高质量WHQL Rootkit样本和释放器一枚，VT 0 报毒

tdsskiller

内核隔离推广不了吧？游戏和一些硬件驱动都不支持内核隔离

而且内核隔离下的内核0day早就已经开发出来了
其实那啥，这个驱动没有根据签名拉黑已经不错了

GreatMOLA

AEht 发表于 2023-5-27 20:44
搞得我卡巴正版用户没信心了，诺顿a杀是激进的启发是吧？我记得站内有试用的s开头的诺顿企业版可以 ...

A杀应该是本地引擎的主动式机器学习。

企业版（不是最新）https://storage.wljay.cn/Shared/ ... .3.0_RU7_x64_CH.exe

IamAngry

AEht 发表于 2023-5-27 20:42
你觉得是ATC厉害还是卡巴的PDM厉害，还是诺顿厉害？

都会漏，别想太多了。。无非是今天这个漏明天那个漏。

a27573

tdsskiller 发表于 2023-5-27 21:30
内核隔离推广不了吧？游戏和一些硬件驱动都不支持内核隔离

而且内核隔离下的内核0day早就已经开发出来了 ...

现在主流反外{过}{滤}挂和硬件都支持了

而且有一个好处，就是过虚拟机检测变得更容易了，因为内核隔离让一些比较难搞定的Hyperviosr特征变得不能用来判断了

hansyu

tdsskiller 发表于 2023-5-27 21:26
对面还是方法老，把签名一拉黑你怎么变名字都不行了，对面还是引导启动，如果启动比你早的话系统安全软件 ...

在怎么厉害，只要不中招它能奈我何。

ANY.LNK

tdsskiller 发表于 2023-5-27 21:30
内核隔离推广不了吧？游戏和一些硬件驱动都不支持内核隔离

而且内核隔离下的内核0day早就已经开发出来了 ...

微软Windows安全中心在Win11上如果不开内核隔离的情况下默认给你一个大大的黄色感叹号。

虽说可以忽略，但相较于之前版本Win10上开不开内核隔离默认都不提示的情况，此点确实提升了推广力度

tdsskiller

a27573 发表于 2023-5-27 21:33
现在主流反外{过}{滤}挂和硬件都支持了

而且有一个好处，就是过虚拟机检测变得更容易了，因为内核隔离 ...

现在ACE BE EAC等等能支持内核隔离？这些都是VM了呀？

GreatMOLA

AEht 发表于 2023-5-27 20:49
你认为对于这种高级持久化威胁相对来说哪个杀软防御的最好呢？

防范持久化威胁最主要的就是阻止威胁的加载，一旦驱动加载成功，处理起来就会非常棘手。

而常见的个人版本对于这种加载行为的拦截都是半斤八两，普通的Rootkit还可以拉黑Loader。但是遇到白加黑就几乎没辙了，云拉黑再快也不能做到第一时间防范高级持久化威胁。

反倒是一些企业版由于有超强的AI或是黑白名单机制，应该可以第一时间防范白利用加载驱动。不过没用过纯企业版的EDR，以上言论均为猜测。

a27573

tdsskiller 发表于 2023-5-27 21:38
现在ACE BE EAC等等能支持内核隔离？这些都是VM了呀？

BE不清楚，EAC和ACE是支持的

糖豆人是EAC，在开了内核隔离的电脑上是可以正常跑的

ACE的话参考米哈游那几个游戏，应该也是没问题的

AEht

GreatMOLA 发表于 2023-5-27 21:41
防范持久化威胁最主要的就是阻止威胁的加载，一旦驱动加载成功，处理起来就会非常棘手。

而常见的个人 ...

我最近看到一个人评测Elastic Defend，说有免费版可以白嫖，苦在不知道Windows怎么部署，网上的教程都是针对Linux和Mac os的Elasticsearch的，是同一公司的两个产品，我现在在问大佬