冰盾4.3.1拦截点不足之处

RainCloud9

pluto1313 发表于 2024-8-31 12:48
没明白，是指开机启动过程中的操作不拦截，还是随系统启动的程序的操作都不会再拦截（即便系统已经启动了 ...

好像是用户登陆前不拦截

yexo

安全测评 发表于 2024-8-31 12:08
1. 注册表权限拦截有需要可以后续添加支持（目前可以通过拦截写权限打开来拦截，但是范围比较大）
2. 目 ...

1.  注册表权限还是挺有必要支持的，因为有些设置是通过权限来定义的，而非键或值，比如最常见的远程注册表访问权限；恶意软件也会通过篡改/限定权限来实现一些特定目标。另外，当前的注册表防护还是有一些细节需要打磨，比如可以通过删除所在的键来绕过对某个值的保护，通过删除上一级键来绕过对某个键的保护，虽说可以通过再追加一两条规则来实现防御，但和直觉上想要的效果还是有些偏差，当然，这些都是小问题。

2.  个人感觉，这个才是当前需要尽快解决的问题，因为优先阻止恶意软件落地或者运行，永远好过等它都加载完成或者运行起来后才去限制它搞东搞西。众所周知，很多病毒为了实现持久化，都会想尽办法实现开机自启和驱动自动加载，当前的尴尬是，一旦病毒先于冰盾或者绕过其防御完成部署，冰盾的存在价值就会大打折扣。也无法在已经中毒尤其是rootkit的电脑上，通过冰盾来查找、阻止病毒及其驱动。这还只是应付一般病毒，还没提无文件攻击。当前内存防御强度不够，无文件攻击就不展开了。即使因为规则错误导致无法进入系统，不是还有虚拟机、系统还原等其他技术手段嘛。说句题外话，其实没必要为了过度照顾小白用户的需求，或者过度追求兼容性稳定性，而因噎废食，正如我在前面那个被屏蔽的帖子里提到的，小白过两天有个什么新玩具或者促销就跑了，而企业等大客户更看重的是选择你后能否为我带来极致的安全。面面俱到固然是好事，但有时也会导致顾此失彼，走向平庸。举个例子，AppGuard没有什么太多的功能，就主攻策略限制和内存防御，做好了效果就很不错。

3. 还是很久以前就建议过的，对所有涉及操作进程和目标进程的模板引入哈希验证，尤其是高级模板（当前版本针对驱动和动态链接库的普通模板里有MD5，但高级模板里反而没有设置选项）很多程序规则包括防火墙规则，只对路径什么的还有公司名称/产品名称等属性做匹配和限制，其实不太够。比较看重安全的企业，一般不会采用没有签名的软件，但因为各种原因吧总有例外，这时哈希验证就是一个很好的补充。至于复用性什么的，不用太过为用户考虑，凡是选择这一方案的，往往早已在复杂度和安全性之间做出了自己的权衡，其维护成本是愿意承受的。希望官方能认真考虑此建议。

总的来说，目前的冰盾真的已经很不错了，实现了很多国外顶流都没有提供的选项，看到咱自己的国产品牌能做到如此水平，作为用户，内心十分欣喜和自豪。加油！

GDHJDSYDH

安全测评 发表于 2024-8-29 23:41
恶意软件使用syscall最大的场景就是apc注入和跨进程内存修改，因为其他操作基本内核都可以拦截。所以可以 ...

Sandboxie真的防不住Direct Syscalls吗？它的官网说明“当恶意软件尝试拆钩ntdll或者尝试使用直接系统调用，内核会看见受限的令牌并且拒绝其访问。”

杀软病综合医院

安全测评 发表于 2024-8-2 18:47
后续的版本支持

每次都要查找文件，很不方便，最好弄个拖放。

DisaPDB

pluto1313 发表于 2024-8-30 20:16
感觉不合理，都用syscall了怎么还会在意r3的钩子。
冰盾内核层的Open进程和线程拦截就差不多把他们干趴 ...

DSC/IDSC和NtOpenProcess有什么关系？
不让我打开进程我一样可以从ntdll里取出需要调用的函数然后直接syscall/int 2e进0环
遍历PEB/直接内置硬编码/构造trampoline照样可以直接调用Nt层面的函数
冰盾好的一点是Hook NTDLL了，但这不是忽视系统调用的理由。
这个hook完全可以通过自写LdrLoadDll绕过

还有，就算病毒无法出站，那非白即黑的拦截真的有意义吗……

pluto1313

DisaPDB 发表于 2024-9-3 17:42
DSC/IDSC和NtOpenProcess有什么关系？
不让我打开进程我一样可以从ntdll里取出需要调用的函数然后直接sy ...

你在说什么？
我们在讨论通过syscall过了冰盾的用户层hook试图注入进程的防御可能性，没在说syscall怎么整。
禁止出站是举例的stealer卸载了用户层钩子让冰盾无法拦截keylogger等行为，防火墙难道不是最后一关把手这没意义？

DisaPDB

pluto1313 发表于 2024-9-3 18:41
你在说什么？
我们在讨论通过syscall过了冰盾的用户层hook试图注入进程的防御可能性，没在说syscall怎么 ...

如果你觉得注入一定要openprocess那我无话可说，syscall ->NtQuerySystemInformation不行？DuplicateHandle ->NtQueryWorkerFactoryInformation不行？
第二，你就算能保护关键进程你能保护所有进程？你觉得可行？如果答案为否那我写个遍历挨个注入你不一样防不住？
第三，我都用syscall了为什么一定要执着于注入？
第四，如果那种出站拦截有效的话那你大可以去样本区大杀四方，因为所有的远控都需要联网

安全测评

杀软病综合医院 发表于 2024-9-3 12:30
每次都要查找文件，很不方便，最好弄个拖放。

这个功能因为存在一些安全风险，容易被利用去杀安全软件，废弃掉了，推荐使用其他ARK工具

安全测评

GDHJDSYDH 发表于 2024-9-3 12:10
Sandboxie真的防不住Direct Syscalls吗？它的官网说明“当恶意软件尝试拆钩ntdll或者尝试使用直接系统调 ...

Sandboxie不拦截Direct Syscall，他是通过给进程设置一个受限的Token，这个Token几乎什么权限都是禁止的。所以沙箱里面的进程执行某些api的时候，系统会去校验权限，如果发现这个进程不具备这样的权限就会直接返回失败，但是不是所有的接口都会有权限校验，或者如果系统其他模块存在被利用的提权漏洞，都是可以绕过的。