传统三强咖啡 铁壳 趋势统统靠边站，企业端点市场份额最新战报，MDE谁与争锋

wwwab

驭龙 发表于 2024-8-25 19:08
真不是，看看ESET和美系，哪个不支持微软提供的接口和新技术？而这次微软强调的是减少内核级驱动代码，减少 ...

我感觉微软的意思是，你本来需要通过有风险的内核驱动实现的效果，他把各种各样的接口开开给解决掉，系统直接处理这个东西，遇到错误之后的容错机制也由系统来处理，然后你就不需要使用危险的内核驱动代码来写这个东西了

就好比手动拿dll注入PowerShell，他怕你整崩PowerShell，开给你AMSI接口。但是你把bug写进去了，接口的返回值不对，系统给你容错，不至于崩掉

驭龙

wwwab 发表于 2024-8-25 19:16
我感觉微软的意思是，你本来需要通过有风险的内核驱动实现的效果，他把各种各样的接口开开给解决掉，系统 ...

MD可以，第三方怎么办？用R3去监控利用漏洞渗入R0级别的威胁，你觉得第三方有可能发现R0级别的威胁吗？R3的监控点根本不够，威胁可以利用漏洞轻松绕过R3监控点的监控

00006666

wwwab 发表于 2024-8-25 19:16
我感觉微软的意思是，你本来需要通过有风险的内核驱动实现的效果，他把各种各样的接口开开给解决掉，系统 ...

基于公开接口的防护，太容易被绕过了

https://github.com/TheD1rkMtr/AMSI_patch

00006666

驭龙 发表于 2024-8-25 19:24
MD可以，第三方怎么办？用R3去监控利用漏洞渗入R0级别的威胁，你觉得第三方有可能发现R0级别的威胁吗？R3 ...

接口这种东西太不靠谱了，github上面有一堆绕过微软标准接口的项目，绕过回调、R3钩子、ETW、AMSI，各种接口的都有

00006666

wwwab 发表于 2024-8-25 19:04
我觉得微软的意思并不是让AV减少内核驱动的使用，而是让AV像Windows defender看齐，尽量使用微软提供的标准 ...

本来黑产作者还要一个个去逆向杀软驱动，要是全部都换成接口，黑产作者就直接去研究接口就能绕过所有杀软了。

驭龙

00006666 发表于 2024-8-25 19:51
接口这种东西太不靠谱了，github上面有一堆绕过微软标准接口的项目，绕过回调、R3钩子、ETW、AMSI，各种 ...

是啊，看看360没核晶防护的情况下，监控能力惨到什么程度，所以没有独特的R0监控手段，根本玩不过威胁软件的规避手段。

看看ESET按微软要求来，结果搞的防火墙半残，连联想管家都拦不住，HIPS更是连加驱都拦不住，这就是没独特内核监控机制的下场。

隔山打空气

00006666 发表于 2024-8-25 20:02
本来黑产作者还要一个个去逆向杀软驱动，要是全部都换成接口，黑产作者就直接去研究接口就能绕过所有杀软 ...

内核回调和ETW-TI这种东西你不进R0根本没法动人家，AMSI那个确实自保不足，不过可以通过杀软检测patch AMSI行为来进行检测与防御（例如对amsi.dll的内存区域来个WriteProcessMemory，一样能从TI拉API调用事件来检测）

调用堆栈欺骗那个也不是依靠破坏TI实现的，尽管它确实能有效地干扰（包括TI的）ETW，那是另外一码事

最核心的问题是内核回调数量有限，只能注册对一部分API的监控（像VirtualAlloc，WriteProcessMemory之类的许多常用API都是暂时没对应的），而具备R0的自保能力+同步拦截，最稳的办法就是内核回调，TI在设计时也并不具备同步拦截能力

至于研究接口就能绕过所有杀软，那还是过于天方夜谭了，也没见哪个人能吹嘘从R3绕内核回调的

00006666

隔山打空气 发表于 2024-8-25 20:58
内核回调和ETW-TI这种东西你不进R0根本没法动人家，AMSI那个确实自保不足，不过可以通过杀软检测patch AM ...

我又不是不知道R3干不了回调，目前github上面的基本都是白驱动干回调

隔山打空气

00006666 发表于 2024-8-25 21:06
我又不是不知道R3干不了回调，目前github上面的基本都是白驱动干回调

你BYOVD加载起来了干谁不一样（

00006666

隔山打空气 发表于 2024-8-25 21:07
你BYOVD加载起来了干谁不一样（

新时代的杀软本来就监控不了驱动加载，只能监控注册表服务项，甚至是要靠ETW才可以拿到是哪个程序操作服务项，单独靠回调监控注册表连哪个程序操作的驱动服务项都不知道