楼主: kuroandsan
收起左侧

[讨论] 在卸载诺顿又重新安装avast后,卡出了神奇的事情(多图预警

  [复制链接]
驭龙
发表于 2024-5-24 22:26:22 | 显示全部楼层
00006666 发表于 2024-5-24 19:16
内核驱动里使用PsSetLoadImageNotifyRoutine设置模块加载回调例程就能监控了,微软标准接口,这里拦截驱 ...

我怀疑就是HIPS策略问题,也就是始终允许加载驱动程序的功能,ESET想拦截驱动不是轻轻松松的事情,只是没那么做

HIPS内核驱动模块中已经使用PsSetLoadImageNotifyRoutine函数了。


所以我认为就是ESET并不想拦截驱动加载,而是把这个问题留给WIN 11系统本身安全机制了。

其实W 10以后各家安全软件都在优化驱动,想当年无敌的Symantec驱动级引擎也不复存在了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
bbszy
发表于 2024-5-24 23:56:40 来自手机 | 显示全部楼层
驭龙 发表于 2024-5-24 22:26
我怀疑就是HIPS策略问题,也就是始终允许加载驱动程序的功能,ESET想拦截驱动不是轻轻松松的事情,只是没 ...

可以开交互模式自行测试下。
hansyu
发表于 2024-5-24 23:59:58 | 显示全部楼层
bbszy 发表于 2024-5-24 23:56
可以开交互模式自行测试下。

那个设置里面已经说了,跟HIPS的过滤模式严格程度无关,除非有明确的规则阻止加载。
bbszy
发表于 2024-5-25 00:02:26 | 显示全部楼层
hansyu 发表于 2024-5-24 23:59
那个设置里面已经说了,跟HIPS的过滤模式严格程度无关,除非有明确的规则阻止加载。

你不会以为我没有设置任何规则,然后说他阻止加载驱动不生效吧?
驭龙
发表于 2024-5-25 00:52:22 | 显示全部楼层
本帖最后由 驭龙 于 2024-5-25 01:01 编辑
bbszy 发表于 2024-5-24 23:56
可以开交互模式自行测试下。

我是熬夜测试啊,刚刚设置一下,就HIPS规则而言,拦截驱动形同虚设,点击deny以后,PE依旧加载驱动,日志也没有显示阻止记录。

PE成功加载驱动



我推测是始终允许加载驱动程序,这规则的功能优先级高于一切,但也有可能是个缺陷
============================
不过显示是检测的写入文件操作,并不是显示阻止驱动加载操作。

测试不严谨,明天再试试看

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
bbszy
发表于 2024-5-25 02:39:32 | 显示全部楼层
本帖最后由 bbszy 于 2024-5-25 02:48 编辑
驭龙 发表于 2024-5-25 00:52
我是熬夜测试啊,刚刚设置一下,就HIPS规则而言,拦截驱动形同虚设,点击deny以后,PE依旧加载驱动,日志 ...

可能唯一能拦截的点就是拦截访问sys文件
我很多年前虚拟机里测过win7 x86下是可以拦截驱动加载的。所以我并不觉得是策略问题。
bbszy
发表于 2024-5-25 02:39:50 | 显示全部楼层
驭龙 发表于 2024-5-25 00:52
我是熬夜测试啊,刚刚设置一下,就HIPS规则而言,拦截驱动形同虚设,点击deny以后,PE依旧加载驱动,日志 ...

发重了,编辑。
hansyu
发表于 2024-5-25 08:14:07 来自手机 | 显示全部楼层
bbszy 发表于 2024-5-25 02:39
可能唯一能拦截的点就是拦截访问sys文件
我很多年前虚拟机里测过win7 x86下是可以拦截驱动加载的。所以 ...

你的说法我认可,我印象中以前是确实可以拦截的。我去官方社区搜索,发现在2018年就有人用process explorer测试发现阻止加载驱动规则不起作用,Marcos并没有给出答复,只是说会询问hips开发小组。2019年也有人提到,Marcos直接无视掉了。再后来社区就没搜索到相关讨论,看来很有可能是bug,且官方不予理睬。
00006666
发表于 2024-5-25 08:23:19 | 显示全部楼层
本帖最后由 00006666 于 2024-5-25 08:28 编辑
驭龙 发表于 2024-5-24 22:26
我怀疑就是HIPS策略问题,也就是始终允许加载驱动程序的功能,ESET想拦截驱动不是轻轻松松的事情,只是没 ...

不过PsSetLoadImageNotifyRoutine本身只能监视,不能拦截,要想实现拦截还需要做一些额外的操作
00006666
发表于 2024-5-25 08:24:59 | 显示全部楼层
hansyu 发表于 2024-5-25 08:14
你的说法我认可,我印象中以前是确实可以拦截的。我去官方社区搜索,发现在2018年就有人用process explor ...

X86系统中,杀软一般都用SSDT HOOK,X64位系统因为有PG,所以使用内核回调
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 16:26 , Processed in 0.094252 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表