iDefender(冰盾Hips) 4.2.1.0更新

Fadouse

默认规制测试（娱乐向）：
远程线程加载shellcode


日志：
4.2.1.0

• 修复一些问题
  
  • 修复屏幕截图规则模板不生效问题
  • 修复conhost.exe误报问题
  • 优化镜像注入结束进程逻辑（会同时结束父进程和子进程）
  • 去掉一些过期规则
    

4.2.0.0主要优化使用体验和BUG修复，重要版本，建议更新！

• iMonitorSDK
  
  • 添加进程篡改事件（Process Hollowing、Process Doppelganging、Process Ghosting 等）
  • 添加镜像篡改事件 （傀儡进程、内存篡改）
  • 添加跨进程模块加载事件
  • 优化远程注入（支持识别注入的动态库路径）
  • 文件隐藏支持进程白名单
  • 进程信息添加原始文件名字段
  • 修复自保护导致FontCache打不开被保护进程问题
    
• 内置规则
  
  • 添加增强防御忽略名单
  • 添加资源管理器加固（可以拦截APC注入到explorer.exe)
  • 添加远程线程注入检测（支持识别注入的动态库路径）
  • 添加进程文件篡改检测
  • 添加远程镜像注入检测
  • 添加进程内存篡改检测
  • 添加父进程伪造检测
  • 修复一些误报
    
• 第三方规则
  
  • 精简优化、减少误报
    
• 拦截记录
  
  • 日历添加今日按钮
  • 支持记住上次调整的宽度
  • 拦截记录添加信任进程目标组合
    
• 询问弹窗
  
  • 修复信任的命令行取错成数字签名问题
  • 优化弹窗速度和位置计算
    
• 规则编辑
  
  • 参数支持多选复制
  • 修复操作目标拖曳后导致操作丢失的问题
    
• 响应动作
  
  • 添加询问（默认结束进程）选项
    
• 规则模板
  
  • 添加屏幕截图模板
  • 添加设备操作拦截模板（高级规则）
    
• 规则市场
  
  • 导入的规则支持增量更新（合并信任列表）
    
• 其他
  
  • 添加专业版功能
  • 优化启动性能
  • 优化规则编辑性能
  • 开启密码保护后，退出需要输入密码
    
• 修复和优化
  
  • 修复特定场景下内存泄漏问题
  • 修复开启密码保护，开机会弹密码框的问题
  • 修复参数零宽字符导致匹配失败问题
  • 修复跟360的兼容性问题
  • 修复数据库被锁导致无法正常写入拦截记录的问题
  • 进程创建记录详情里面添加命令行
  • 修复Server2008R2服务管理器列表为空的问题
  • 修复结束进程过程还有对应进程事件的问题
  • 优化Classes注册表项的重定向问题
  • 其他问题修复和使用优化
  • 
    

专业版授权码 trustsing.com

界面：


下载：
https://trustsing.com/idefender/

sanhu35

已食用

安全测评

我还在整理资料，准备发个更新贴，就发现已经有了

安全测评

对修改做一下总结
1. 增强稳定性和优化使用体验 （之前很多反馈的问题都修复和优化了）
2. 针对进程高级注入做了专门的支持（支持远程线程注入、远程镜像注入、傀儡进程检测、进程篡改检测：Process Hollowing、Process Doppelganging、Process Ghosting等）
3. 添加资源管理器（explorer.exe）加固支持，可以拦截通过APC、修改线程上下文的方式注入explorer.exe。
4. 添加更多模板支持：屏幕截图、外设开启禁用等

安全测评

更新两个分流下载地址：

蓝奏云：
https://trustsing.lanzn.com/iK1gX1xmx14f
密码:1234

123云盘：
https://www.123pan.com/s/axGijv-xZBmh.html

up2u_2h

用了3个月，支持一下

agent008

这个易用性怎么样？

wuxv826

大家一般用冰盾搭配什么杀软？
用卡巴免费版+冰盾如何？

aikafans

新版本目前感培觉不错

yexo

新版加入了几个期盼已久的用户体验改进：
终于可以复制规则以及批量复制规则内的各个参数了，之前只能一个一个复制；
拦截记录中可以看到目标进程命令行了；
UI以及弹窗明显丝滑了很多；

yexo

wuxv826 发表于 2024-5-4 18:36
大家一般用冰盾搭配什么杀软？
用卡巴免费版+冰盾如何？

如果打算开启增强防御的话，恐怕会有冲突

lwl0007

有没有2345看图王的规则？第三方优化版，win11上用不了，用官方的据说弹窗、广告之类的太多，今天安装了冰盾，研究一下冰盾能不能拦截。

Frank404

lwl0007 发表于 2024-5-5 07:59
有没有2345看图王的规则？第三方优化版，win11上用不了，用官方的据说弹窗、广告之类的太多，今天安装了冰 ...

为什么第三方优化版会在win11 上用不了？

试试这个版本呢 https://www.mefcl.com/2345pic/107

wuxv826

yexo 发表于 2024-5-5 03:36
如果打算开启增强防御的话，恐怕会有冲突

那就不开增强防御咯，靠卡巴免费版的主防，我主要是想用冰盾来补充免费杀软所缺失的HIPS和防火墙
或者您有什么好的免费版组合方案，可以推荐一下吗？

gtc

很想尝试，就是不知道和卡巴免费版一起用会不会冲突？

Fadouse

gtc 发表于 2024-5-5 17:04
很想尝试，就是不知道和卡巴免费版一起用会不会冲突？

我和卡巴斯基优选版一起用，默认配置无冲突

DisaPDB

安全测评 发表于 2024-5-4 14:22
对修改做一下总结
1. 增强稳定性和优化使用体验 （之前很多反馈的问题都修复和优化了）
2. 针对进程高级 ...

支持对系统调用的拦截了吗

安全测评

DisaPDB 发表于 2024-5-5 22:45
支持对系统调用的拦截了吗

系统调用很有多，具体指哪些？

DisaPDB

安全测评 发表于 2024-5-5 22:58
系统调用很有多，具体指哪些？

指的是Use Direct System Calls to Bypass Ring3 Hook的这类战术

安全测评

DisaPDB 发表于 2024-5-5 22:59
指的是Use Direct System Calls to Bypass Ring3 Hook的这类战术

1. 支持检测和拦截使用重新加载ntdll来绕过hook的方式
2. 在内核实现更多安全防护能力：（绕过hook后的行为一般是创建傀儡进程、注入可信软件）
  支持进程文件篡改检测（启动后修改文件绕过杀毒）、进程内存篡改进程（启动白进程挂起后注入shellcode）、镜像远程注入（使用MapViewOfSection远程注入到其他进程）、支持explorer加固（防止被注入：包括apc注入、修改线程上下文注入、远程线程注入）