那些杀软做内核对抗？

soaringmz

例如会对Rootkit病毒进行直接对抗的杀软

早上起来不刷牙

所有的国外一线杀毒软件没记错360安全卫士都2025年了，开了晶核还是被磁碟机病毒关闭，除了那个zhudpngfangyu.exe。暂时还没见过能关闭Gen系三兄弟(双A新诺顿)的POC
Gen系三兄弟在Mac端也做了严格自保，无法用苹果平台的ARK工具关闭，拖到垃圾桶也仅仅给GUI拖到垃圾桶妥妥的自保怪兽。手机端的Gen系三兄弟付费后要申请设备管理员权限和无障碍权限！！！

pyic

国外：爱维士Avast!、卡巴斯基Kaspersky、比特梵德BitDefender、HitmanPro.Alert、科摩多COMODO、Emsisoft、歌德塔G DATA、诺顿Norton、趋势TrendMicro等，国内：奇虎360安全卫士、瑞星Rising、腾讯电脑管家Tencent、金山毒霸KAV、微点主动防御Micropoint、智量盾终端安全WiseVector、费尔托斯特安全Twister等，基本上有驱动拦截模块（Driver control module）的杀软都有，只不过有的是自动拦截、有的可以更改为手动模式

aikafans

pyic 发表于 2025-2-11 12:50
国外：爱维士（Avast!）卡巴斯基（Kaspersky）、比特梵德（BitDefender）、HitmanPro.Alert、科摩多Comodo ...

学习了

驭龙

pyic 发表于 2025-2-11 12:50
国外：爱维士（Avast!）卡巴斯基（Kaspersky）、比特梵德（BitDefender）、HitmanPro.Alert、科摩多Comodo ...

驱动拦截点不等于ARK的

yxzdennis

早上起来不刷牙 发表于 2025-2-11 10:01
所有的国外一线杀毒软件没记错360安全卫士都2025年了，开了晶核还是被磁碟机病毒关闭，除了那个zhudp ...

之前看到过文章 有介绍过zhudongfangyu.exe这块就是mj0011大佬用汇编写出来的怪兽吧

隔山打空气

如果你说的内核对抗是包括恶意软件在不尝试攻击安全产品的情况下的检测和清除，那其实挺多安全产品都可以，比如说可以用ELAM之类的机制抢先手干掉（
不过内核对抗有部分是指防k防强删以及防致盲之类的场景吧

首先是一直都有极强存在感的BYOVD攻击和外部引入恶意驱动攻击的场景，安全软件可以在加驱前和加驱时拦截，智能主防也好，半自动/手动HIPS也罢，主要都是阻止驱动加载/创建服务之类的这个过程，或者干脆在这之前就检测并干掉

不少安全软件有专门拦截BYOVD加载的功能，比如说BD企业版的防篡改（易受攻击的驱动程序），avast的阻止漏洞驱动加载等等等等的。而另一些杀软会把阻止名单集成在主防里面，不单独展示报法出来，比如说当年卡巴拦截mhyprot就可能报PDM，但这类方式大部分都是只能检测已知的甚至是利用范围很广的漏洞驱动

一些安全厂商已开始尝试对BYOVD和恶意驱动加载/服务创建做行为通杀，但一般比较偏保守，攻击者可能会轻松绕过或者根本不需要绕，（而且各种阴间加载手法层出不穷，360当年已经吃过亿坨了）EDR那边的异常检测倒是可以做的相对大胆一点——你不杀那就无所谓误杀（

然后是最棘手的一大类，在BYOVD/恶意驱动已经成功加载的情况下，甚至包括系统自带/合法程序已有的漏洞驱动被利用的场景

对于第三方驱动，常见措施是给扣上IAT和IRP Hook来过滤敏感API调用/IOCTL，以拦截尝试k掉安全产品这个过程，但绝大多数这么做的安全产品不可能给所有第三方驱动都扣上，因为搞不好就蓝屏钙（

例如卡巴的ARK驱动会给已知特征的目标驱动挂上IAT和IRP Hook，而（根据分析文章，但实际情况可能不太稳定）MDE会给已知的漏洞驱动挂IAT Hook，现实情况都是只会挑一部分第三方驱动挂上——即便是这种情况仍然不能保证绝对稳定

对于系统驱动，那就更麻烦了，费尽心思才能做一个复杂的缓解措施，比较彻底的解决方式得等微软出补丁给补上。当然，使用HVCI+内核CET（HSP）可以极大程度地缓解这方面的漏洞利用，也同样能大幅缓解第三方驱动的滥用，并直接拒绝不支持缓解方案的驱动加载（

假如攻击者并不想直接k掉你的安全产品，而只是想令其失效的话（在对抗场景很常见，因为k杀软会引发很大的B动静直接掉线什么的，主控发现了你就要丸辣），安全产品就得确保自己的监控点不被破坏，做这方面的安全产品相对少一些，而且基本集中在B端，例如BD企业版的防篡改（内核回调规避），S1的EtwTi篡改检测，HarfangLab等等


总之，如果安全产品不想被k可以切到纯内核实现，加强权限过滤，搞一些漏洞缓解措施，不想被致盲可以加很多完整性检测，这些都可以在保证系统稳定的情况下解决很多问题。但请切记，在“防”的这个位置不搞内核对抗是对用户的负责

lsop1349987

早上起来不刷牙 发表于 2025-2-11 10:01
所有的国外一线杀毒软件没记错360安全卫士都2025年了，开了晶核还是被磁碟机病毒关闭，除了那个zhudp ...

前几天测了一个fakeapp样本能把avast干掉，不过不知道是不是rootkit

Picca

其实360急救箱的作者，就经常在论坛里强调，这方面更多考虑的是不要把用户电脑当战场。

以下为个人看法：因为作为防御者的先天劣势，加上本身rootkit作者大都技术很强，安全软件更多时候会倾向于后续查杀，而不是对0day病毒先手预防。又由于rootkit本身的隐蔽性，查杀分为进PE查杀和在病毒运行时带毒查杀。进PE查杀能有效的防止rootkit本身对于ark工具的干扰（包含内核对抗），使得发现和清除更加容易；带毒查杀有时候貌似会更容易发现病毒的痕迹。

00006666

检测驱动木马算不算内核对抗？如果算的话，那是不是所有带文件穿透驱动的杀软，都算有内核对抗？