卡巴对银狐的防御水平现在怎么样了

啊松

tmj320 发表于 2024-12-7 21:25
默认规则就可以吗？小白不太会设置规则

默认规则有点单薄，我也分不清哪些规则是默认的了，没法给建议

杀软病综合医院

如果想百分百提前防御建议安装冰盾https://trustsing.com/idefender，对于非白高危行为一律拦截
再加上任意一款杀软就OK。
银狐难点在于白加黑，专营有签名的黑驱动，驱动加载成功后，杀毒都自身难保。
目前大部分杀毒默认对有签名的驱动不拦截。

wohaofan1200

公司：不是说现在网上没毒了吗

tdsskiller

inhh1 发表于 2024-12-7 21:15
bd企业版要手改策略 不改策略完蛋
改了策略可以有效防止漏洞驱动，哪怕是他们重签的也可以防
exe的银狐 ...

大概率不行，如果漏洞驱动和系统常见驱动特征重合一防，一推广嘎嘎蓝屏死机，要是可以的话360那么大的用户量早就开始实行了，现在采取的方法仍然还是人工去白，没有拉黑，阻止漏洞驱动在2020年后实际上就是个笑话。在几年前一个俄罗斯查驱动的网友就提到了，真要和你较真，直接去vt上找杀毒软件，找2020年前后那些驱动，包括你自己所谓的bd这种，那漏洞都多的吓人。真正驱动防漏洞的，只有反作弊实现了一部分，反作弊拥有比目前任何一款杀软都强大的反漏洞功能，除了你用boothole和dma，基本所以漏洞都被拿下，但是仍然防不了未公开的，或者是广泛使用驱动的任何一个0day

tdsskiller

隔山打空气 发表于 2024-12-7 19:18
这已经不仅是有没有EDR的问题了，这直接考验安全厂商跟踪已知BYOVD的情报速度，甚至对未拉黑/证书被修改 ...

大肉鸡说过了，拉黑不了一点，拉黑后你等着被人投诉就完事了，经典winring0很多人在用，一拉黑会导致大规模的某些软件出问题然后被投诉。whql那种签名更是无敌，只能说国人的操作比老外还逆天

inhh1

tdsskiller 发表于 2024-12-8 12:56
大概率不行，如果漏洞驱动和系统常见驱动特征重合一防，一推广嘎嘎蓝屏死机，要是可以的话360那么大的用 ...

起码我上次测试的时候那个tprotect的whql重签版是防住了

scottxzt

驭龙 发表于 2024-12-7 19:39
样本区很少有MD双击的，所以不清楚效果，不过大部分双击样本，好像MD都是靠ML云拦截的比较多

我双击的，但是防不住，只有依靠用户账户控制拦截，这个点允许就全过，安装完毕有些可能会报TEM文件，这个等于背过。
可以用WhitelistCloud 扫描，一扫一个准

驭龙

scottxzt 发表于 2024-12-8 14:52
我双击的，但是防不住，只有依靠用户账户控制拦截，这个点允许就全过，安装完毕有些可能会报TEM文件，这 ...

你开的是零容忍加全部asr规则吗？

scottxzt

驭龙 发表于 2024-12-8 14:55
你开的是零容忍加全部asr规则吗？

是的，全部，重启我就不清楚了，我开的影子。MD都是只有靠云了，银狐的白加黑，只要驱动进入，就宣告结束


WhitelistCloud直接上传云端，等2分钟，直接提示不安全。

scottxzt

con16 发表于 2024-12-7 19:42
怕就是MD被關掉，一關掉ASR規則可能也無作用。

也发现关了MD和defenderUI的银狐。现在来看只有把未知安装文件上传云端做人工智能的分析，马上反馈就是最好的防御了，这也是未来发展的方向。