在卸载诺顿又重新安装avast后，卡出了神奇的事情（多图预警

驭龙

00006666 发表于 2024-5-24 19:16
内核驱动里使用PsSetLoadImageNotifyRoutine设置模块加载回调例程就能监控了，微软标准接口，这里拦截驱 ...

我怀疑就是HIPS策略问题，也就是始终允许加载驱动程序的功能，ESET想拦截驱动不是轻轻松松的事情，只是没那么做

HIPS内核驱动模块中已经使用PsSetLoadImageNotifyRoutine函数了。


所以我认为就是ESET并不想拦截驱动加载，而是把这个问题留给WIN 11系统本身安全机制了。

其实W 10以后各家安全软件都在优化驱动，想当年无敌的Symantec驱动级引擎也不复存在了

bbszy

驭龙 发表于 2024-5-24 22:26
我怀疑就是HIPS策略问题，也就是始终允许加载驱动程序的功能，ESET想拦截驱动不是轻轻松松的事情，只是没 ...

可以开交互模式自行测试下。

hansyu

bbszy 发表于 2024-5-24 23:56
可以开交互模式自行测试下。

那个设置里面已经说了，跟HIPS的过滤模式严格程度无关，除非有明确的规则阻止加载。

bbszy

hansyu 发表于 2024-5-24 23:59
那个设置里面已经说了，跟HIPS的过滤模式严格程度无关，除非有明确的规则阻止加载。

你不会以为我没有设置任何规则，然后说他阻止加载驱动不生效吧？

驭龙

bbszy 发表于 2024-5-24 23:56
可以开交互模式自行测试下。

我是熬夜测试啊，刚刚设置一下，就HIPS规则而言，拦截驱动形同虚设，点击deny以后，PE依旧加载驱动，日志也没有显示阻止记录。

PE成功加载驱动



我推测是始终允许加载驱动程序，这规则的功能优先级高于一切，但也有可能是个缺陷
============================
不过显示是检测的写入文件操作，并不是显示阻止驱动加载操作。

测试不严谨，明天再试试看

bbszy

驭龙 发表于 2024-5-25 00:52
我是熬夜测试啊，刚刚设置一下，就HIPS规则而言，拦截驱动形同虚设，点击deny以后，PE依旧加载驱动，日志 ...

可能唯一能拦截的点就是拦截访问sys文件
我很多年前虚拟机里测过win7 x86下是可以拦截驱动加载的。所以我并不觉得是策略问题。

bbszy

驭龙 发表于 2024-5-25 00:52
我是熬夜测试啊，刚刚设置一下，就HIPS规则而言，拦截驱动形同虚设，点击deny以后，PE依旧加载驱动，日志 ...

发重了，编辑。

hansyu

bbszy 发表于 2024-5-25 02:39
可能唯一能拦截的点就是拦截访问sys文件
我很多年前虚拟机里测过win7 x86下是可以拦截驱动加载的。所以 ...

你的说法我认可，我印象中以前是确实可以拦截的。我去官方社区搜索，发现在2018年就有人用process explorer测试发现阻止加载驱动规则不起作用，Marcos并没有给出答复，只是说会询问hips开发小组。2019年也有人提到，Marcos直接无视掉了。再后来社区就没搜索到相关讨论，看来很有可能是bug，且官方不予理睬。

00006666

驭龙 发表于 2024-5-24 22:26
我怀疑就是HIPS策略问题，也就是始终允许加载驱动程序的功能，ESET想拦截驱动不是轻轻松松的事情，只是没 ...

不过PsSetLoadImageNotifyRoutine本身只能监视，不能拦截，要想实现拦截还需要做一些额外的操作

00006666

hansyu 发表于 2024-5-25 08:14
你的说法我认可，我印象中以前是确实可以拦截的。我去官方社区搜索，发现在2018年就有人用process explor ...

X86系统中，杀软一般都用SSDT HOOK，X64位系统因为有PG，所以使用内核回调