楼主: 驭龙
收起左侧

[讨论] 传统三强咖啡 铁壳 趋势统统靠边站,企业端点市场份额最新战报,MDE谁与争锋

  [复制链接]
wwwab
发表于 2024-8-25 19:16:18 | 显示全部楼层
驭龙 发表于 2024-8-25 19:08
真不是,看看ESET和美系,哪个不支持微软提供的接口和新技术?而这次微软强调的是减少内核级驱动代码,减少 ...

我感觉微软的意思是,你本来需要通过有风险的内核驱动实现的效果,他把各种各样的接口开开给解决掉,系统直接处理这个东西,遇到错误之后的容错机制也由系统来处理,然后你就不需要使用危险的内核驱动代码来写这个东西了

就好比手动拿dll注入PowerShell,他怕你整崩PowerShell,开给你AMSI接口。但是你把bug写进去了,接口的返回值不对,系统给你容错,不至于崩掉
驭龙
 楼主| 发表于 2024-8-25 19:24:11 | 显示全部楼层
wwwab 发表于 2024-8-25 19:16
我感觉微软的意思是,你本来需要通过有风险的内核驱动实现的效果,他把各种各样的接口开开给解决掉,系统 ...

MD可以,第三方怎么办?用R3去监控利用漏洞渗入R0级别的威胁,你觉得第三方有可能发现R0级别的威胁吗?R3的监控点根本不够,威胁可以利用漏洞轻松绕过R3监控点的监控
00006666
发表于 2024-8-25 19:47:49 | 显示全部楼层
本帖最后由 00006666 于 2024-8-25 19:52 编辑
wwwab 发表于 2024-8-25 19:16
我感觉微软的意思是,你本来需要通过有风险的内核驱动实现的效果,他把各种各样的接口开开给解决掉,系统 ...

基于公开接口的防护,太容易被绕过了

https://github.com/TheD1rkMtr/AMSI_patch
00006666
发表于 2024-8-25 19:51:39 | 显示全部楼层
本帖最后由 00006666 于 2024-8-25 19:57 编辑
驭龙 发表于 2024-8-25 19:24
MD可以,第三方怎么办?用R3去监控利用漏洞渗入R0级别的威胁,你觉得第三方有可能发现R0级别的威胁吗?R3 ...

接口这种东西太不靠谱了,github上面有一堆绕过微软标准接口的项目,绕过回调、R3钩子、ETW、AMSI,各种接口的都有
00006666
发表于 2024-8-25 20:02:00 | 显示全部楼层
wwwab 发表于 2024-8-25 19:04
我觉得微软的意思并不是让AV减少内核驱动的使用,而是让AV像Windows defender看齐,尽量使用微软提供的标准 ...

本来黑产作者还要一个个去逆向杀软驱动,要是全部都换成接口,黑产作者就直接去研究接口就能绕过所有杀软了。
驭龙
 楼主| 发表于 2024-8-25 20:03:54 | 显示全部楼层
00006666 发表于 2024-8-25 19:51
接口这种东西太不靠谱了,github上面有一堆绕过微软标准接口的项目,绕过回调、R3钩子、ETW、AMSI,各种 ...

是啊,看看360没核晶防护的情况下,监控能力惨到什么程度,所以没有独特的R0监控手段,根本玩不过威胁软件的规避手段。

看看ESET按微软要求来,结果搞的防火墙半残,连联想管家都拦不住,HIPS更是连加驱都拦不住,这就是没独特内核监控机制的下场。
隔山打空气
发表于 2024-8-25 20:58:49 | 显示全部楼层
00006666 发表于 2024-8-25 20:02
本来黑产作者还要一个个去逆向杀软驱动,要是全部都换成接口,黑产作者就直接去研究接口就能绕过所有杀软 ...

内核回调和ETW-TI这种东西你不进R0根本没法动人家,AMSI那个确实自保不足,不过可以通过杀软检测patch AMSI行为来进行检测与防御(例如对amsi.dll的内存区域来个WriteProcessMemory,一样能从TI拉API调用事件来检测)

调用堆栈欺骗那个也不是依靠破坏TI实现的,尽管它确实能有效地干扰(包括TI的)ETW,那是另外一码事

最核心的问题是内核回调数量有限,只能注册对一部分API的监控(像VirtualAlloc,WriteProcessMemory之类的许多常用API都是暂时没对应的),而具备R0的自保能力+同步拦截,最稳的办法就是内核回调,TI在设计时也并不具备同步拦截能力

至于研究接口就能绕过所有杀软,那还是过于天方夜谭了,也没见哪个人能吹嘘从R3绕内核回调的
00006666
发表于 2024-8-25 21:06:24 | 显示全部楼层
本帖最后由 00006666 于 2024-8-25 21:08 编辑
隔山打空气 发表于 2024-8-25 20:58
内核回调和ETW-TI这种东西你不进R0根本没法动人家,AMSI那个确实自保不足,不过可以通过杀软检测patch AM ...

我又不是不知道R3干不了回调,目前github上面的基本都是白驱动干回调
隔山打空气
发表于 2024-8-25 21:07:23 | 显示全部楼层
00006666 发表于 2024-8-25 21:06
我又不是不知道R3干不了回调,目前github上面的基本都是白驱动干回调

你BYOVD加载起来了干谁不一样(
00006666
发表于 2024-8-25 21:09:18 | 显示全部楼层
隔山打空气 发表于 2024-8-25 21:07
你BYOVD加载起来了干谁不一样(

新时代的杀软本来就监控不了驱动加载,只能监控注册表服务项,甚至是要靠ETW才可以拿到是哪个程序操作服务项,单独靠回调监控注册表连哪个程序操作的驱动服务项都不知道
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 18:07 , Processed in 0.110639 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表