卡巴对银狐的防御水平现在怎么样了

隔山打空气

驭龙 发表于 2024-12-7 19:37
现在不需要WDAG了，智能应用控制一开，秒天秒地秒自己

ASR有另一个规则是，防止低信誉文件运行，配合 ...

那个规则我记得实测能拦不少，但似乎还是会漏一部分恶意软件，尽管对面没有受信任的签名（

SAC那个确实更严格，不过之前龙大不是测出不少问题吗（

ANY之前测的，MDE-EDR最开始是能检测到可疑加驱/注册服务行为的（EDR警报肯定不拦截的），但是后来不太稳定了，而且由于MDAV被干掉之后MDATP的功能也会受到严重损害，所以更麻烦了（

ATP级别的自保也只能强化拦截用户层的篡改，加驱动进内核照样一块干飞（悲

驭龙

隔山打空气 发表于 2024-12-7 19:56
那个规则我记得实测能拦不少，但似乎还是会漏一部分恶意软件，尽管对面没有受信任的签名（

SAC那个确 ...

正因为SAC跟MD一点兼容问题，不知是不是就这么设计的，所以我现在是SAC＋卡巴，SAC跟卡巴倒是没有一点兼容问题，所以我现在的组合很满意。

等下个月新的MD出了，我再看看MD和SAC的适配

感觉MD开零容忍和ASR全规则，也是不错的玩具，哈哈

驭龙

con16 发表于 2024-12-7 19:56
DefenderUI Pro
多這些功能，不過明年可能收費
國外有人全開說效果不錯

现在的ASR规则是19条，配合零容忍，感觉确实是很猛，只是被针对的可能性也很大，毕竟是系统内置安全体系，不针对它针对谁，是吧

神龟Turmi

驭龙 发表于 2024-12-7 19:24
ELG对付银狐确实是还行，可ESET没下放给EIS，所以国内很多用户用不上ELG。

对了，神龟，MDE P2的EDR对 ...

MDE你得问空气和AnyLNK呀 我不用MD的（

驭龙

神龟Turmi 发表于 2024-12-7 20:04
MDE你得问空气和AnyLNK呀 我不用MD的（

ANY.LNK的MD是MDB，没有那个新功能

00006666

隔山打空气 发表于 2024-12-7 19:18
这已经不仅是有没有EDR的问题了，这直接考验安全厂商跟踪已知BYOVD的情报速度，甚至对未拉黑/证书被修改 ...

有HIPS也没用，银狐团队人家还会奇技淫巧，多种特殊方式加载驱动

比如以前有自定义RPC协议与 \\.\pipe\ntsvcs 管道进行通信绕360核晶加载驱动，这都是已经被公开的技术了，已经堵了，肯定还有很多未公开技术

00006666

微软本身自带Microsoft易受攻击的驱动程序阻止列表
https://learn.microsoft.com/zh-c ... -driver-block-rules

但是这个列表并没有发挥到足够的作用，这个列表仅包含数量极为有限的黑名单HASH和数签

同时滥发WHQL签名的问题依然存在，前段时间就出现了银狐样本携带WHQL签名的漏洞驱动

00006666

隔山打空气 发表于 2024-12-7 19:33
这个相当有用的，但有时候稍微有些滞后，跟不太上某些更新太快的（

我记得WDAC可以实现更严密的驱动加 ...

滥发WHQL签名就不说了，关键是非WHQL签名，各种泄露签名，过期无效签名，被吊销的签名，居然还能通过特殊方式签上，还能通过系统的驱动签名检查。

按照微软的要求，WIN10就会强制推行WHQL签名，没有这个的驱动会被阻止加载，结果实行过程中，确因为各种兼容性问题，给了各种豁免规则

WHQL签名这种机制如果有严格执行，相当多的漏洞驱动问题就会得到解决。

隔山打空气

00006666 发表于 2024-12-7 20:37
滥发WHQL签名就不说了，关键是非WHQL签名，各种泄露签名，过期无效签名，被吊销的签名，居然还能通过特殊 ...

其实有个更逆天的事情...某个已知的老BYOVD再次被签上了新的WHQL签名（

别的就不用说了，这一句话已经够了吧（

ジ蓅暒划过づ

驭龙 发表于 2024-12-7 18:30
单论扫描的话，卡巴可能比ESET差一丢丢，但加上主防规则的防御，卡巴对付银狐的能力大于ESET，更重要的是卡 ...

哎龙大，前几天刚双击银狐翻车重装哈哈