这似乎是第一家用机学解决magniber的？

huangzihang

神龟Turmi 发表于 2022-7-25 20:27
这好办 我去找两个驱动带WHQL的外{过}{滤}挂来试一下就好了
除非你们都认为外{过}{滤}挂（带隐藏驱动， ...

这个咋说呢，风灵月影和CE都会加载驱动，这种属不属于病毒呢，是也不是

神龟Turmi

huangzihang 发表于 2022-7-25 20:33
这个咋说呢，风灵月影和CE都会加载驱动，这种属不属于病毒呢，是也不是

这俩我认为不能算 因为它们只是加载驱动修改内存 并不会隐藏驱动以及自身目录 更不会有远程代码执行和干扰其他软件（battleye/easyanticheat...)的工作
要是能要个机器来玩就好说了，毕竟当时我的新版三板斧（7z+everything勒索/断网/中间人攻击）MD For Cloud（Azure）也是全miss 还顺带发现了AM-PPL对于ring0完全无作用（毕竟连MD都能轻而易举的被断网，而且它只会认为是单纯的网络断了，无视其他软件还能联网的结果）

huangzihang

神龟Turmi 发表于 2022-7-25 20:41
这俩我认为不能算 因为它们只是加载驱动修改内存 并不会隐藏驱动以及自身目录 更不会有远程代码执行和干 ...

MD自保真的挺差劲的，我之前遇到了一个被ATD杀的样本居然成功把MD关掉了，漏沙了

隔山打空气

神龟Turmi 发表于 2022-7-25 20:41
这俩我认为不能算 因为它们只是加载驱动修改内存 并不会隐藏驱动以及自身目录 更不会有远程代码执行和干 ...

MITRE ATT&CK的测试虽然模拟了APT渗透攻击，但是我个人觉得有一点他们不会模拟也不能模拟（原因懂得都懂，容易得罪厂商）
他们都是尝试绕过或者说常规方法攻击安全软件，如果直接用一堆精密计算过的漏洞工具+漏洞驱动+提权刚死安全软件，三板斧砸过去估计一大片完蛋的，根本没法测试
所以真正的企业环境中经常部署诱饵，恐怕也是防不胜防的原因

神龟Turmi

隔山打空气 发表于 2022-7-25 21:39
MITRE ATT&CK的测试虽然模拟了APT渗透攻击，但是我个人觉得有一点他们不会模拟也不能模拟（原因懂得都懂 ...

现在都不用漏洞驱动了。。。如果没有开启内核隔离，只需要找两个SHA1的签名即可（听我说谢谢你三星+Fuck U Nvidia）
就算开了内核隔离，代签WHQL也几乎成了一个产业了。。。

隔山打空气

神龟Turmi 发表于 2022-7-26 10:39
现在都不用漏洞驱动了。。。如果没有开启内核隔离，只需要找两个SHA1的签名即可（听我说谢谢你三星+Fuck  ...

好的谢谢解答。

SHA1好像没法解决了。。。对于绝大多数人来说，开内核隔离根本不划算

代签WHQL那东西。。。就是一有钱能使鬼推磨的玩意儿，很恶心但也难解决

小fafan

我还以为你说的质量

00006666

神龟Turmi 发表于 2022-7-25 20:27
这好办 我去找两个驱动带WHQL的外{过}{滤}挂来试一下就好了
除非你们都认为外{过}{滤}挂（带隐藏驱动， ...

没带持久化还好，如果带了持久化，那就是rootkit了……

wwwab

很多厂商应该不是没有做，而是没有做出来

而且通过主防规则拦的也是少数并不多，大部分还是依靠扫描通杀疯狂创建通杀特征等拦的


不知道疯狂“针对性”拉哈希这种算不算针对性跟进查杀

呵呵大神001

隔山打空气 发表于 2022-7-25 16:51
那mitre是可见性更高，更少的配置更改，更少的遥测延迟一般就更好吗

另外forrester的EDR综合评估是否 ...

mitre更有意义
个人认为