传统三强咖啡 铁壳 趋势统统靠边站，企业端点市场份额最新战报，MDE谁与争锋

bbszy

驭龙 发表于 2024-8-27 14:47
这就跟内核层关系不大了，应该是设计问题，除非重写防火墙模块，要不然不太容易解决

就是优先级的问题，得手动调整
eset弹窗自建的规则都有问题也是很搞笑。

DisaPDB

驭龙 发表于 2024-8-24 20:58
Bd Atc是双管齐下的，这哥们一个驱动就6MB以上，是真的够大了

目前来看BD对DirectSysCall的检测依然不算很好。

驭龙

DisaPDB 发表于 2024-8-30 18:06
目前来看BD对DirectSysCall的检测依然不算很好。

我记得好像卡巴的PDM能检测到DirectSysCall吧，不知是不是我记错了，前两年没怎么关注论坛，可能才回来玩，所以很多事情我都out了

DisaPDB

驭龙 发表于 2024-8-30 18:10
我记得好像卡巴的PDM能检测到DirectSysCall吧，不知是不是我记错了，前两年没怎么关注论坛，可能才回来玩 ...

PDM可以，但只是Hell's Gate/Heaven's Gate 那种最直球的调用版本
感觉不是真的基于行为的判定

驭龙

DisaPDB 发表于 2024-8-30 18:12
PDM可以，但只是Hell's Gate/Heaven's Gate 那种最直球的调用版本
感觉不是真的基于行为的判定

唉，感觉啥行为分析都不尽如人意，我现在都放弃选择有强大行为分析的软件了，查收效果好的就行，毕竟没有完美的产品

DisaPDB

驭龙 发表于 2024-8-30 18:24
唉，感觉啥行为分析都不尽如人意，我现在都放弃选择有强大行为分析的软件了，查收效果好的就行，毕竟没有 ...

所以EDR才是未来的趋势
ML+自动/手动沙箱+行为判定+智能HIPS+控制台溯源&响应，看着就爽

驭龙

DisaPDB 发表于 2024-8-30 18:26
所以EDR才是未来的趋势
ML+自动/手动沙箱+行为判定+智能HIPS+控制台溯源&响应，看着就爽

确实如此，而且EDR对付C2也比较猛，个人版再强，好像也没见有拦截C2的功能。

我最近在体验MDB，毕竟是企业市场占有率第一的企业版，感觉真不错。

而且MDB作为企业版真便宜，正版一年才二百多，还有EDR和漏洞分析，又带云端深度分析沙箱，还要什么自行车啊，哈哈

pluto1313

卡巴的PDM不能对syscall有反应的吧，目前只知道360的核晶在底层钩了这个东西。