冰盾4.3.1拦截点不足之处

pluto1313

留个种，至少15年前的用来测试终止进程的软件。
解压密码：test

apt: 多种方法结束进程（这个软件杀软可能会报毒）
msgflood：消息洪水结束记事本，这个好像是我自己写的测试HIPS的强度（卡饭太牛了，十几年的附件尽然还保留着的）

左手

好像不见普录图

安全测评

已经支持，正在内测中，有兴趣可以下载内测版本体验 https://www.123pan.com/s/axGijv-nfImh

pluto1313

安全测评 发表于 2024-8-29 22:44
已经支持，正在内测中，有兴趣可以下载内测版本体验 https://www.123pan.com/s/axGijv-nfImh

bravo!!明天抽空赶紧体验下。
顺便咨询下冰盾对恶意软件用syscall逃避监控的行为有何意见呢？
现在许多软件自动入沙的方式非常好，不知道新版自带的沙盒怎么样了，或者说是可以用规则联动SANDBOXIE免费版否

安全测评

pluto1313 发表于 2024-8-29 23:06
bravo!!明天抽空赶紧体验下。
顺便咨询下冰盾对恶意软件用syscall逃避监控的行为有何意见呢？
现在许多 ...

恶意软件使用syscall最大的场景就是apc注入和跨进程内存修改，因为其他操作基本内核都可以拦截。所以可以使用进程保护来解决，之前测试过对整个系统开启内存和线程Context的保护，是没有兼容性问题的。（但是环境比较复杂，可能会导致部分软件功能异常）
冰盾是沙箱是用于数据隔离的，不是用于安全对抗的。sandboxie也是防不住direct syscall的。
有计划添加InfinityHook实现内核Hook可以拦截各种系统调用，优化版是可以兼容大部分操作系统的，但是潜在兼容性问题，估计是可选的模块自己根据需要开启。

pluto1313

大概测了下4.5beta，新版本拦截点已经前无古人了，非常非常好，就连修改NTFS权限拦截都加入了，并且测试通过。


几个问题如下：
1、规则模板新加的病毒防护里面有两个【禁止Powershell执行命令】，重复了？

2、高级模板里面的【停止服务】的位置距离【创建服务-启动服务】好远，应该集中在一处。

3、单开增强防御无效（没有模块注入到其它进程），发现必须还得打开进程防御才起效。应该在开关上做关联，关了进程防御就得同时关闭增强防御且不能再打开它。

题外话，本贴11楼的两个软件已经可以在增强防御里面完全拦截(牛逼)，遗憾的是【进程保护】模板里面被保护的进程也能被那两个软件干掉（apt的kill7方法），不过我是可以理解，只是麻烦一点需要单独设置增强防御规则而已。

KF8888

安全测评 发表于 2024-8-29 23:41
恶意软件使用syscall最大的场景就是apc注入和跨进程内存修改，因为其他操作基本内核都可以拦截。所以可以 ...

你好 请问安装了冰盾4.5 以后  360浏览器启动不了 是咋回事 谢谢  删掉冰盾后 又开启启动了

Cel3mt

安全测评 发表于 2024-8-29 23:41
恶意软件使用syscall最大的场景就是apc注入和跨进程内存修改，因为其他操作基本内核都可以拦截。所以可以 ...

冰盾是沙箱是用于数据隔离的，不是用于安全对抗的。

是否可以理解为冰盾的沙箱是虚拟型（偏Sandboxie），不是策略型（偏DefenseWall）。

pluto1313

KF8888 发表于 2024-8-30 13:14
你好 请问安装了冰盾4.5 以后  360浏览器启动不了 是咋回事 谢谢  删掉冰盾后 又开启启动了

看日志改规则或者用学习模式

pluto1313

安全测评 发表于 2024-8-29 23:41
恶意软件使用syscall最大的场景就是apc注入和跨进程内存修改，因为其他操作基本内核都可以拦截。所以可以 ...

我记得你曾经说过冰盾不能终止被设置成Critical的进程且不明原因，本来想测下这个发现这个东西明确说了不能被结束，结束就会蓝屏。
实测冰盾4.5beta不能结束Critical状态的进程，这个进程直接无响应，强行终止直接蓝屏，蓝屏代码CRITIAL_PROCESS_DIE。

这也许才是有些病毒根本不需要重启就能解决的为啥杀毒软件必须要重启清除的原因