分享一款主动防御软件（iDefender 冰盾·主动防御系统）

yushu280

有没有类似以前的comodo或vse那种全局禁运，设置只有指定文件夹的软件和脚本可以运行？

安全测评

yushu280 发表于 2024-1-16 11:11
有没有类似以前的comodo或vse那种全局禁运，设置只有指定文件夹的软件和脚本可以运行？

【优先级高】设置进程白名单，允许信任的进程启动
【优先级低】设置禁止任意进程启动

yexo

安全测评 发表于 2024-1-16 21:41
【优先级高】设置进程白名单，允许信任的进程启动
【优先级低】设置禁止任意进程启动

在用了一小段时间后，简单反馈一些个人的使用感受：

1. 自保还是比较弱，无论是否设置密码保护，都可以右键直接退出。 在没有应对键盘模拟输入攻击和BadUSB防御的情况下，默认激活密码输入框是否真的必要？

2. 冰盾有内部白名单吗？为什么设置了内存防御的相关规则，几乎看不到任何进程的操作痕迹，比如几乎看不到任何进程有读取lsass内存的操作，其他内存相关规则也是如此。再比如，SpyShelter会不断弹窗提示WPS相关进程企图设置全局钩子，然而冰盾却没有反应，也没有记录？

3. 可否考虑增加数字签名和哈希值的条件设置，从而更好地限制各种进程、文件和网络操作。当前的部分规则限制，面对针对性攻击，其实未必有效，随便改改文件名或者替换一下文件就绕过去了。

4. 目前网络端口参数，只能一个一个添加，能否考虑支持段落添加，比如1-10000，不然六万多个端口工作量实在有点。。。网段参数如果能支持地址掩码也是极好的，当然，这个不是必须的，毕竟可以计算转换。

5. 在限制了AdGuard对部分浏览器及其所在目录的文件读取后，AdGuard仍然可以拦截并过滤其网络流量，

6. 可否考虑增加进程间通信各种方式的相关规则模板。

暂时就先想到这么多，后面再随时补充。 加油～

yushu280

安全测评 发表于 2024-1-16 21:41
【优先级高】设置进程白名单，允许信任的进程启动
【优先级低】设置禁止任意进程启动

谢谢

4hem

不知道怎么样不过先支持一下

安全测评

yexo 发表于 2024-1-17 07:48
在用了一小段时间后，简单反馈一些个人的使用感受：

1. 自保还是比较弱，无论是否设置密码保护，都可 ...

1. 冰盾的密码保护主要是防止停止和编辑的，退出没有判断，因为退出了功能也是生效的。如果需要对退出也保护，下个版本优化支持。
2. 内存防御、钩子设置这个需要开启增强防御，不知道你那边开启了没有？
3. 数字签名是支持的，可以在高级规则里面设置（哈希的复用性比较低，内部是支持的，没有暴露出来，需要也可以提供给设置）
4. 端口范围参数也可以通过高级规则来设置的
5. 不太清楚是什么意思？
6. 进程间通信的看具体是什么场景了（下个版本会添加部分Rpc追溯，可以定位到Rpc调用来源的进程）

yexo

安全测评 发表于 2024-1-17 23:33
1. 冰盾的密码保护主要是防止停止和编辑的，退出没有判断，因为退出了功能也是生效的。如果需要对退出也 ...

2. 首页概况下面的增强防御，已经开启，还有其他地方需要开启吗。还是说冰盾同时需要一些特殊权限，比如debug或者其他，我把debug关闭了，不知是否影响了冰盾的增强防御。目前设置规则保护某些特定进程的内存读取后，只看到过拦截任务管理器相关操作的记录。而lsass则没有任何拦截记录。

3. 还是期待能提供一下哈希值的设置选项，虽然复用性低，但对于不太需要频繁变更的对象还是很有用的，有时单纯靠数字签名不太足够，比如八万个文件共用一个签名的时候。

4. 感谢提醒！

5. 我想用冰盾阻止AdGuard桌面版对某些特定程序进行流量过滤。以前用火绒时，设置规则阻止AdGuard对浏览器文件的读取就可以实现，而同样的规则在冰盾这儿却不好使，我甚至尝试阻止AdGuard对整个浏览器文件目录的读取，但是AdGuard仍然能拦截并过滤其网络流量，不知哪里出了问题，或者有其他办法能实现这一目标吗？

6. 目前主要是想防止利用其执行代码，以前就遇到过利用浏览器和svchost的进程间通信来隐蔽执行代码的情况。

清雪一片

有没有教程的？安装了四次，卸载了三次。现在一直在吃灰。只想要个防流氓规则。

RT_88

和杀毒软件可以共存吗？我只想用hips管理部分软件，平时还是需要杀软的。

yyt3150

RT_88 发表于 2024-1-19 11:02
和杀毒软件可以共存吗？我只想用hips管理部分软件，平时还是需要杀软的。

可以。。不影响。