华为乾坤EDR个人版初体验

装甲未被击穿

pal家族 发表于 2023-9-19 15:54
大概150MB的特征库
很像norton的static scanner engine

---

只有个超轻量的驱动 连elam驱动都没看到 预计监 ...

你感觉的没错。主防和实时监控约等于完全没有。有的毒可以扫描出来，但可以双击运行，放在桌面上也是没有反应的而且这个病毒库只能自动更新，也不知道啥时候会再更新。

GreatMOLA

pal家族 发表于 2023-9-19 15:54
大概150MB的特征库
很像norton的static scanner engine

---

只有个超轻量的驱动 连elam驱动都没看到 预计监 ...

还需要长时间积淀。。。

tangxiaowei

384也7492374 发表于 2023-9-17 11:15
大局已定了，拿什么搞，还最强对手单论杀毒软件，他那个样本检出率还没有主防，况且引擎是以前的防火墙产 ...

可是只要他有终端,就像腾讯拥有QQ用户一样.

t0kenzero

pal家族 发表于 2023-9-19 15:54
大概150MB的特征库
很像norton的static scanner engine

---

只有个超轻量的驱动 连elam驱动都没看到 预计监 ...

HIPS是存在的，你可以找到一个加密的hips-rules.json的文件。而且日志中是有hips告警，只不过个人版没有写告警窗口（ 企业版会直接上传到云端



上面为个人版 下面为企业版

pal家族

t0kenzero 发表于 2023-9-20 20:09
HIPS是存在的，你可以找到一个加密的hips-rules.json的文件。而且日志中是有hips告警，只不过个人版没有 ...

我必然看到了hips和behavior两个配置文件
你看到了也会发现就是这个空壳子 写着玩的

t0kenzero

pal家族 发表于 2023-9-20 20:59
我必然看到了hips和behavior两个配置文件
你看到了也会发现就是这个空壳子 写着玩的

hips规则不是空壳子 日志中是有检测的体现的
另：你指的空壳子是behavior_db.json？

hips规则应该可以解密出来。etc的文件夹中有aes的key和iv。

pal家族

t0kenzero 发表于 2023-9-20 22:42
hips规则不是空壳子 日志中是有检测的体现的
另：你指的空壳子是behavior_db.json？

你看看有多大啊 这个大小很难令我认为有实质的规则在里面
只有几kb？是我看错了吗

t0kenzero

pal家族 发表于 2023-9-20 22:50
你看看有多大啊 这个大小很难令我认为有实质的规则在里面
只有几kb？是我看错了吗

1M


hips的规则是云端拉下来的，不是hips文件夹里的那个

1. [2023-09-18 17:42:47.190][Info]        [7024] [HIPS UPDATE]: Start hips db update, msg: {"date":"Mon, 18 Sep 2023 09:42:47 GMT","download":"https://green-security-agent.obs.cn-north-4.myhuaweicloud.com/hips-rule-upload/1694513472676/hips_rule.zip","hipsDatabaseVersion":"HIPS_WIN_EN_SAAS_REL202309120001","hipsEngineVersion":"","needUpdateHips":true,"sha256":"47d9f4ce91a4682c9f1f7a8a823161ea72775f708987d8ae1132843b05ca87df"}.

复制代码

pal家族

t0kenzero 发表于 2023-9-20 22:56
1M

多谢指正！
由于我没有实际安装所以产生了误会！

IamAngry

t0kenzero 发表于 2023-9-20 20:09
HIPS是存在的，你可以找到一个加密的hips-rules.json的文件。而且日志中是有hips告警，只不过个人版没有 ...

所以这个人版基本就是个edr探针加点特征引擎