传统三强咖啡铁壳趋势统统靠边站，企业端点市场份额最新战报，MDE谁与争锋

显示全部楼层 · 发表于 2024-8-24 22:44:19

本帖最后由 00006666 于 2024-8-24 22:45 编辑

liu浪的人发表于 2024-8-24 22:39
确实，某些病毒不需要什么权限，但是如果Win11的默认安全设置全开，很多时候病毒是过不了微软内置的那些 ...

黑产远控木马也不会去触碰漏洞，人家用的都是正常的系统功能，只不过是一个带持久化静默运行的非法远控程序。比如注册表设置自启动，后台静默运行，都是正常的系统功能。

显示全部楼层 · 发表于 2024-8-24 22:46:12

本帖最后由 Picca 于 2024-8-24 22:56 编辑

liu浪的人发表于 2024-8-24 22:39
确实，某些病毒不需要什么权限，但是如果Win11的默认安全设置全开，很多时候病毒是过不了微软内置的那些 ...

还是上面提到的前提（计算机小白）。。。其实“社会工程学”也是病毒bypass的绝佳手段之一，比如UAC提权，“本汉化补丁需要管理员权限，介意别用”，MDAV拦截“汉化游戏被微软误报，请自行添加白名单”。。。尤其在windows安全机制误报严重的时候，其实（对于计算机小白）windows并不比linux安全。

0day建议看看每年CVE榜单，个人感觉还是很多的。

显示全部楼层 · 发表于 2024-8-24 22:49:30

Picca 发表于 2024-8-24 22:46
还是上面提到的前提（计算机小白）。。。其实“社会工程学”也是病毒bypass的绝佳手段之一，比如UA ...

比如勒索软件，都是用正常的系统API来加密，合法加密软件也用这些API，微软就不可能拦截这些API调用，但是微软拦截杀软内核权限，很有可能让杀软失去防护效果…

显示全部楼层 · 发表于 2024-8-24 22:52:17

本帖最后由 Picca 于 2024-8-24 22:53 编辑

00006666 发表于 2024-8-24 22:49
比如勒索软件，都是用正常的系统API来加密，合法加密软件也用这些API，微软就不可能拦截这些API调用，但 ...

是的，被研究透了的windows安全机制，对于微软来讲其实也很无奈的，几次大版本更新都引入了新的安全特性，然而过一段时间都会被找到bypass的方法

显示全部楼层 · 发表于 2024-8-24 22:52:29

00006666 发表于 2024-8-24 22:44
黑产远控木马也不会去触碰漏洞，人家用的都是正常的系统功能，只不过是一个带持久化静默运行的非法远控程 ...

黑灰产这种游走于灰色地带的，对于谁来说都是个难题，如果用户使用Windows从事黑灰产，Windows defender直接杀掉了你写的木马，智能应用控制直接禁止运行，你会怎么想

显示全部楼层 · 发表于 2024-8-24 22:58:25

00006666 发表于 2024-8-24 22:49
比如勒索软件，都是用正常的系统API来加密，合法加密软件也用这些API，微软就不可能拦截这些API调用，但 ...

这个也是我非常担心的问题，第三方没有了驱动级别的强度监控，很难拦截一些拦截点，就比如说64位系统PG就限制了很多安全软件，360不开核晶拦截效果就差很多了

显示全部楼层 · 发表于 2024-8-24 22:58:40

本帖最后由 liu浪的人于 2024-8-24 22:59 编辑

Picca 发表于 2024-8-24 22:46
还是上面提到的前提（计算机小白）。。。其实“社会工程学”也是病毒bypass的绝佳手段之一，比如UA ...

就凭这些其实（对于计算机小白）windows并不比linux安全

那是因为Windows树大招风啊，Linux对桌面用户来说多小众，在Linux占主导的服务器端，Linux也不安全，很多时候是人为因素，比如使用弱口令，禁用SELinux等等，可以说人才是最不安全的因素之一，就像你说的社会工程学那样

显示全部楼层 · 发表于 2024-8-24 23:03:05

Picca 发表于 2024-8-24 22:14
看了一下，这个貌似是在讲保证普通人容易使用的前提下面，OS本身的权限分配的安全性，似乎和我们讨 ...

呃，我说一下我的观点哈，可能不对。
因为一般情况下Linux的二进制文件一般都运行在用户的权限（比如说user，picca）下或者特定的用户权限下（kvm，libvirtd，qemu，systemd等），以及Linux发行版兼容性的问题。
而且对于一般的用户来说，也只是可能比较复杂拿到或者操作其他用户权限的文件，他们运行某个未知程序，如果知道管理员密码的话，也是照过不误。
所以，现在大部分Linux发行版基本上不会默认创建root用户（root差不多是Windows的Administrator或system，但并不是拿不到root权限，sudo和doas）并且自带SELinux或AppArmor，以及国内的一些商业版Linux发行版把普通用户的权限限制的非常死（但其实还有一个原因是，这些发行版面向的用户权限过高的话会很容易把系统弄崩）。
总而言之，所以很大程度上只是Linux相对Windows而言，普通用户拿权限或更改权限更复杂一点。（跟人感觉Windows把UAC拉满并开密码验证效果也差不多，但Linux本身是“自由”的，这就有很大的可操作性了。

）

显示全部楼层 · 发表于 2024-8-24 23:06:24

驭龙发表于 2024-8-24 20:10
对啊，我也认为驱动级别的防护不可或缺，十几年前我就开始选择驱动强悍的安全软件了，驱动强度一直是我选 ...

例如大蜘蛛

显示全部楼层 · 发表于 2024-8-24 23:10:31

为啥CrowdStrike成立没几年，市场份额这么高，就因为是美国版信创？

[讨论] 传统三强咖啡铁壳趋势统统靠边站，企业端点市场份额最新战报，MDE谁与争锋

评分

[讨论] 传统三强咖啡 铁壳 趋势统统靠边站，企业端点市场份额最新战报，MDE谁与争锋

评分

[讨论] 传统三强咖啡铁壳趋势统统靠边站，企业端点市场份额最新战报，MDE谁与争锋