楼主: kuroandsan
收起左侧

[讨论] 在卸载诺顿又重新安装avast后,卡出了神奇的事情(多图预警

  [复制链接]
驭龙
发表于 2024-5-25 08:39:37 来自手机 | 显示全部楼层
bbszy 发表于 2024-5-25 02:39
可能唯一能拦截的点就是拦截访问sys文件
我很多年前虚拟机里测过win7 x86下是可以拦截驱动加载的。所以 ...

VBS了解一下吧,行为分析或多或少有影响
驭龙
发表于 2024-5-25 08:42:16 来自手机 | 显示全部楼层
00006666 发表于 2024-5-25 08:23
不过PsSetLoadImageNotifyRoutine本身只能监视,不能拦截,要想实现拦截还需要做一些额外的操作

看函数并不少,但不拦截,感觉还是个BUG,毕竟现在选择拦截也没有效果

评分

参与人数 1人气 +3 收起 理由
00006666 + 3

查看全部评分

00006666
发表于 2024-5-25 08:50:06 | 显示全部楼层
驭龙 发表于 2024-5-25 08:39
VBS了解一下吧,行为分析或多或少有影响

VBS也就是在驱动加载的时候有影响,它会检查有没有WHQL签名,有没有异常的混淆(如VMP),其他影响不大,PG不让杀软内核HOOK了,不过微软提供了一系列标准接口,驱动可以来调用,不影响拦截驱动加载,也不涉及到底层对抗。
00006666
发表于 2024-5-25 08:54:53 | 显示全部楼层
PsSetCreateProcessNotifyRoutine  进程回调

PsSetCreateThreadNotifyRoutine  线程回调

CmRegisterCallback  注册表回调

PsSetLoadImageNotifyRoutine  模块加载回调

这四大回调,所有杀软都会使用到



驭龙
发表于 2024-5-25 09:12:34 来自手机 | 显示全部楼层
00006666 发表于 2024-5-25 08:50
VBS也就是在驱动加载的时候有影响,它会检查有没有WHQL签名,有没有异常的混淆(如VMP),其他影响不大,PG ...

内核隔离,对监控还是有影响的,尤其是行为分析
驭龙
发表于 2024-5-25 09:14:35 来自手机 | 显示全部楼层
00006666 发表于 2024-5-25 08:54
PsSetCreateProcessNotifyRoutine  进程回调

PsSetCreateThreadNotifyRoutine  线程回调

昨天看HIPS模块代码,这些函数好像都有,问题还是ESET自己的问题
00006666
发表于 2024-5-25 09:39:37 | 显示全部楼层
驭龙 发表于 2024-5-25 09:14
昨天看HIPS模块代码,这些函数好像都有,问题还是ESET自己的问题

https://learn.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nf-ntddk-pssetloadimagenotifyroutine

这东西是文档函数,但是只能知道有哪个驱动在加载,要实现拦截要做一些额外的操作,比如在要拦截的驱动模块的入口点 DriverEntry 函数中,直接返回 NTSTATUS 错误码等,ESET可能就是在后面的这些操作里面出了BUG
LSPD
发表于 2024-5-25 10:47:09 来自手机 | 显示全部楼层
驭龙 发表于 2024-5-23 13:03
ESET不好在哪里呢?

==============

eset有三线的售后,前两天用dx修复工具居然云拉黑了,给发邮件上报给技术支持发工单都没回应,这个正版买的真是(流汗)
果断又换回卡巴
神龟Turmi
发表于 2024-5-25 13:15:37 | 显示全部楼层
LSPD 发表于 2024-5-25 10:47
eset有三线的售后,前两天用dx修复工具居然云拉黑了,给发邮件上报给技术支持发工单都没回应,这个正版买 ...

你可以去他们论坛上报 然后说不定可以和我一样喜提被Marcos怼一顿并删帖的成就
驭龙
发表于 2024-5-25 13:42:24 来自手机 | 显示全部楼层
00006666 发表于 2024-5-25 09:39
https://learn.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nf-ntddk-pssetloadimagenotify ...

确实,感觉还是ESET自己出问题了,想当年很多安全厂商为了在64位系统上绕过PG完成行为监控都搞硬件虚拟化技术,俄系和360都如此,可惜后面又因为VBS的出现,驱动只能使用微软提供的标准监控接口,再加上VBS占用虚拟机位置,大蜘蛛放弃虚拟化技术了,现在也就是360晶核还在更新使用,卡巴现在我不了解,不知道了。

总之PG和VBS的出现,确实是限制了安全软件行为分析的发挥空间了。

好想也有技术过硬的没受到影响?比如ATC和SONAR?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 16:20 , Processed in 0.090083 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表