的挖洞手只要你公开的就有人挖，公不公布看个人

就这么说吧，n卡这种大厂都能被偷走那么多数据，安排你的手段超出常人的想象；tx和北信源2016-2018都能被搞到泄露签名，想想吧