在卸载诺顿又重新安装avast后，卡出了神奇的事情（多图预警

驭龙

LSPD 发表于 2024-5-25 10:47
eset有三线的售后，前两天用dx修复工具居然云拉黑了，给发邮件上报给技术支持发工单都没回应，这个正版买 ...

普通用户的售后确实是不行，没得说，但是我是内测用户，反馈问题直接跟开发组联系，但这毕竟不是正常的情况，国内ESET基本无技术支持服务可言

LSPD

神龟Turmi 发表于 2024-5-25 13:15
你可以去他们论坛上报 然后说不定可以和我一样喜提被Marcos怼一顿并删帖的成就

花钱挨骂真是开眼界了

hansyu

驭龙 发表于 2024-5-25 13:45
普通用户的售后确实是不行，没得说，但是我是内测用户，反馈问题直接跟开发组联系，但这毕竟不是正常的情 ...

既然有内测用户这个条件，试着反馈一下这个HIPS驱动拦截的问题看看有没有机会修复？

00006666

驭龙 发表于 2024-5-25 13:42
确实，感觉还是ESET自己出问题了，想当年很多安全厂商为了在64位系统上绕过PG完成行为监控都搞硬件虚拟化 ...

因为杀软还能做ntdll hook，来实现监控拦截，除了容易被特殊方式来针对性绕过，拦截能力本身不会很差，ATC等都有用

bbszy

hansyu 发表于 2024-5-25 08:14
你的说法我认可，我印象中以前是确实可以拦截的。我去官方社区搜索，发现在2018年就有人用process explor ...

所以我不是否认eset已有的技术，包括对最新安全技术的及时跟进速度，但是eset这种事情的态度，实在是非常减分。拦截驱动加载也不是必须功能，但是既然弄了就要弄好，否则何必呢，而且自从eset有hips这个模块，这个问题就一直存在，那时候的主流系统还是win7，内核限制可能还没有现在多。卡巴就很明确的展示哪些功能在x64系统上是受限的，这都能理解。
包括漏毒的问题，我始终觉得还是在识别“新建和已知更改的文件”这里存在问题，或者在执行时才使用高级启发式这里的识别可能也有问题。

我也不赞成搞驱动对抗，但是eset那几个数量的驱动、以及文件的大小（自从eset3.0开始搞防火墙后，也没什么变化），说能够与卡巴、诺顿这些实现同样的功能，从主观上来说，很难让人相信，虽然这是非常外行的判断。文件监控、网络过滤、键盘鼠标过滤驱动，这几个eset、卡巴都有，但是文件体积，确实差距有点大。

客户服务方面，之前有人付款了不发激活码也不给处理。

00006666

bbszy 发表于 2024-5-25 14:39
所以我不是否认eset已有的技术，包括对最新安全技术的及时跟进速度，但是eset这种事情的态度，实在是非常 ...

不一定非得直接拦截驱动。拦截程序对于注册表服务项修改也能拦截驱动加载。

bbszy

00006666 发表于 2024-5-25 14:49
不一定非得直接拦截驱动。拦截程序对于注册表服务项修改也能拦截驱动加载。

这么说的话，手动hips都可以没有。

但是ui上有应该实现相应功能，否则应该在ui上去掉。

hansyu

bbszy 发表于 2024-5-25 14:39
所以我不是否认eset已有的技术，包括对最新安全技术的及时跟进速度，但是eset这种事情的态度，实在是非常 ...

漏毒的话，目前我自己的测试中可能会出现漏毒的点在云拉黑的样本（不确定），已经入库的样本是不会漏的。

00006666

bbszy 发表于 2024-5-25 14:51
这么说的话，手动hips都可以没有。

但是ui上有应该实现相应功能，否则应该在ui上去掉。

不过目前它不修BUG，你可以自己设规则来拦注册表中

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

的相关修改，也能起到拦截驱动加载的作用

hansyu

00006666 发表于 2024-5-25 15:07
不过目前它不修BUG，你可以自己设规则来拦注册表中

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Se ...

驱动加载一定会写入注册表这个键值吗？但是拦截这个会不会影响到其他系统正常操作？