楼主: 装甲未被击穿
收起左侧

[分享] 华为乾坤EDR个人版初体验

  [复制链接]
装甲未被击穿
 楼主| 发表于 2023-9-19 16:15:02 | 显示全部楼层
本帖最后由 装甲未被击穿 于 2023-9-19 16:27 编辑
pal家族 发表于 2023-9-19 15:54
大概150MB的特征库
很像norton的static scanner engine
只有个超轻量的驱动 连elam驱动都没看到 预计监 ...

你感觉的没错。主防和实时监控约等于完全没有。有的毒可以扫描出来,但可以双击运行,放在桌面上也是没有反应的而且这个病毒库只能自动更新,也不知道啥时候会再更新。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
GreatMOLA
发表于 2023-9-19 16:26:36 | 显示全部楼层
pal家族 发表于 2023-9-19 15:54
大概150MB的特征库
很像norton的static scanner engine
只有个超轻量的驱动 连elam驱动都没看到 预计监 ...

还需要长时间积淀。。。
tangxiaowei
发表于 2023-9-19 23:38:16 | 显示全部楼层
384也7492374 发表于 2023-9-17 11:15
大局已定了,拿什么搞,还最强对手单论杀毒软件,他那个样本检出率还没有主防,况且引擎是以前的防火墙产 ...

可是只要他有终端,就像腾讯拥有QQ用户一样.
t0kenzero
发表于 2023-9-20 20:09:36 | 显示全部楼层
本帖最后由 t0kenzero 于 2023-9-20 20:12 编辑
pal家族 发表于 2023-9-19 15:54
大概150MB的特征库
很像norton的static scanner engine
只有个超轻量的驱动 连elam驱动都没看到 预计监 ...

HIPS是存在的,你可以找到一个加密的hips-rules.json的文件。而且日志中是有hips告警,只不过个人版没有写告警窗口( 企业版会直接上传到云端



上面为个人版 下面为企业版



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
pal家族
发表于 2023-9-20 20:59:10 | 显示全部楼层
t0kenzero 发表于 2023-9-20 20:09
HIPS是存在的,你可以找到一个加密的hips-rules.json的文件。而且日志中是有hips告警,只不过个人版没有 ...

我必然看到了hips和behavior两个配置文件
你看到了也会发现就是这个空壳子 写着玩的
t0kenzero
发表于 2023-9-20 22:42:51 | 显示全部楼层
pal家族 发表于 2023-9-20 20:59
我必然看到了hips和behavior两个配置文件
你看到了也会发现就是这个空壳子 写着玩的

hips规则不是空壳子 日志中是有检测的体现的
另:你指的空壳子是behavior_db.json?

hips规则应该可以解密出来。etc的文件夹中有aes的key和iv。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
pal家族
发表于 2023-9-20 22:50:45 | 显示全部楼层
t0kenzero 发表于 2023-9-20 22:42
hips规则不是空壳子 日志中是有检测的体现的
另:你指的空壳子是behavior_db.json?

你看看有多大啊 这个大小很难令我认为有实质的规则在里面
只有几kb?是我看错了吗
t0kenzero
发表于 2023-9-20 22:56:24 | 显示全部楼层
本帖最后由 t0kenzero 于 2023-9-20 22:59 编辑
pal家族 发表于 2023-9-20 22:50
你看看有多大啊 这个大小很难令我认为有实质的规则在里面
只有几kb?是我看错了吗

1M


hips的规则是云端拉下来的,不是hips文件夹里的那个
  1. [2023-09-18 17:42:47.190][Info]        [7024] [HIPS UPDATE]: Start hips db update, msg: {"date":"Mon, 18 Sep 2023 09:42:47 GMT","download":"https://green-security-agent.obs.cn-north-4.myhuaweicloud.com/hips-rule-upload/1694513472676/hips_rule.zip","hipsDatabaseVersion":"HIPS_WIN_EN_SAAS_REL202309120001","hipsEngineVersion":"","needUpdateHips":true,"sha256":"47d9f4ce91a4682c9f1f7a8a823161ea72775f708987d8ae1132843b05ca87df"}.
复制代码


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
pal家族 + 3 感谢解答: )

查看全部评分

pal家族
发表于 2023-9-20 23:27:54 | 显示全部楼层

多谢指正!
由于我没有实际安装所以产生了误会!
IamAngry
发表于 2023-9-21 00:22:22 | 显示全部楼层
t0kenzero 发表于 2023-9-20 20:09
HIPS是存在的,你可以找到一个加密的hips-rules.json的文件。而且日志中是有hips告警,只不过个人版没有 ...

所以这个人版基本就是个edr探针加点特征引擎
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 23:36 , Processed in 0.091631 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表