冰盾4.3新版使用有感

x-天秤座

原本以为VX群里在论坛的朋友会写一下，结果一看小k没有主题帖，而那个以前特别喜欢发言的老王八（他自己取的群昵称，不是我们骂人）不但没有主题帖，而且在关于冰盾的帖子里连回帖都没有，于是我简单说几句吧。

1，内置规则更完善了，以前版本有内置规则无效必须要另外一个相同功能的自定义规则才行，目前内置规则能够抢先实施行为（默认优先高）。但是新加的智能防御，默认是没有开启的，希望使用的朋友注意。

2，从4.3开始，屏幕截图的防护才可以说比较完美了，虽说之前4.2.1.0版本说修复了，但我实际使用中还是有疏漏。

3，拦截记录里面，以前默认双击是打开规则编辑，改成是拦截详情了，但右上角的三条杠里面是可以直接设置的，也能进入到编辑窗口；在记录里面点右键，里面增加了个选项直接去规则编辑窗口。

其他还有一些改进，比较低调。下面说一下我使用中遇到的问题：

1，在对几个样本测试中，Comodo会提示样本实施提权，阻止就拦截了；但是在用冰盾的时候，没有弹窗提示提权（只是提示创建Com接口---这个看不懂啊，不如显示提权容易理解），造成此处没有拦截点。

2，说个样本：摧毁者，双击后在第一个弹窗里面选“终止程序”后，并没有终止，后续还继续产生恶意行为，记下它的任务PID后在冰盾的宝箱里面用iSword也不能进程强杀。用ProcessExplorer，反而是可以终止进程的。

从2.X用到4.3，肉眼可见冰盾有很大的进步，自定义规则的编写方法浅显易懂（顺便问一下：如何写一个防护MBR、VBR的自定义规则？），对源和目标能使用“多VS多”编写，特别是还支持复制粘贴，方便得不要不要的----你去Comodo、ESET和火绒的自定义规则编写里面，一个一个输入一大堆注册表项的时候，你就会体会到冰盾规则的这种编写设计是多么人性化。



冰盾作为一个Hips工具，是不能代替杀毒软件的。除了那些病毒研究工作者之外，我们普通人遇上病毒最好的解决办法就是：在没有运行之前就被杀毒软件迅速给消灭了，这是最好的方式。否则的话，你可以用冰盾来对陌生软件进行防护，但不能做到100%安全防护。

杀毒软件太多了，不说谁好谁不好，目前在用：avast premium security，比免费版多了几个功能，其中一个实用的就是“沙盒”。我不想得罪ESET粉，我之前用冰盾+ESET用了很久，虽然很多人评价ESET什么高启发查杀率高入库快我不否认，但是真的ESET会漏毒而且入库也并不是那么快，而且还会扭扭捏捏一直不入库。
Avast那才是真的查杀率高和入库快，而且日常没有发现像ESET那样的莫名其妙（论坛大佬朋友说是它有个内部黑名单机制的缘故）。虽然它没有IPS防护选项，但是我曾用论坛的神龟大佬发的那个趋势的测试工具试了下，完全防护住了。

目前配合冰盾使用，很不错，至少这些天论坛的样本下载一解压，Avast都给杀掉了（看帖子里面其他朋友好多Miss的，不乏大牌杀毒软件），看来省心啊。

ddxuchen

冰盾再搭配一款高查杀率的软件就很完美了​​​

安全测评

1. 冰盾是没有支持提权检测的，提权有两种，一个是绕过UAC提升到管理员权限，一个是提升里面的调试权限等。可以把Comodo的提权拦截发一下。下个版本考虑添加支持。
2. 进程无法强杀的问题？目前如果设置成CRITICAL的进程是没法强杀的，不确定这个具体没法强杀的原因。iSword这个工具有风险，不建议使用，所以没有去完善。推荐使用ProcessHacker或者ProcessExplorer。
3. 关于MBR保护：修改MBR需要直接修改磁盘，所以可以拦截直接磁盘操作（ \Device\HarddiskVolumeX、\Device\HarddiskX这样的，但是误报会比较多），也可以使用高级模板里面的磁盘命令控制（只选择部分会修改分区的命令）控制来拦截。

计划中冰盾6.0版本会变成Endpoint Detection Defense and Response，使用大数据结合智能行为检测去识别病毒，是可以完全替换杀毒软件的。前提是有机会发展下去。

Hibike

Comodo的提权警报提示的就是访问COM接口。
龟大那帖Norton V24(换皮Avast)失败，目测Avast也不应该成功。

xxxxxxxfc

安全测评 发表于 2024-7-8 22:58
1. 冰盾是没有支持提权检测的，提权有两种，一个是绕过UAC提升到管理员权限，一个是提升里面的调试权限等。 ...

"使用大数据结合智能行为检测去识别病毒"。。。。这个难度不小吧，要真能做成，我也试用一下。目前看论坛截图，感觉和火绒差别不大

xxxxxxxfc

安全测评 发表于 2024-7-8 22:58
1. 冰盾是没有支持提权检测的，提权有两种，一个是绕过UAC提升到管理员权限，一个是提升里面的调试权限等。 ...

其实你要不考虑简化一下，只训练拦截 白加黑 0day 勒索 挖矿 改引导区 这几种类型的病毒，剩下的搞一个类似于comodo自动沙盘的玩意，反正好像sandboxie现在开源的。或者直接和comodo搭配。这样基本能实现百分百防御。

x-天秤座

Hibike 发表于 2024-7-9 02:38
Comodo的提权警报提示的就是访问COM接口。
龟大那帖Norton V24(换皮Avast)失败，目测Avast也不应该成功。
...

原来如此，感谢解答。Avast Premium好像确实把那龟大那个工具拦截了，最后面一个个显示连接全部不成功。

x-天秤座

xxxxxxxfc 发表于 2024-7-9 07:02
其实你要不考虑简化一下，只训练拦截 白加黑 0day 勒索 挖矿 改引导区 这几种类型的病毒，剩下的搞一个类 ...

冰盾目前的版本已经内置了一个沙盒功能，可以把%ProgramData%、%temp%和%UserProfile%等目录加入进去，这样这些目录里面的执行文件只在沙盒运行，也加了排除功能，例如排除%UserProfile%里面的微信四个文件。而且还可以隔离沙盒里面文件对某些目录、文件的访问。

keen-qv

天枰座兄弟写得很详细，很赞！我都想试试冰盾了

DisaPDB

拦截修改MBR其实只需要设置拦截写入底层磁盘就行了

编辑：我爱智量