楼主: 安全测评
收起左侧

[软件分享] 分享一款主动防御软件(iDefender 冰盾·主动防御系统)

  [复制链接]
yushu280
发表于 2024-1-16 11:11:12 | 显示全部楼层
本帖最后由 yushu280 于 2024-1-16 11:21 编辑

有没有类似以前的comodo或vse那种全局禁运,设置只有指定文件夹的软件和脚本可以运行?
安全测评
 楼主| 发表于 2024-1-16 21:41:59 | 显示全部楼层
yushu280 发表于 2024-1-16 11:11
有没有类似以前的comodo或vse那种全局禁运,设置只有指定文件夹的软件和脚本可以运行?

【优先级高】设置进程白名单,允许信任的进程启动
【优先级低】设置禁止任意进程启动
yexo
发表于 2024-1-17 07:48:36 | 显示全部楼层
本帖最后由 yexo 于 2024-1-17 07:53 编辑
安全测评 发表于 2024-1-16 21:41
【优先级高】设置进程白名单,允许信任的进程启动
【优先级低】设置禁止任意进程启动

在用了一小段时间后,简单反馈一些个人的使用感受:

1. 自保还是比较弱,无论是否设置密码保护,都可以右键直接退出。 在没有应对键盘模拟输入攻击和BadUSB防御的情况下,默认激活密码输入框是否真的必要?

2. 冰盾有内部白名单吗?为什么设置了内存防御的相关规则,几乎看不到任何进程的操作痕迹,比如几乎看不到任何进程有读取lsass内存的操作,其他内存相关规则也是如此。再比如,SpyShelter会不断弹窗提示WPS相关进程企图设置全局钩子,然而冰盾却没有反应,也没有记录?

3. 可否考虑增加数字签名和哈希值的条件设置,从而更好地限制各种进程、文件和网络操作。当前的部分规则限制,面对针对性攻击,其实未必有效,随便改改文件名或者替换一下文件就绕过去了。

4. 目前网络端口参数,只能一个一个添加,能否考虑支持段落添加,比如1-10000,不然六万多个端口工作量实在有点。。。网段参数如果能支持地址掩码也是极好的,当然,这个不是必须的,毕竟可以计算转换。

5. 在限制了AdGuard对部分浏览器及其所在目录的文件读取后,AdGuard仍然可以拦截并过滤其网络流量,

6. 可否考虑增加进程间通信各种方式的相关规则模板。

暂时就先想到这么多,后面再随时补充。 加油~
yushu280
发表于 2024-1-17 08:57:59 | 显示全部楼层
安全测评 发表于 2024-1-16 21:41
【优先级高】设置进程白名单,允许信任的进程启动
【优先级低】设置禁止任意进程启动

谢谢
4hem
发表于 2024-1-17 09:11:04 | 显示全部楼层
不知道怎么样不过先支持一下
安全测评
 楼主| 发表于 2024-1-17 23:33:38 | 显示全部楼层
yexo 发表于 2024-1-17 07:48
在用了一小段时间后,简单反馈一些个人的使用感受:

1. 自保还是比较弱,无论是否设置密码保护,都可 ...

1. 冰盾的密码保护主要是防止停止和编辑的,退出没有判断,因为退出了功能也是生效的。如果需要对退出也保护,下个版本优化支持。
2. 内存防御、钩子设置这个需要开启增强防御,不知道你那边开启了没有?
3. 数字签名是支持的,可以在高级规则里面设置(哈希的复用性比较低,内部是支持的,没有暴露出来,需要也可以提供给设置)
4. 端口范围参数也可以通过高级规则来设置的
5. 不太清楚是什么意思?
6. 进程间通信的看具体是什么场景了(下个版本会添加部分Rpc追溯,可以定位到Rpc调用来源的进程)
2024-01-17 233224.png
yexo
发表于 2024-1-18 03:18:11 | 显示全部楼层
本帖最后由 yexo 于 2024-1-18 03:44 编辑
安全测评 发表于 2024-1-17 23:33
1. 冰盾的密码保护主要是防止停止和编辑的,退出没有判断,因为退出了功能也是生效的。如果需要对退出也 ...

2. 首页概况下面的增强防御,已经开启,还有其他地方需要开启吗。还是说冰盾同时需要一些特殊权限,比如debug或者其他,我把debug关闭了,不知是否影响了冰盾的增强防御。目前设置规则保护某些特定进程的内存读取后,只看到过拦截任务管理器相关操作的记录。而lsass则没有任何拦截记录。

3. 还是期待能提供一下哈希值的设置选项,虽然复用性低,但对于不太需要频繁变更的对象还是很有用的,有时单纯靠数字签名不太足够,比如八万个文件共用一个签名的时候。

4. 感谢提醒!

5. 我想用冰盾阻止AdGuard桌面版对某些特定程序进行流量过滤。以前用火绒时,设置规则阻止AdGuard对浏览器文件的读取就可以实现,而同样的规则在冰盾这儿却不好使,我甚至尝试阻止AdGuard对整个浏览器文件目录的读取,但是AdGuard仍然能拦截并过滤其网络流量,不知哪里出了问题,或者有其他办法能实现这一目标吗?

6. 目前主要是想防止利用其执行代码,以前就遇到过利用浏览器和svchost的进程间通信来隐蔽执行代码的情况。
清雪一片
发表于 2024-1-18 20:29:47 | 显示全部楼层
有没有教程的?安装了四次,卸载了三次。现在一直在吃灰。只想要个防流氓规则。
RT_88
发表于 2024-1-19 11:02:37 | 显示全部楼层
和杀毒软件可以共存吗?我只想用hips管理部分软件,平时还是需要杀软的。
yyt3150
发表于 2024-1-19 15:26:23 | 显示全部楼层
RT_88 发表于 2024-1-19 11:02
和杀毒软件可以共存吗?我只想用hips管理部分软件,平时还是需要杀软的。

可以。。不影响。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 03:13 , Processed in 0.101917 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表