在卸载诺顿又重新安装avast后，卡出了神奇的事情（多图预警

驭龙

hansyu 发表于 2024-5-24 18:35
咖啡现在跟你去年安装的时候没区别，只有一个不到100KB大小的驱动。

还那样惨不忍睹啊，我还以为那时候是没完成的半成品，没想到还是这样啊

bbszy

驭龙 发表于 2024-5-24 13:46
ESET驱动小巧？那你怕不是被ESET骗了？

ESET加载的驱动就有11个之多，当然，ESET搞手段，把一些驱动格 ...

不是要搞驱动对抗，而是既然hips设置了拦截驱动加载这个选项，就应该实现它的功能，而不是挂羊头卖狗肉。

eset的文件监控驱动一直以来就很小巧，可以说这么多年下来没什么变化。虽然eset的文件监控策略是落地就杀，给人一种响应很迅速的感觉，而卡巴 诺顿那种根据实际情况延迟扫描就让人觉得“不靠谱”，但是eset结果早期版本（现在不清楚，没有使用）漏毒那么厉害，包括u盘病毒（不是不能识别，个人感觉是在区分“新建与已知修改的文件”这里出了问题，包括默认设置下，只有执行时才启用高级启发式扫描），所谓的响应快又有何用呢？卡巴诺顿虽然由于策略监控响应慢点，但人家不漏毒啊。

ps 这个帖子 https://bbs.kafan.cn/thread-2268119-1-1.html 描述的问题，让我很难相信eset彻底解决了漏毒问题。

hansyu

驭龙 发表于 2024-5-24 18:55
还那样惨不忍睹啊，我还以为那时候是没完成的半成品，没想到还是这样啊

这应该就是成品了，所有上层功能包括实时监控，扫描，防火墙，行为监控等就依赖唯一的不到100KB的驱动，感觉不堪重负。

驭龙

bbszy 发表于 2024-5-24 18:43
用户只看结果 问题就出在“没做”的那部分。

那我想知道，普通用户真的需要拦截驱动加载吗？

百分之九十九的用户最不希望见到的不是蓝屏吗？搞驱动对抗的结果就是蓝屏，没出路的，所以我并不认为ESET不拦截驱动有问题，更何况又不是不杀SYS文件

ESET跟当年的诺顿差不多，都是搞入口前端防御的，但只是没有诺顿强大的后端弥补手段SONAR

ESET主动防御方面确实是弱，这毋庸置疑，真是渣，感觉都没MD好

bbszy

驭龙 发表于 2024-5-24 19:00
那我想知道，普通用户真的需要拦截驱动加载吗？

百分之九十九的用户最不希望见到的不是蓝屏吗？搞驱动 ...

不是用户需要
而是esst设计了这个选项，就应该实现它的功能，要不然直接取消好了

驭龙

hansyu 发表于 2024-5-24 18:58
这应该就是成品了，所有上层功能包括实时监控，扫描，防火墙，行为监控等就依赖唯一的不到100KB的驱动， ...

这，我也感觉不太可靠

驭龙

bbszy 发表于 2024-5-24 18:58
不是要搞驱动对抗，而是既然hips设置了拦截驱动加载这个选项，就应该实现它的功能，而不是挂羊头卖狗肉。 ...

参考迷你筛选器函数，ESET文件驱动的监控函数并不差，为什么说一直以来小巧？

ESET漏毒的问题不是监控，而是引擎架构问题，无解

00006666

bbszy 发表于 2024-5-24 18:58
不是要搞驱动对抗，而是既然hips设置了拦截驱动加载这个选项，就应该实现它的功能，而不是挂羊头卖狗肉。 ...

实现驱动拦截不难，也不需要什么很复杂的代码，前面就说了，微软有标准接口，驱动只要注册一个LoadImage回调，这也是四大回调之一，杀软驱动基本都会注册，而且ESET驱动应该是有注册这个回调的

00006666

驭龙 发表于 2024-5-24 19:00
那我想知道，普通用户真的需要拦截驱动加载吗？

百分之九十九的用户最不希望见到的不是蓝屏吗？搞驱动 ...

内核驱动里使用PsSetLoadImageNotifyRoutine设置模块加载回调例程就能监控了，微软标准接口，这里拦截驱动加载过程不会蓝屏，而且杀软/EDR/反作弊等等都会使用这个接口

00006666

只是这个接口一般是获取不到加载驱动的进程ID，所以现在有一些特殊方法。