大蜘蛛关于自我保护组件Dr.Web SelfPROtect的介绍

tdsskiller

GreatMOLA 发表于 2023-8-14 11:31
蜘蛛的自保确实强，R0能结束基础进程，但是核心进程死活关不掉。

没有活在国内的rootkit环境，没被拉黑签名，没被rootkit当成rootkit铲除，所以大多都以为r0对抗自我保护都很好

众所周知win10后没有自我保护，r0对抗中保护端放纵第三方驱动加载和内核漏洞等于死路一条

现在都是防止r3下被恶意结束和破坏，所谓能防止r0手段的基本为假，因为正规软件不能修改patchguard，不能做非法深钩，不能做越界的内核操作，如劫持系统驱动，伪造或者替换系统驱动或者把功能写在其他已启动驱动中。反观恶意驱动无所不用其极，被微软限制死的正规软件在r0对抗中分分钟被秒杀

什么核心进程关不掉的，只要对面是恶意驱动，你是正规软件不能隐藏进程，不能伪造进程，你吃不了任何一个这几年最发达的注入，一旦关键进程被注入，拿你做恶意操作也是随随便便实现，因为杀毒软件没有经历过目前最强的内核对抗考验：反作弊对抗，要是那么容易把其他恶意注入挡住就没有那么多挂了

目前主要还是以防r3为主，强行r0对抗没有稳定性而去非常不靠谱，目前r3下已经很少有手段能破坏杀软了

tdsskiller

Yuki丶 发表于 2023-8-14 14:52
一个判断路径禁止创建进程他就寄了

如何评价传奇私-Fu对急救箱的破坏方法

GreatMOLA

tdsskiller 发表于 2023-8-15 20:56
没有活在国内的rootkit环境，没被拉黑签名，没被rootkit当成rootkit铲除，所以大多都以为r0对抗自我保护 ...

受教受教

tdsskiller

GreatMOLA 发表于 2023-8-15 23:57
受教受教

现在的杀软对驱动加载和漏洞利用严防死守，一般个人用户基本不会出现问题，除非自己相信“该软件必须关闭杀软运行”。出问题一般都是被罕见的初见杀，多见于高价值目标

Yuki丶

在x64上自我保护啥也不是

tdsskiller

Yuki丶 发表于 2023-8-16 11:32
在x64上自我保护啥也不是

感谢指正我记得x32没有patchguard可以各种乱来，而且x32已经停更了吧？

Yuki丶

tdsskiller 发表于 2023-8-17 00:26
感谢指正我记得x32没有patchguard可以各种乱来，而且x32已经停更了吧？

x86确实没有PG 但是Win11只有x64

00006666

Yuki丶 发表于 2023-8-17 09:25
x86确实没有PG 但是Win11只有x64

win10后期版本都没有32位了……