McAfee R122 已发布

hansyu

驭龙 发表于 2024-9-7 17:14
我问两个问题。

之前说的开机先让MD复活以后才注册安全中心的BUG，现在还有吗？有没有修复啊。

1、是的，注册安全中心的时间依然比较滞后。当然如果你不打开右键文件菜单的话其实感觉不到区别，也就是进入桌面两三分钟后的事情。
2、监控方面还是那个驱动，R122反而更小，才75KB。我简单用Bcompare比较一下，主要是把文件末端数字签名后的那部分数据给砍掉了，由于我不懂文件结构，感觉应该是去除不必要的内容吧。

驭龙

hansyu 发表于 2024-9-7 17:32
1、是的，注册安全中心的时间依然比较滞后。当然如果你不打开右键文件菜单的话其实感觉不到区别，也就是 ...

我原本还打算玩玩，可这监控也太缩水了吧，感觉国产的驱动强度都比这个猛了。

话说，防火墙驱动有吗？我上次安装个人版没注意有没有，防火墙不会没有驱动吧？

hansyu

驭龙 发表于 2024-9-7 17:44
我原本还打算玩玩，可这监控也太缩水了吧，感觉国产的驱动强度都比这个猛了。

话说，防火墙驱动有吗？ ...

防火墙没有单独的驱动，实现方式依赖系统墙，打开Windows高级防火墙设置可以看到一个不可修改名为McAfee的出站规则。
从反病毒和防火墙的相关dll文件里的字符串可以看出，咖啡对进程的行为和网络访问监控完全依赖ETW，这可能是驱动如此简单的主要原因。

驭龙

hansyu 发表于 2024-9-7 17:50
防火墙没有单独的驱动，实现方式依赖系统墙，打开Windows高级防火墙设置可以看到一个不可修改名为McAfee ...

防火墙不用WFP了？这底层数据过滤好像差一点吧，咖啡看来是真保守啊，只用ETW监控，不过这ETW算是标准行为分析的开放接口了，很多厂商的行为分析都有用ETW，包括MD的行为分析监控也有用ETW，只是不单一使用ETW技术。

人气没了，明天补上

hansyu

驭龙 发表于 2024-9-7 17:57
防火墙不用WFP了？这底层数据过滤好像差一点吧，咖啡看来是真保守啊，只用ETW监控，不过这ETW算是标准行 ...

防火墙dll字符串里有用WFP但是没有单独的驱动，应该就共用那个驱动？我不是很了解。
RP的行为监控好像就真的只靠ETW。

驭龙

hansyu 发表于 2024-9-7 18:27
防火墙dll字符串里有用WFP但是没有单独的驱动，应该就共用那个驱动？我不是很了解。
RP的行为监控好像就 ...

用户层调用WFP么？其他产品基本上流量过滤都是进内核层，然后利用WFP的驱动fwpkclnt.sys进行筛选流量的，你看看咖啡有没有利用fwpkclnt.sys驱动，说不定用户层也可以调用fwpkclnt.sys，具体的我也不清楚了，毕竟我也不懂编程

hansyu

驭龙 发表于 2024-9-7 18:32
用户层调用WFP么？其他产品基本上流量过滤都是进内核层，然后利用WFP的驱动fwpkclnt.sys进行筛选流量的，你 ...

大致研究一下，发现应该是用户层操作BFE来实现流量筛选，没有安装wfp标识驱动来增强筛选能力。
与其说是流量筛选，其实就是一个能自动更新的黑IP地址过滤器，且这个黑名单效果还很差。
当然，这个高级防火墙似乎有单独使用ETW来识别RAT进程的能力，可惜从来没见过发挥作用。
如你所说，如果微软决定限制内核操作，那么咖啡真的几乎不受影响，咖啡所有的底层功能全都依靠系统自带的接口。

驭龙

hansyu 发表于 2024-9-7 21:35
大致研究一下，发现应该是用户层操作BFE来实现流量筛选，没有安装wfp标识驱动来增强筛选能力。
与其说是 ...

其实如果有读写监控，这强度也够用，现在看来好像咖啡开发这新架构的时候就知道微软想收紧内核一样，提前做准备了，如果以后微软加大力度收紧内核权限，感觉咖啡真的是受影响最小的了，卡巴和BD可能影响会大一些吧

真小读者

1073328164 发表于 2024-9-6 15:45
已更新，不过软件窗口依旧是直角，难道圆角是WIN11限定？

另外授权许可这里会显示1/1已受保护，已达到设 ...

win11已更122，喜提圆角

1073328164

真小读者 发表于 2024-9-8 09:45
win11已更122，喜提圆角

那应该是win10直角win11圆角了，倒也无所谓