趋势科技的网络攻击（包括C2回连）测试工具

神龟Turmi

胖墩蚂蚁 发表于 2024-5-23 23:27
不兼容是商业行为
你看360和腾讯曾经水火不容，有我无你的地步
看来商业上解开了，就无比兼容

你真觉得安全软件的兼容性问题是一句话的问题吗。。。
驱动之间的隐形冲突就算不造成什么严重结果 影响其中一方的功能那都是见怪不怪的事情了

以windows ELAM驱动举例
https://learn.microsoft.com/zh-c ... driver-requirements
在允许其初始化之前，评估加载的启动关键驱动程序。 这还包括状态更新回调。
上限：0.5毫秒
评估所有加载的启动关键驱动程序。
上限：50毫秒
如果你有多个使用了ELAM的安全软件 windows并不会因为有多个ELAM驱动就放宽上限
这时最好的情况是什么呢？
很简单 超过50毫秒没有扫完所有的驱动 于是有一些（甚至大部分）驱动未经扫描
但是已经到达上限 所以windows强制跳过了ELAM扫描 允许了剩下所有未经扫描的驱动加载

以实际案例举例 NetfilterSDK是目前用的最多的TDI/WFP过滤驱动套件
在几乎所有加速器（不包括百度）以及很多安全软件（比如Comodo）以及很多第三方防火墙（比如GlassWire）中都能看到它的存在
这种用量的级别 而且还是花钱就能拿到源代码的套件 按理说安全软件厂商应该主动考虑对它的兼容性问题吧
结果呢？
https://netfiltersdk.com/nfsdk_history.html
WFP driver 1.6.8.5
- Fixed a compatibility issue with latest versions of Kaspersky.
WFP driver 1.6.8.4
- Fixed possible compatibility issues with Sophos, NOD32.
- Fixed a compatibility issue with AhnLab product.
WFP driver 1.6.8.0
- Fixed the order of WFP filters for compatibility with Microsoft Defender for Business.
- Fixed a compatibility issue with NOD32.
- Fixed a compatibility issue with GlobalProtect.
WFP driver 1.6.6.0
- Fixed a compatibility issue with BullGuard.
- Fixed a compatibility issue with Symantec.
WFP driver 1.6.5.5
- Fixed a compatibility issue with Sophos Intercept X product.
WFP driver 1.6.3.0
- Fixed a compatibility issue with NOD32.
WFP driver 1.6.2.0
- The order of filters is modified for compatibility with new versions of Bitdefender.
WFP driver 1.5.9.3
- Updated a workaround for compatibility with BitDefender.
WFP driver 1.5.9.1
- Fixed a compatibility issue with Kaspersky on UDP layer.
TDI driver 1.4.9.7
- Fixed a compatibility issue with some antiviruses.
WFP driver 1.5.6.3
- Fixed a conflict with Sophos antivirus.
nfapi 1.4.9.5
- Changed the driver loading order for compatibility with Symantec and 360 Total Security.
WFP driver 1.5.4.1
- Fixed compatibility issues with Kaspersky, NOD32, Avast, F-Secure.
WFP driver 1.5.2.4
- The order of filters modified for compatibility with Kaspersky local redirections of own TCP connections.
- Removed compatibility workarounds for Kaspersky and NOD32.
WFP driver 1.5.1.0
- Added a workaround for compatibility with Sophos antivirus.
WFP driver 1.5.0.5
- Fixed an issue with premature close of TCP connections with Windows Defender.
WFP driver 1.5.0.4
- Added a workaround for compatibility with Windows Defender.
- A workaround for compatibility with NOD32 is enabled only when antivirus drivers are present in system.
- Fixed a compatibility issue with F-Secure.
WFP driver 1.4.7.9
- Fixed compatibility issues with Symantec antivirus in UDP filtering code.
WFP driver 1.4.7.5
- Fixed a compatibility issue with Anhlab WFP filter.
- Fixed a compatibility issue with Quick Heal antivirus.
WFP driver 1.4.7.1
- Fixed a compatibility issue with Anhlab WFP filter.
TDI driver 1.4.7.8
- Fixed compatibility issues with latest versions of Avast.

胖墩蚂蚁

神龟Turmi 发表于 2024-5-24 00:01
你真觉得安全软件的兼容性问题是一句话的问题吗。。。
驱动之间的隐形冲突就算不造成什么严重结果 影响 ...

Comodo和GlassWire用户量不能用小众来形容，是不入（主）流。

如果无法理解为什么手机很少人安装安全软件的话

可以先思考为什么win的正版是收费的，安卓是开源免费的

盈利模式决定了安卓装100款app都不会冲突

而你提到的驱动本身就是一种商业保护（垄断不是的不是的）行为

为什么手机调用外设（摄像头、打印、蓝牙）不需要装驱动

但是电脑调用外设（摄像头、打印机、蓝牙外设）需要装驱动

pal家族

胖墩蚂蚁 发表于 2024-5-24 00:43
Comodo和GlassWire用户量不能用小众来形容，是不入（主）流。

如果无法理解为什么手机很少人安装安全 ...

https://www.xiaohongshu.com/explore/663c92e4000000001e021bbd

神龟Turmi

胖墩蚂蚁 发表于 2024-5-24 00:43
Comodo和GlassWire用户量不能用小众来形容，是不入（主）流。

如果无法理解为什么手机很少人安装安全 ...

先不提鸡同鸭讲的问题 来逐句反驳一下你说的内容

“Comodo和GlassWire用户量不能用小众来形容，是不入（主）流。”
并不是其他安全软件和防火墙不用NFSDK 而是Comodo的OpenEDR开源 GlassWire直接原封不动的用NFSDK的驱动二进制 所以我可以确认这两家用了 但是Windows下过滤网络的驱动多少都参考或者直接在NFSDK或WinDivert二者其一的基础上开发 就像Linux下基本脱离不了NfTables一样

“如果无法理解为什么手机很少人安装安全软件的话”
1.先问是不是再问为什么 除了国内特色之外 几乎100%的安卓都预装Google Play Protect
2.安卓无法实现绝大多数安全软件所需要的功能 装了也就是个扫描器 安卓的Ring壁垒就决定了只有手机厂商给你预装的安全软件能获得大部分的权限

“可以先思考为什么win的正版是收费的，安卓是开源免费的”
安卓是开源的 但不是免费的 开源和收费不冲突 最大的Linux发行版RHEL就是开源但收费 Google在2019年就开始对Android收取专利使用费 只不过没有收到你的头上 而是设备制造商付了这个钱
如果你的设备制造商没有付这个钱 依然可以用AOSP的开源代码，但是不能叫Android（参考HarmonyOS和YunOS所做的事情）同理对RHEL也一样 这就是为什么会出现CentOS（在CentOS Project被RH收购之前）

“盈利模式决定了安卓装100款app都不会冲突”
你只看到了“盈利模式” 没有看到Google在应用权限上做了多少的限制

“而你提到的驱动本身就是一种商业保护（垄断不是的不是的）行为”
1.Android（包括所有Linux发行版）都有驱动 但是通常不叫驱动 而是以内核模块的形式存在
为什么Windows下的驱动不是以内核模块的形式存在？ 很简单 因为现代Windows有PatchGuard的存在 不是不想而是微软不让
2.ARM生态比X86生态要垄断的多 除了设备制造商没有人能拿到硬件所需的内核模块（或者叫驱动） 这也就是为什么现在各种第三方的刷机包越来越难做（就算要做也是从原有固件提取底包） 这也就是为什么谷歌要推ABI兼容内核来替代之前各CPU厂商提供的内核（例如高通QCI） 这也就是为什么微软都支持了大部分高通处理器运行WOA的情况下也只有寥寥数个手机能正常启动WOA 即使是能启动的（例如小米6）也依然会遇到极其大量的兼容性问题

“为什么手机调用外设（摄像头、打印、蓝牙）不需要装驱动 但是电脑调用外设（摄像头、打印机、蓝牙外设）需要装驱动”
如上文 不是不需要 是没法自己实现驱动 就算写出了内核模块 以ARM的高度垄断壁垒和安卓高度隔离的用户态和内核态 你也无法在现成的手机中安装
Android下绝大多数外设只能以系统提供了什么接口的能力就怎么调用来运行
Windows下如果你也只想实现这样的效果完全可以不需要额外的驱动
以你说的蓝牙为例 蓝牙耳机在Windows下完全可以用自带的A2DP驱动运行 但是Windows自带的A2DP驱动只支持SBC和AAC（win10+）两种编解码器的支持 如果你用索尼提供的驱动或者自己购买Alternative A2DP第三方驱动 则（硬件支持的情况下）可以使用LDAC编解码器 同理其他厂商可能提供自己的驱动来支持aptX、SSC、LHDC等更多的编解码器支持
这在安卓下是不可能的 安卓出厂的时候支持了哪些就只能用哪些 没有厂商能在当前手机不支持的情况下额外增加一个编解码器的支持 你真的觉得这是更开放而不是更封闭吗？

Yjln

不是，卡巴直接当病毒杀了啊（Exploit.PowerShell.CVE-2017-0144.d），漏洞利用还是没反应，版本21.3

chx818

神龟Turmi 发表于 2024-5-23 23:18
终端上就是edr啊 xdr的x是各种设备的意思
你只在终端上装传感器那不就是x=e吗

emmmmmm那我大概理解是什么情况了，等下去找个设备装pfsense/opnsense

a286282313

好奇Avira效果怎么样。

Picca

神龟Turmi 发表于 2024-5-23 14:40
AX88U 只检测到其中一个连接 其他的全miss
EXPLOIT Remote Command Execution via Shell Script -2

龟大，请问这个华硕路由器上面的这个aiprotection pro的IPS不同型号有区别吗？ 刚下单be88u，感觉心凉凉


虽然知道它无法防御https的加密流量中的攻击，但还是希望它起点用，唉.....

Picca

有意思的事，我在搜索 华硕路由器的IPS功能的时候。发现在某国外论坛上面ASUS Router和一款名叫Firewalla 的硬件防火墙出现频率高度相关。请问有人用过这个吗

ii88

得。。。。  今天想再测一下，结果卡巴直接把ps1文件解决了。。。