Deep Instinct 启用 Behavioral Analysis 后的兼容性问题

flyingyoung

众所周不知，Deep Instinct 官方是建议 Behavorial Analysis 除了两个 Beta 项目之外都开启 Prevent 的，但我开了之后发现这些项目，特别是 Arbitrary Shellcode 这一项，会破坏很多程序的行为，其中 Golang 写的程序影响尤其大。

不知道大佬们有没有遇到这个问题？我目前是把 Arbitrary Shellcode 全局关闭（Allow）了，然后针对一些 Golang 程序再单独关闭部分检测，比如 Known Payload Execution 之类的。

隔山打空气

Arbitrary Shellcode这东西关了 DI核心防护也就废一半了（

没办法 这东西还是比较敏感的 能挨个排除尽量挨个排除吧

flyingyoung

隔山打空气 发表于 2024-12-12 19:43
Arbitrary Shellcode这东西关了 DI核心防护也就废一半了（

没办法 这东西还是比较敏感的 能挨个排除尽量 ...

这玩意把 Git 和 OneDrive 都炸了，给我吓一跳

有点不理解为什么会这么离谱

t0kenzero

我DI做主力一年多了在跑steam和国服lol的时候会遇到告警，其他的基本没有。

而且git与onedrive完全没出现过问题  配置满强度  

flyingyoung

t0kenzero 发表于 2024-12-12 22:25
我DI做主力一年多了在跑steam和国服lol的时候会遇到告警，其他的基本没有。

而且git与onedrive完全没出 ...

这就很奇怪了，难道是系统版本问题？

23H2也没很老吧

t0kenzero

flyingyoung 发表于 2024-12-12 22:41
这就很奇怪了，难道是系统版本问题？

23H2也没很老吧

win10 win11都是正常的

而且win10上面是sep+di一起跑的 也没这个问题

swizzer

flyingyoung 发表于 2024-12-12 22:41
这就很奇怪了，难道是系统版本问题？

23H2也没很老吧

有装其他"会注入进程的"软件吗

比如MacType/其他安全软件？

flyingyoung

swizzer 发表于 2024-12-12 22:50
有装其他"会注入进程的"软件吗

比如MacType/其他安全软件？

我还有装 SentinelOne Complete

我是看论坛里也有别人这么用来着，晚点我禁用一下S1试一试

flyingyoung

把S1禁用了还真好了（大部分）

某动物形象的软件还是要单独禁用Arbitrary Shellcode才能正常工作

神龟Turmi

flyingyoung 发表于 2024-12-13 00:00
把S1禁用了还真好了（大部分）

某动物形象的软件还是要单独禁用Arbitrary Shellcode才能正常工作

别人是把S1当纯EDR才搭配的
你这俩EPP一起开那成舰队行为了啊