卡巴对银狐的防御水平现在怎么样了

驭龙

神龟Turmi 发表于 2024-12-7 19:11
eset有比较大概率elg能检出
蛐蛐企业版会newly encounter阻断然后几小时之后云判黑
别的好像没有特别稳 ...

ELG对付银狐确实是还行，可ESET没下放给EIS，所以国内很多用户用不上ELG。

对了，神龟，MDE P2的EDR对付银狐怎么样？听说最近MDE添加了新功能Microsoft Security Exposure Management，这东西好像可以提供很全面的信息，帮助确认是否感染威胁

驭龙

隔山打空气 发表于 2024-12-7 19:18
这已经不仅是有没有EDR的问题了，这直接考验安全厂商跟踪已知BYOVD的情报速度，甚至对未拉黑/证书被修改 ...

说起这个，忽然间想到，很多人忽略的MD，因为MD有一条ASR规则，可以很大概率降低BYOVD的加载，这ASR规则好像就是针对BYOVD的

阻止滥用被利用的易受攻击的已签名驱动程序
此规则可防止应用程序将易受攻击的已签名驱动程序写入磁盘。 具有足够权限的本地应用程序可以利用具有足够权限的易受攻击的已签名驱动程序来获取对内核的访问权限。 易受攻击的已签名驱动程序使攻击者能够禁用或规避安全解决方案，最终导致系统泄露。

阻止滥用被利用的易受攻击的已签名驱动程序规则不会阻止系统上已存在的驱动程序被加载。

很多人都忽略了MD的ASR规则的实力

隔山打空气

驭龙 发表于 2024-12-7 19:29
说起这个，忽然间想到，很多人忽略的MD，因为MD有一条ASR规则，可以很大概率降低BYOVD的加载，这ASR规则 ...

这个相当有用的，但有时候稍微有些滞后，跟不太上某些更新太快的（

我记得WDAC可以实现更严密的驱动加载控制的，也有相关教学，但WDAC真的有点难操作啊（悲

con16

驭龙 发表于 2024-12-7 19:29
说起这个，忽然间想到，很多人忽略的MD，因为MD有一条ASR规则，可以很大概率降低BYOVD的加载，这ASR规则 ...

ASR這條我是設定警告

不知道有無人實測過防不防得住銀狐

驭龙

隔山打空气 发表于 2024-12-7 19:33
这个相当有用的，但有时候稍微有些滞后，跟不太上某些更新太快的（

我记得WDAC实现更严密的驱动加载控 ...

现在不需要WDAC了，智能应用控制一开，秒天秒地秒自己

ASR有另一个规则是，防止低信誉文件运行，配合刚刚说的防BYOVD的ASR规则，应该能防一部分银狐，当然MD毕竟是基准线，肯定不能对它抱有太大期望

阻止可执行文件运行，除非它们符合流行率、年龄或受信任列表条件
此规则阻止启动可执行文件，例如 .exe、.dll 或 .scr。 因此，启动不受信任的或未知的可执行文件可能会有风险，因为最初可能不清楚这些文件是否是恶意文件。

驭龙

con16 发表于 2024-12-7 19:34
ASR這條我是設定警告

不知道有無人實測過防不防得住銀狐

样本区很少有MD双击的，所以不清楚效果，不过大部分双击样本，好像MD都是靠ML云拦截的比较多

con16

WDAC 設定強制一些第三方軟件可能會不正常
跟零信任快差不多，用白名單還是照樣擋

con16

驭龙 发表于 2024-12-7 19:39
样本区很少有MD双击的，所以不清楚效果，不过大部分双击样本，好像MD都是靠ML云拦截的比较多

怕就是MD被關掉，一關掉ASR規則可能也無作用。

驭龙

con16 发表于 2024-12-7 19:42
怕就是MD被關掉，一關掉ASR規則可能也無作用。

是的，除非是MDB以上级别的MD才有高强度自我保护，不然很容易被干掉。

如果是零容忍级别的MD，很大新东西根本运行不起来就被MD阻止了，MD怕的是针对它的漏洞攻击，这是真无解

con16

驭龙 发表于 2024-12-7 19:45
是的，除非是MDB以上级别的MD才有高强度自我保护，不然很容易被干掉。

如果是零容忍级别的MD，很大新 ...

DefenderUI Pro
多這些功能，不過明年可能收費
國外有人全開說效果不錯