冰盾4.6.4更新

Komeiji-Reimu

4.6.4.0

• 添加内核增强防御支持（专业版配置里开启）
  
  • 支持进程隐藏
  • 支持内存修改检测
  • 支持异步过程调用检测
  • 支持修改线程上下文检查
    
• 内置规则
  
  • 添加联网提醒
  • 添加禁止创建任务计划
  • 添加禁止Shellcode注入
  • 添加禁止进程异步过程调用注入
  • 修复重复加载NTDLL拦截异常的问题
  • 优化部分规则参数
    
• 模板
  添加进程隐藏模板（依赖内核增强模式）
• 其他
  
  • 修复会话隔离导致拖曳进去参数列表失败的问题
  • 优化信任列表图标查询缓慢的问题
    

专业版激活码：您可以按照软件提示免费获取

下载地址：
https://trustsing.com/idefender/#_4-6-4-0

请留意增强内核模式的开启注意事项

安全测评

可以监控到并拦截LummaStealer这类病毒的Shellcode注入行为

dght432

安全测评 发表于 2024-11-16 21:17
可以监控到并拦截LummaStealer这类病毒的Shellcode注入行为

这是那个样本?我想试试。这边试了好几个LummaStealer都是拦截镜像注入（可能没有Shellcode注入行为?）

Komeiji-Reimu

dght432 发表于 2024-11-16 22:30
这是那个样本?我想试试。这边试了好几个LummaStealer都是拦截镜像注入（可能没有Shellcode注入行为?）

看着像样本区新发的

安全测评

dght432 发表于 2024-11-16 22:30
这是那个样本?我想试试。这边试了好几个LummaStealer都是拦截镜像注入（可能没有Shellcode注入行为?）

还是原来的样本，可以找之前的LummaStealer试试。
旧版本只有镜像注入，新的开了内核增强模式后，是可以把逻辑串起来了：
1. 先重复加载ntdll
2. 使用DirectSyscall镜像注入一个白的dll
3. 注入shellcode到这个白dll的位置，实现dll hollow隐藏代码执行的模块的堆栈

dght432

安全测评 发表于 2024-11-16 22:43
还是原来的样本，可以找之前的LummaStealer试试。
旧版本只有镜像注入，新的开了内核增强模式后，是可以 ...

试了一下开启内核增强拦截，确实能拦截，先拦截镜像注入，放行再拦截shellcode注入

ongarabazanade

感谢分享，冰盾越来越棒了！感谢大神制作出这么好的软件

ddxuchen

感谢楼主分享​​​

nogoodren

有些软件会在系统后台悄悄下载安装新版本，通过什么规则可以拦截？

杀软病综合医院

nogoodren 发表于 2024-11-17 19:41
有些软件会在系统后台悄悄下载安装新版本，通过什么规则可以拦截？

规则市场--安装包检测
内置规则--严格规则--禁止临时目录下的进程启动--开启
自定义规则，知道新版本下载位置，禁止该位置下进程运行。或者知道新版本下载的文件名字，也可以禁止该文件运行