3更【体验ESET带来的TDT功能】关于安全软件启用TDT的意义与vpro平台的交流讨论专帖

驭龙

本帖，大家可以一起讨论安全软件与硬件安全技术的应用与实际使用，我也是个普通用户，所以本帖讨论没有对错，只是来分析和讨论硬件安全技术对计算机安全的影响和使用，大家的讨论结果，我会更新在本帖一楼，欢迎各位饭友和大佬来一起讨论。
因为这是在讨论各大安全厂商支持TDT技术的帖子，所以发在国外区并不违规

省流的先说一下什么设备支持vpro平台完整技术，由于vpro平台是为企业用户打造的安全防线，因此消费级主板也就是芯片组是不支持vpro平台完整技术的，目前支持完整vpro技术的电脑都是品牌机中的商用电脑才支持，但也不是全部商用电脑都支持vpro，简单一句话如果你的设备机身上贴有vpro平台认证徽标，就是支持完整vpro技术的电脑，没有就是不完整支持。
设备如果通过vpro平台认证，机体上会贴有如下三个vpro徽标中的一个。

==================================================================
2024年9月21日，更新体验TDT功能。

没错，我又来炫耀我的vPro设备了，不过这次与前几次更新不一样，这次体验的是ESET提供的TDT功能支持，凡是符合ESET条件的电脑，都可以开启ESET的TDT功能，而且比隔壁MD提供的更加完整，但是ESET的TDT仅针对勒索软件Ransomware，不检测其他类型的威胁。
在下面的链接中提供了ESET的检测设备是否支持TDT的方法，饭友们可自行对比。
https://support.eset.com/en/kb83 ... upported-processors
使用PowerShell输入：

1. get-wmiobject win32_processor

复制代码

获得处理器参数与下图对比，即可确认设备是否支持TDT功能


例如我的设备参数是6 191 2，对比上图中的信息，是支持TDT功能的设备。


ESET在支持TDT的设备上，高级设置中，HIPS分支下的Ransomware Shield子功能中就会出现Intel Threat Defense Technology功能开关。


在开启TDT的状态下，ESET核心进程EKRN会加载三个新的模块，分别是ESET的TDT引擎，以及Intel的显卡控制库，还有DX技术的DirectXApps.sdb数据库。


是否存在核显控制库的加载，可能与硬件设备以及核心显卡的驱动版本有关系，我的核显是14代的UHD 770桌面核显，驱动版本是32.0.101.5542
核心显卡的驱动位置在C:\Windows\System32\DriverStore\FileRepository\iigd_dch.inf_amd64_XXXXXXXXXXX文件夹中：
ESET调用的核显控制运行时库IntelControlLib.dll就在该位置


如果关闭TDT功能，EKRN会卸载上述三个模块，不再使用核心显卡的控制器执行TDT功能，也不会调用处理器的硬件TDT接口，失去TDT检测能力。


ESET的TDT功能，不单单有2MB大小的引擎模块，还有一个7MB＋大小的特征库，名为em059，它是没被直接加载的，应该是通过TDT引擎调用，或者按需加载。


TDT特征库模块，可能会因为硬件功能的不同被分配不同的TDT特征库，我这边被分配的是em59，版本号是1001

TDT特征库签名时间是2024年4月12日，并非新版本ESET获得的功能


不同的硬件设备可能会获得不同的TDT特征库，以便支持对应硬件的TDT功能，因此你的TDT特征库可能与我展示的版本不同。

这里有ESET官方提供的两个PDF文件，介绍了ESET的TDT功能和运作原理，大致运行机制如下图：


感兴趣的朋友可以自行阅读，没啥特别的，就不啰嗦这些内容了。
https://www.eset.com/fileadmin/E ... -brief-final-v5.pdf
https://www.eset.com/fileadmin/E ... tel-smg-eset-ig.pdf

在本帖之前的内容中和MD区TDT帖子中，都提到过TDT的功能，其中极为罕见的是anomalous behavior detection (ABD)异常行为检测的技术，这功能在MD上都是被禁用的TDT遥测技术，然而在ESET的核心控制组件EM018也就是HIPS引擎中有这样一条命令core_telemetry_publisher.abd_enabled以及abd_detection":Abnormal control flows detected!
因此，ESET的TDT在支持的设备上是开启ABD功能，这算得上是比较罕见的情况，但不确定在非vPro设备上是否开启ABD检测。（备注：按照Intel官方说法，没有vPro支持的设备应该没有ABD功能）

这里吐槽一句，ESET对TDT功能的状态没有明确给出启用了多少TDT功能，透明度跟比MD差不少，MD可是提供了TDT功能开启状态的详细信息查询，所以我不确定ESET在我的设备上启用多少TDT功能，这是比较遗憾的地方。

ESET的TDT功能检测到的威胁报毒名是如下几个行为特征：

Trojan.Win32/Beh.Tdt.A
Trojan.Win32/Beh.Tdt.CML
Trojan.Win32/Beh.Tdt.TGL
Trojan.Win32/Beh.Tdt.ALDRL

ESET使用的TDT版本也是V4版本，目前（2024年9月21日）是version": "4.3.0.181"

值得注意的，虽然ESET的独立的TDT引擎和TDT特征库，但是核心的控制和检测是由HIPS引擎提供的，TDT行为检测勒索软件的能力是HIPS引擎附属功能，不是独立功能，TDT功能是被HIPS引擎调用的，所以无法独立使用。

按照ESET官方说法，ESET的勒索软件保护，使用TDT功能，可以检测到隐蔽性极强的勒索软件，哪怕勒索软件把自己隐藏在VM环境中，TDT功能也可以识别，因为CPU执行了勒索软件的数据，必然会被TDT功能捕获，从而识别隐藏的勒索软件威胁。

比较遗憾的是我这vPro设备新机是办公用的，不太可能实机测毒，加上开启智能应用控制Smart App Control功能，所以无法实机测毒，因此无法为饭友们提供ESET的TDT发威时刻，还请见谅。

如果以后有机会，我进一步测试TDT功能的效果，我会跟饭友们分享我的发现，好了，本次更新到此结束。

==================================================================
2024年9月1日，更新部分内容：
由于我对vPRO平台有特殊的执着，因此我入手的新电脑选择的就是vPRO认证的，带有vPRO徽标的商用一体机电脑，原本本帖发帖时间太久，我已经无法更新内容，现在被版主大人重新开启，我也借此机会，更新本帖，来解释一下之前尚未明确的问题。

首先是硬件CPU处理器和主板芯片组以及安全处理器TPM和有线LAN网卡全部支持vPRO技术的前提下，也未必获得vPRO技术的保护，因为在满足以上硬件条件的基础上，UEFI固件，BIOS设置中必须开启名为英特尔® Trusted Execution Technology（英特尔可信执行技术），缩写为Intel TXT。
下图是某想的BIOS设置TXT截图：


如果想获得vPRO平台的保护，就必须在BIOS固件设置中开启TXT技术，否则，即便你的硬件满足vPRO全部条件，也无法获得vPRO的保护，这也是大部分非OEM商用电脑无法使用vPRO技术加持的原因，据我所知，在某戴的自选配置中，如果选择开启vPRO是需要额外加钱的Essentials是一百八十多￥，Enterprise是二百三十多左右，然后才会获得vPRO平台功能和徽标。
有vPRO Essentials的价格


无vPRO Essentials的价格


由此可见，想获得vPRO技术的加持，还真的是困难重重啊，只有OEM厂商的部分商用电脑才有vPRO徽标，开启vPRO硬件护盾技术。
顺便一提，有vPRO徽标的设备，极有可能是海外大名鼎鼎的安全核心PC，但具体是不是安全核心PC还是要看OEM厂商的固件开放情况，以及购买产品的型号，所以有vPRO不等于有安全核心PC，这是大家需要注意的地方哦。

接下来以我的电脑为例，给各位饭友展示一下vPRO平台的开启状态

还是用我们熟悉的AIDA64软件，来检测vPRO部分功能的状态，例如TXT和CET以及TME等技术。

在DMI选项中的Intel vPro中，可以看到我的设备是启用CPU TXT以及BIOS TXT技术的，因此我这台设备自然是vPro平台产品。


在主板的CPUID信息中，可以看到我的设备也支持CET控制流强制技术，以及TME全内存加密技术，由于我的是Essentials版本，所以没有总内存加密技术的多密钥技术。


以上是AIDA64上能够可查的vPRO技术，接下来，我在展示一下vPro设备在Windows 11 24H2 安全中心中设备安全性，所展示的功能和特性。

我的设备上，设备安全性分为五个，安全核心电脑，内核隔离，安全处理器，安全启动，数据加密。


安全核心电脑，这是OEM制造商选择性开放的功能，我这台买之前并不知道是安全核心电脑，开机以后才发现是安全核心电脑，我感觉我赚大了。


内核隔离，我这边有七个功能，其中MDAG是企业版系统的功能，跟vPRO关系不大，也就是MDSG的固件保护三级，是TXT赋予的高级功能，目前是固件保护的最高级别。

截图不够，下面有个Microsoft易受攻击的驱动程序阻止列表，没截到。

内核模式硬件强制堆栈保护，也就是CET硬件技术，这个是不需要vPRO认证就有的，只需要硬件CPU是11代以及AMD Zen3以后的处理器都可以获得。

安全处理器就是TPM芯片，但TPM有分固件级和硬件级，TPM固件级，可能抠主板上的电池基本就废了
我这TPM是新唐的硬件TPM芯片


安全启动和数据加密没啥好说的，就不在这里说废话了。

而TDT技术，也是不需要vPRO认证就可以获得大部分功能的，具体功能获得情况，可以看本帖最下方的vPRO功能列表。

MD已经为我们开启大部分TDT功能，具体内容请移步MD区，我另一个关于TDT的帖子。
MD开启TDT功能查询


好了，后续有新的内容，我再更新本帖。
===================================================================

某商用电脑对vpro的开启要求如下：

intel vpro requires Windows 10 Pro 64 bit or higher, a vPro supported processor, vPro enabled chipset, vPro enabled wired LAN and/or Wi-Fi 6E WLAN and TPM 2.0. Some functionality requires
additional 3rd party software in orderto run. Features of vPro® Essentials and Enterprise vary. See http://intel.com/vpro

英特尔博锐需要 Windows 10 Pro 64 位或更高版本、支持博锐的处理器、支持博锐的芯片组、支持博锐的有线局域网和/或 Wi-Fi 6E WLAN 和 TPM 2.0。某些功能需要
其他第三方软件以运行。vPro® Essentials 和 Enterprise 的功能各不相同。查看 http://intel.com/vpro

自从Intel发布12代酷睿处理器，Intel就一直在推广vpro平台的各种安全技术，其中TDT技术是可被安全软件广泛应用的技术，很多安全软件厂商也已跟进的将TDT技术融入自家产品中，那么为什么除了ESET外，就没有其他安全厂商把TDT加入家用产品呢？

目前宣布加入TDT生态的安全厂商，可查询
https://community.intel.com/t5/B ... curity/post/1365216
可见几乎清一色的都是企业级安全产品支持TDT，包括微软也是MDE才支持完整TDT技术。

按照Intel产品规范中的信息显示，12代以后的处理器除了I3以下的型号，基本都支持vpro技术，但也有很多缩水产品没有vpro却单独有TDT，例如I7 13620H款处理器就不支持vpro却保留了TDT。


高高在上的移动端I7都有不支持vpro的型号，但桌面处理器即便I5也是完整支持vpro的，例如I5 13500处理器


13代处理器支持vpro功能的信息，可查阅：面向商业计算机的英特尔vpro平台简介


列表中凡是有4小数字以后数字的功能，都是需要vpro平台认证的，由此可见，硬件安全技术并非是处理器上支持，家用电脑就可以使用的，其中也就是TDT的部分功能可在无需vpro平台的支持下允许家庭用户使用。

在面向 Windows 的英特尔® vPro® Enterprise 平台常见问题解答有解答，也就是vpro平台是面向企业用户的，具体解答内容如下：

英特尔® vPro® Enterprise 平台的安全性如何？
英特尔® Hardware Shield 仅在符合英特尔® vPro® 标准的 Windows 电脑上提供，可为企业带来全面的硬件级安全功能。
硬件级集成电脑保护为企业工作效率提供更安全的保障，包括操作系统下层安全性、应用和数据安全性和高级威胁检测。
帮助防范与内存安全相关的全系列攻击。这些攻击长期以来避开了使用英特尔® Control-flow Enforcement Technology（英特尔® CET）的纯软件解决方案。现在，所有搭载第 12 代智能英特尔® 酷睿™ 处理器且采用英特尔® vPro® 平台的设备都可使用这一功能。

哪些笔记本电脑使用英特尔® vPro® 平台？
大多数主要电脑制造商都提供采用英特尔® vPro® 平台的笔记本电脑。查看是否有徽标，若有则表明系统满足英特尔® vPro® 平台“为卓越商务而生”的要求。

由此可见，如果购买的品牌机没有贴有vpro平台徽标，就无法完全启用vpro功能，即便你购买的是支持vpro技术的I5 13500处理器也没用。

什么样的商用设备可以支持vpro平台认证呢，首先除了处理器要有vpro技术外，更关键的是芯片组，如果芯片组不支持vpro平台资格，那么就无法使用vpro技术，而芯片组无论是H系还是B系，又或者高档的Z系，都是不支持vpro认证的，也就是说买主板的组装电脑是不会有完整vpro技术的，只有Q系和W系的企业级芯片组才会支持vpro认证。
关于芯片组是否支持vpro，可在这里查询：ARK芯片组信息

如果想进一步了解vpro平台的功能与意义，可阅读官方文档：基于硬件的企业安全性

====================================================================
上面是源自Intel的官方信息，可靠度应该没问题，那么我们现在来讨论一下，没vpro认证的电脑，究竟能使用多少vpro技术呢？

为什么这么说？虽然官方说没vpro认证的设备不支持vpro技术，实际上我们还是可以享用部分vpro技术的，例如AIDA64软件就可以检测出部分vpro功能的启用情况。

使用AIDA64软件，我可以查询到我这七代奔腾U系处理器启用了多少vpro功能（目前看不到TDT么？）


除了在计算机→DMI下可以查询到部分vpro技术的开启状态外，在主板→CPUID的安全中也可看到很多安全功能的支持情况。


吐槽一句，我这便宜的七代奔腾，是不是啥都不支持啊，太惨了。

由于我没12代以后的处理器，不清楚12代以后的处理器可以开启多少vpro功能，欢迎各位符合条件的饭友使用AIDA64来分享新处理器的信息，如果需要AIDA64的使用权限，可PM我，我来提供检测处理器的AIDA64E版，希望各位饭友可以来分享一下信息。

我们确认家用电脑开启多少VPRO安全技术以后，再进一步讨论，TDT技术的使用和测试情况。

目前确认的信息是没有vpro认证的设备，是可以使用TDT加速内存扫描技术的，也就是TDT AMS功能，这也是目前安全厂商使用最多的TDT功能，至于是否支持TDT的其他功能（如ABD RD和AI AL等），需要进一步测试，只能等其他饭友的测试了。

=========================================================
更新2024年3月14日00点33分：

按照官方给的详细信息显示，我们可以确定TDT的加速内存扫描和GPU的机械学习AL是对消费者开放的（CD也可以，但需要vpro），换句话说不需要vpro认证就可以使用，而且是6代处理器以上都可以（我的奔腾虽然是七代，可惜是奔腾，所以就不支持吗？），但是TDT的加密挖矿检测CD和勒索软件检测RD，以及异常行为检测ABD，控制流强制技术CET，这四个功能是需要vpro认证才能使用的，具体信息如下图所示。


其他信息和功能，我们可以进一步慢慢讨论。

PS：好久没发这种有意义的讨论帖了，希望和大家一起讨论和学习，感谢支持

驭龙

天啊，根据某商业电脑的技术支持描述，启用vpro的要求太高了，除了需要处理器、芯片组支持vpro之外，还需要有线网卡和无线网卡，以及TPM 2.0支持vpro，才能是vpro认证产品，好了，个人用户和DIY用户，是不要考虑vpro功能了，没戏的

intel vpro requires Windows 10 Pro 64 bit or higher, a vPro supported processor, vPro enabled chipset, vPro enabled wired LAN and/or Wi-Fi 6E WLAN and TPM 2.0. Some functionality requires
additional 3rd party software in orderto run. Features of vPro® Essentials and Enterprise vary. See http://intel.com/vpro

pal家族

我觉得龙大你需要先用简略的语言回答一个问题：
什么U搭配什么设备会支持VPro。
然后再给大伙好好科普下Vpro其他的东西
我现在很晕
是不是即使U支持VPro 设备没有认证的话也是不支持VPro特性的？全部不支持还是部分不支持呢

驭龙

pal家族 发表于 2024-3-13 17:41
我觉得龙大你需要先用简略的语言回答一个问题：
什么U搭配什么设备会支持VPro。
然后再给大伙好好科普下V ...

感谢建议，虽然帖子里有说，但是太分散了，我去重新编辑一下

驭龙

pal家族 发表于 2024-3-13 17:41
我觉得龙大你需要先用简略的语言回答一个问题：
什么U搭配什么设备会支持VPro。
然后再给大伙好好科普下V ...

部分不支持，没有认证的也是可以使用一部分vpro技术的，例如TDT的加速内存扫描，11代以后的处理器，不是缩水版基本都支持TDT

DisaPDB

Kingsoft has slated for Q2 release its EDR solution using Intel TDT ransomware and cryptojacking detection solution building blocks to improve efficacy with minimal additional impact to the user experience.

金山加入TDT计划很早了，他们的个人产品里面也有看到TDT相关模块，但是目前来看没有发力，据说是因为误报过高？

驭龙

DisaPDB 发表于 2024-3-13 18:17
金山加入TDT计划很早了，他们的个人产品里面也有看到TDT相关模块，但是目前来看没有发力，据说是因为误报过 ...

是的，没想到金山玩的这么超前啊，不过直到现在，也没有正式开放，只能再等等看。

企业版和个人版的山山是同一个架构？我很多年没关注了，不太清楚，如果是同一个架构，那有vpro认证设备的个人用户，就又多了一个选择

DisaPDB

驭龙 发表于 2024-3-13 18:23
是的，没想到金山玩的这么超前啊，不过直到现在，也没有正式开放，只能再等等看。

企业版和个人版的山 ...

再观望看看吧，毒霸现在的个人版非常乏力了，不说个人版TDT完全没有体现出来，就连正常的KVM/ML之类的本职工作都没做好……
不过这几年没也听过毒霸企业版在做事（）

驭龙

DisaPDB 发表于 2024-3-13 18:26
再观望看看吧，毒霸现在的个人版非常乏力了，不说个人版TDT完全没有体现出来，就连正常的KVM/ML之类的本 ...

只能持续关注了

如我在绒儿区发的帖子，绒儿也是加入vpro生态的，就是目前不确定绒儿的GPU加速有没有包含其他TDT技术，似乎只有AMS功能，希望绒儿6的内存保护出现以后，进一步加入TDT其他功能吧，毕竟绒儿靠企业版恰饭

wangkaka

驭龙 发表于 2024-3-13 18:23
是的，没想到金山玩的这么超前啊，不过直到现在，也没有正式开放，只能再等等看。

企业版和个人版的山 ...

金山个人版TDT已经作废，我有金山会员，之前问过客服，说是个人版已经取消了。现在设置还有是他们还没有删除这个设置选项。

wangkaka

DisaPDB 发表于 2024-3-13 18:26
再观望看看吧，毒霸现在的个人版非常乏力了，不说个人版TDT完全没有体现出来，就连正常的KVM/ML之类的本 ...

金山个人版TDT已经作废，我有金山会员，之前问过客服，说是个人版已经取消了。现在设置还有是他们还没有删除这个设置选项。