卡巴对银狐的防御水平现在怎么样了

tdsskiller

驭龙 发表于 2024-12-8 19:30
想多了，HIPS自动模式和Smart模式下的ESET根本没啥用，手动模式，我感觉比中毒都难受

手动hips只能在win7之前可以使用，win7及以前的系统exe启动和dll加载项特别少。win8之后独立模块太多了，对应加载的dll项目更逆天的多，手动hips没有白名单系统无法正常启动

驭龙

tdsskiller 发表于 2024-12-8 22:03
手动hips只能在win7之前可以使用，win7及以前的系统exe启动和dll加载项特别少。win8之后独立模块太多了， ...

而且ESET的HIPS强度堪忧，连联想管家都拦不住，更不用说强度更高的威胁了，反正我是从不玩HIPS类软件

裂空我爱杰

装个沙盘，养成好习惯。不明文件扔sb里泡一泡

con16

平常不要亂點網路連結和安裝來歷不名東西就能防大部分

tdsskiller

驭龙 发表于 2024-12-8 22:18
而且ESET的HIPS强度堪忧，连联想管家都拦不住，更不用说强度更高的威胁了，反正我是从不玩HIPS类软件

不是，据说32位和64位里面，杀软能挂钩的函数差了很多。32位没有patchgurad，杀软直接把整个sstd和shadow sstd表给红了一大片，能通过内核模式截断非常多的函数操作，再配合r3的钩子，基本上除了直接内核0day（直接读内核ntos或者时win32k/Null那些触发），天衣无缝，可以对r3阶段降维打击。但是在64位中，微软用patchguard保护了sstd等等非常多的内核钩子项，导致杀软只能用r3挂钩一些常见的函数，配合内核回调进行拦截，这种容易被人用一些诡异的r3方法突破掉。这种情况下，如果没有还虚拟化去补充VM方面的挂钩，HIPS实际上死了一大半。
但是在32位下，微软保护点太少了，经常冒出那些r3直接进r0的妖魔鬼怪，动不动就炸你的sstd表这种的，也不好说32位下面对高威胁的木马是否能起到作用。

驭龙

tdsskiller 发表于 2024-12-9 00:07
不是，据说32位和64位里面，杀软能挂钩的函数差了很多。32位没有patchgurad，杀软直接把整个sstd和shadow ...

你说的这些，我也知道，不然我也不会如此看重核晶这种VM化的功能了。

我只是说ESET的HIPS强度真的太差了，不是系统的原因，同样的环境中，同样一个拦截点，别的都可以拦截，ESET就不行，这跟系统限制和驱动层关系不大，就比如说ESET的HIPS开手动模式，弄个驱动加载，这个拦截点都一样吧，可ESET的HIPS点击拦截，驱动还是可以成功加载，这才是无语的地方

King、暮光

前一阵子我还双击的时候，过了ESET、360的样本，会被亚信的ImmunityOne抓到恶意IOA和IOC并提示银狐，流量侧的设备也有关于银狐的专门分类。比较可惜的是单独防病毒功能对新银狐的查杀率还需要改善。

tdsskiller

驭龙 发表于 2024-12-9 00:52
你说的这些，我也知道，不然我也不会如此看重核晶这种VM化的功能了。

我只是说ESET的HIPS强度真的太差 ...

360貌似改了，国人发展了一堆针对vm的方法，最经典的就是wegame启动，把360干的不要不要的，只是老外没被大规模研究过而已。360的vm比老外的估计要成熟很多，但是也要改了@wowocock

驭龙

tdsskiller 发表于 2024-12-9 15:16
360貌似改了，国人发展了一堆针对vm的方法，最经典的就是wegame启动，把360干的不要不要的，只是老外没被 ...

现在是因为内核隔离默认在新系统上启用，这真的让核晶很难，也不知道卫士以后有没有替代的新技术，这还是很让人期待的

确实，VM这种功能，核晶几乎是最强的了，比国外很多都牛，而国外厂商基本上都放弃VM这种技术了，其中大蜘蛛很早以前就砍了VM功能

wowocock

驭龙 发表于 2024-12-9 15:28
现在是因为内核隔离默认在新系统上启用，这真的让核晶很难，也不知道卫士以后有没有替代的新技术，这还是 ...

如果核晶无法使用的话，会使用ETWHOOK功能，后者目前看来还是能用到WIN11 24H2.