在卸载诺顿又重新安装avast后，卡出了神奇的事情（多图预警

驭龙

bbszy 发表于 2024-5-25 02:39
可能唯一能拦截的点就是拦截访问sys文件
我很多年前虚拟机里测过win7 x86下是可以拦截驱动加载的。所以 ...

VBS了解一下吧，行为分析或多或少有影响

驭龙

00006666 发表于 2024-5-25 08:23
不过PsSetLoadImageNotifyRoutine本身只能监视，不能拦截，要想实现拦截还需要做一些额外的操作

看函数并不少，但不拦截，感觉还是个BUG，毕竟现在选择拦截也没有效果

00006666

驭龙 发表于 2024-5-25 08:39
VBS了解一下吧，行为分析或多或少有影响

VBS也就是在驱动加载的时候有影响，它会检查有没有WHQL签名，有没有异常的混淆(如VMP)，其他影响不大，PG不让杀软内核HOOK了，不过微软提供了一系列标准接口，驱动可以来调用，不影响拦截驱动加载，也不涉及到底层对抗。

00006666

PsSetCreateProcessNotifyRoutine  进程回调

PsSetCreateThreadNotifyRoutine  线程回调

CmRegisterCallback  注册表回调

PsSetLoadImageNotifyRoutine  模块加载回调

这四大回调，所有杀软都会使用到

驭龙

00006666 发表于 2024-5-25 08:50
VBS也就是在驱动加载的时候有影响，它会检查有没有WHQL签名，有没有异常的混淆(如VMP)，其他影响不大，PG ...

内核隔离，对监控还是有影响的，尤其是行为分析

驭龙

00006666 发表于 2024-5-25 08:54
PsSetCreateProcessNotifyRoutine  进程回调

PsSetCreateThreadNotifyRoutine  线程回调

昨天看HIPS模块代码，这些函数好像都有，问题还是ESET自己的问题

00006666

驭龙 发表于 2024-5-25 09:14
昨天看HIPS模块代码，这些函数好像都有，问题还是ESET自己的问题

https://learn.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nf-ntddk-pssetloadimagenotifyroutine

这东西是文档函数，但是只能知道有哪个驱动在加载，要实现拦截要做一些额外的操作，比如在要拦截的驱动模块的入口点 DriverEntry 函数中，直接返回 NTSTATUS 错误码等，ESET可能就是在后面的这些操作里面出了BUG

LSPD

驭龙 发表于 2024-5-23 13:03
ESET不好在哪里呢？

==============

eset有三线的售后，前两天用dx修复工具居然云拉黑了，给发邮件上报给技术支持发工单都没回应，这个正版买的真是（流汗）
果断又换回卡巴

神龟Turmi

LSPD 发表于 2024-5-25 10:47
eset有三线的售后，前两天用dx修复工具居然云拉黑了，给发邮件上报给技术支持发工单都没回应，这个正版买 ...

你可以去他们论坛上报 然后说不定可以和我一样喜提被Marcos怼一顿并删帖的成就

驭龙

00006666 发表于 2024-5-25 09:39
https://learn.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nf-ntddk-pssetloadimagenotify ...

确实，感觉还是ESET自己出问题了，想当年很多安全厂商为了在64位系统上绕过PG完成行为监控都搞硬件虚拟化技术，俄系和360都如此，可惜后面又因为VBS的出现，驱动只能使用微软提供的标准监控接口，再加上VBS占用虚拟机位置，大蜘蛛放弃虚拟化技术了，现在也就是360晶核还在更新使用，卡巴现在我不了解，不知道了。

总之PG和VBS的出现，确实是限制了安全软件行为分析的发挥空间了。

好想也有技术过硬的没受到影响？比如ATC和SONAR？