楼主: 驭龙
收起左侧

[讨论] 传统三强咖啡 铁壳 趋势统统靠边站,企业端点市场份额最新战报,MDE谁与争锋

  [复制链接]
00006666
发表于 2024-8-24 22:44:19 | 显示全部楼层
本帖最后由 00006666 于 2024-8-24 22:45 编辑
liu浪的人 发表于 2024-8-24 22:39
确实,某些病毒不需要什么权限,但是如果Win11的默认安全设置全开,很多时候病毒是过不了微软内置的那些 ...

黑产远控木马也不会去触碰漏洞,人家用的都是正常的系统功能,只不过是一个带持久化静默运行的非法远控程序。比如注册表设置自启动,后台静默运行,都是正常的系统功能。
Picca
发表于 2024-8-24 22:46:12 | 显示全部楼层
本帖最后由 Picca 于 2024-8-24 22:56 编辑
liu浪的人 发表于 2024-8-24 22:39
确实,某些病毒不需要什么权限,但是如果Win11的默认安全设置全开,很多时候病毒是过不了微软内置的那些 ...

还是上面提到的前提(计算机小白)。。。其实“社会工程学”也是病毒bypass的绝佳手段之一,比如UAC提权,“本汉化补丁需要管理员权限,介意别用”,MDAV拦截“汉化游戏被微软误报,请自行添加白名单”。。。尤其在windows安全机制误报严重的时候,其实(对于计算机小白)windows并不比linux安全。

0day建议看看每年CVE榜单,个人感觉还是很多的。
00006666
发表于 2024-8-24 22:49:30 | 显示全部楼层
Picca 发表于 2024-8-24 22:46
还是上面提到的前提(计算机小白)。。。其实“社会工程学”也是病毒bypass的绝佳手段之一,比如UA ...

比如勒索软件,都是用正常的系统API来加密,合法加密软件也用这些API,微软就不可能拦截这些API调用,但是微软拦截杀软内核权限,很有可能让杀软失去防护效果…
Picca
发表于 2024-8-24 22:52:17 | 显示全部楼层
本帖最后由 Picca 于 2024-8-24 22:53 编辑
00006666 发表于 2024-8-24 22:49
比如勒索软件,都是用正常的系统API来加密,合法加密软件也用这些API,微软就不可能拦截这些API调用,但 ...

是的,被研究透了的windows安全机制,对于微软来讲其实也很无奈的,几次大版本更新都引入了新的安全特性,然而过一段时间都会被找到bypass的方法
liu浪的人
发表于 2024-8-24 22:52:29 | 显示全部楼层
00006666 发表于 2024-8-24 22:44
黑产远控木马也不会去触碰漏洞,人家用的都是正常的系统功能,只不过是一个带持久化静默运行的非法远控程 ...

黑灰产这种游走于灰色地带的,对于谁来说都是个难题,如果用户使用Windows从事黑灰产,Windows defender直接杀掉了你写的木马,智能应用控制直接禁止运行,你会怎么想
驭龙
 楼主| 发表于 2024-8-24 22:58:25 来自手机 | 显示全部楼层
00006666 发表于 2024-8-24 22:49
比如勒索软件,都是用正常的系统API来加密,合法加密软件也用这些API,微软就不可能拦截这些API调用,但 ...

这个也是我非常担心的问题,第三方没有了驱动级别的强度监控,很难拦截一些拦截点,就比如说64位系统PG就限制了很多安全软件,360不开核晶拦截效果就差很多了
liu浪的人
发表于 2024-8-24 22:58:40 | 显示全部楼层
本帖最后由 liu浪的人 于 2024-8-24 22:59 编辑
Picca 发表于 2024-8-24 22:46
还是上面提到的前提(计算机小白)。。。其实“社会工程学”也是病毒bypass的绝佳手段之一,比如UA ...
就凭这些其实(对于计算机小白)windows并不比linux安全

那是因为Windows树大招风啊,Linux对桌面用户来说多小众,在Linux占主导的服务器端,Linux也不安全,很多时候是人为因素,比如使用弱口令,禁用SELinux等等,可以说人才是最不安全的因素之一,就像你说的社会工程学那样
呼啸山庄
发表于 2024-8-24 23:03:05 | 显示全部楼层
Picca 发表于 2024-8-24 22:14
看了一下,这个貌似是在讲保证普通人容易使用的前提下面,OS本身的权限分配的安全性,似乎和我们讨 ...

呃,我说一下我的观点哈,可能不对。
因为一般情况下Linux的二进制文件一般都运行在用户的权限(比如说user,picca)下或者特定的用户权限下(kvm,libvirtd,qemu,systemd等),以及Linux发行版兼容性的问题。
而且对于一般的用户来说,也只是可能比较复杂拿到或者操作其他用户权限的文件,他们运行某个未知程序,如果知道管理员密码的话,也是照过不误。
所以,现在大部分Linux发行版基本上不会默认创建root用户(root差不多是Windows的Administrator或system,但并不是拿不到root权限,sudo和doas)并且自带SELinux或AppArmor,以及国内的一些商业版Linux发行版把普通用户的权限限制的非常死(但其实还有一个原因是,这些发行版面向的用户权限过高的话会很容易把系统弄崩)。
总而言之,所以很大程度上只是Linux相对Windows而言,普通用户拿权限或更改权限更复杂一点。(跟人感觉Windows把UAC拉满并开密码验证效果也差不多,但Linux本身是“自由”的,这就有很大的可操作性了。

评分

参与人数 1人气 +1 收起 理由
Picca + 1 感谢解答: )

查看全部评分

761773275
发表于 2024-8-24 23:06:24 | 显示全部楼层
驭龙 发表于 2024-8-24 20:10
对啊,我也认为驱动级别的防护不可或缺,十几年前我就开始选择驱动强悍的安全软件了,驱动强度一直是我选 ...

例如大蜘蛛
nvwcc
发表于 2024-8-24 23:10:31 | 显示全部楼层
为啥CrowdStrike成立没几年,市场份额这么高,就因为是美国版信创?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 17:54 , Processed in 0.097492 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表