传统三强咖啡 铁壳 趋势统统靠边站，企业端点市场份额最新战报，MDE谁与争锋

00006666

隔山打空气 发表于 2024-8-25 20:58
内核回调和ETW-TI这种东西你不进R0根本没法动人家，AMSI那个确实自保不足，不过可以通过杀软检测patch AM ...

况且是目前还能用回调，按这个趋势发展，以后微软怕不是不让杀软载驱动，全靠R3的各种接口，文章说的这个，全靠接口替代…

隔山打空气

00006666 发表于 2024-8-25 21:09
新时代的杀软本来就监控不了驱动加载，只能监控注册表服务项，甚至是要靠ETW才可以拿到是哪个程序操作服 ...

那肯定的，但是配合用才是常见的，单用回调那肯定一用一个不吱声（

问题还是出在接口本身的能力不够强，覆盖范围不够大，但内核接口本身强度肯定不是你研究就能通杀的，这不可能

隔山打空气

00006666 发表于 2024-8-25 21:16
况且是目前还能用回调，按这个趋势发展，以后微软怕不是不让杀软载驱动，全靠R3的各种接口，文章说的这个 ...

放心啦，微软以前被反垄断制裁过，MD能用的那堆内核接口其他杀软也能用（

想来点独占的肯定被反垄断干爆，再说MD本身内核接口能力利用强度甚至没某些厂商高（

MIHU12

win11感觉好用，刚装

驭龙

https://bbs.kafan.cn/thread-2272844-1-1.html
这里有MDE简易版MDB的简单试用，感兴趣的饭友可以看一下，虽然跟一个月几万块的MDE有一些差距，但基础的EDR和自动攻击阻断，以及强化的行为分析拦截，都是有的

00006666

隔山打空气 发表于 2024-8-25 21:24
放心啦，微软以前被反垄断制裁过，MD能用的那堆内核接口其他杀软也能用（

想来点独占的肯定被反垄断干 ...

全新银狐又开始用驱动了 (

https://bbs.kafan.cn/forum.php?m ... 272842&pid=55053099

bbszy

驭龙 发表于 2024-8-25 20:03
是啊，看看360没核晶防护的情况下，监控能力惨到什么程度，所以没有独特的R0监控手段，根本玩不过威胁软 ...

驱动是一方面
eset的防火墙规则优先级逻辑也有问题

驭龙

bbszy 发表于 2024-8-27 03:12
驱动是一方面
eset的防火墙规则优先级逻辑也有问题

无法拦截驱动加载，这真的有一点说不过去啊，唉

bbszy

驭龙 发表于 2024-8-27 06:53
无法拦截驱动加载，这真的有一点说不过去啊，唉

那个防火墙规则优先级也有问题，但是我还在研究中

反正症状就是我开的交互模式，但是明明有规则，还总是弹窗询问，哪怕通过弹窗新建了规则。

驭龙

bbszy 发表于 2024-8-27 14:42
那个防火墙规则优先级也有问题，但是我还在研究中

反正症状就是我开的交互模式，但是明明有规则，还总 ...

这就跟内核层关系不大了，应该是设计问题，除非重写防火墙模块，要不然不太容易解决