那些杀软做内核对抗？

soaringmz

例如会对Rootkit病毒进行直接对抗的杀软

早上起来不刷牙

所有的国外一线杀毒软件没记错360安全卫士都2025年了，开了晶核还是被磁碟机病毒关闭，除了那个zhudpngfangyu.exe。暂时还没见过能关闭Gen系三兄弟(双A新诺顿)的POC
Gen系三兄弟在Mac端也做了严格自保，无法用苹果平台的ARK工具关闭，拖到垃圾桶也仅仅给GUI拖到垃圾桶妥妥的自保怪兽。手机端的Gen系三兄弟付费后要申请设备管理员权限和无障碍权限！！！

pyic

国外：爱维士Avast!、卡巴斯基Kaspersky、比特梵德BitDefender、HitmanPro.Alert、科摩多COMODO、Emsisoft、歌德塔G DATA、诺顿Norton、趋势TrendMicro等，国内：奇虎360安全卫士、瑞星Rising、腾讯电脑管家Tencent、金山毒霸KAV、微点主动防御Micropoint、智量盾终端安全WiseVector、费尔托斯特安全Twister等，基本上有驱动拦截模块（Driver control module）的杀软都有，只不过有的是自动拦截、有的可以更改为手动模式

驭龙

pyic 发表于 2025-2-11 12:50
国外：爱维士（Avast!）卡巴斯基（Kaspersky）、比特梵德（BitDefender）、HitmanPro.Alert、科摩多Comodo ...

驱动拦截点不等于ARK的

yxzdennis

早上起来不刷牙 发表于 2025-2-11 10:01
所有的国外一线杀毒软件没记错360安全卫士都2025年了，开了晶核还是被磁碟机病毒关闭，除了那个zhudp ...

之前看到过文章 有介绍过zhudongfangyu.exe这块就是mj0011大佬用汇编写出来的怪兽吧

隔山打空气

如果你说的内核对抗是包括恶意软件在不尝试攻击安全产品的情况下的检测和清除，那其实挺多安全产品都可以，比如说可以用ELAM之类的机制抢先手干掉（
不过内核对抗有部分是指防k防强删以及防致盲之类的场景吧

首先是一直都有极强存在感的BYOVD攻击和外部引入恶意驱动攻击的场景，安全软件可以在加驱前和加驱时拦截，智能主防也好，半自动/手动HIPS也罢，主要都是阻止驱动加载/创建服务之类的这个过程，或者干脆在这之前就检测并干掉

不少安全软件有专门拦截BYOVD加载的功能，比如说BD企业版的防篡改（易受攻击的驱动程序），avast的阻止漏洞驱动加载等等等等的。而另一些杀软会把阻止名单集成在主防里面，不单独展示报法出来，比如说当年卡巴拦截mhyprot就可能报PDM，但这类方式大部分都是只能检测已知的甚至是利用范围很广的漏洞驱动

一些安全厂商已开始尝试对BYOVD和恶意驱动加载/服务创建做行为通杀，但一般比较偏保守，攻击者可能会轻松绕过或者根本不需要绕，（而且各种阴间加载手法层出不穷，360当年已经吃过亿坨了）EDR那边的异常检测倒是可以做的相对大胆一点——你不杀那就无所谓误杀（

然后是最棘手的一大类，在BYOVD/恶意驱动已经成功加载的情况下，甚至包括系统自带/合法程序已有的漏洞驱动被利用的场景

对于第三方驱动，常见措施是给扣上IAT和IRP Hook来过滤敏感API调用/IOCTL，以拦截尝试k掉安全产品这个过程，但绝大多数这么做的安全产品不可能给所有第三方驱动都扣上，因为搞不好就蓝屏钙（

例如卡巴的ARK驱动会给已知特征的目标驱动挂上IAT和IRP Hook，而（根据分析文章，但实际情况可能不太稳定）MDE会给已知的漏洞驱动挂IAT Hook，现实情况都是只会挑一部分第三方驱动挂上——即便是这种情况仍然不能保证绝对稳定

对于系统驱动，那就更麻烦了，费尽心思才能做一个复杂的缓解措施，比较彻底的解决方式得等微软出补丁给补上。当然，使用HVCI+内核CET（HSP）可以极大程度地缓解这方面的漏洞利用，也同样能大幅缓解第三方驱动的滥用，并直接拒绝不支持缓解方案的驱动加载（

假如攻击者并不想直接k掉你的安全产品，而只是想令其失效的话（在对抗场景很常见，因为k杀软会引发很大的B动静直接掉线什么的，主控发现了你就要丸辣），安全产品就得确保自己的监控点不被破坏，做这方面的安全产品相对少一些，而且基本集中在B端，例如BD企业版的防篡改（内核回调规避），S1的EtwTi篡改检测，HarfangLab等等


总之，如果安全产品不想被k可以切到纯内核实现，加强权限过滤，搞一些漏洞缓解措施，不想被致盲可以加很多完整性检测，这些都可以在保证系统稳定的情况下解决很多问题。但请切记，在“防”的这个位置不搞内核对抗是对用户的负责

lsop1349987

早上起来不刷牙 发表于 2025-2-11 10:01
所有的国外一线杀毒软件没记错360安全卫士都2025年了，开了晶核还是被磁碟机病毒关闭，除了那个zhudp ...

前几天测了一个fakeapp样本能把avast干掉，不过不知道是不是rootkit

Picca

其实360急救箱的作者，就经常在论坛里强调，这方面更多考虑的是不要把用户电脑当战场。

以下为个人看法：因为作为防御者的先天劣势，加上本身rootkit作者大都技术很强，安全软件更多时候会倾向于后续查杀，而不是对0day病毒先手预防。又由于rootkit本身的隐蔽性，查杀分为进PE查杀和在病毒运行时带毒查杀。进PE查杀能有效的防止rootkit本身对于ark工具的干扰（包含内核对抗），使得发现和清除更加容易；带毒查杀有时候貌似会更容易发现病毒的痕迹。

00006666

检测驱动木马算不算内核对抗？如果算的话，那是不是所有带文件穿透驱动的杀软，都算有内核对抗？

00006666

隔山打空气 发表于 2025-2-11 18:29
如果你说的内核对抗是包括恶意软件在不尝试攻击安全产品的情况下的检测和清除，那其实挺多安全产品都可以， ...

要我说，本质上所有带穿透处理驱动的杀软，都算有内核对抗，文件/注册表穿透驱动本质上就是直接去内核层强扫强删 文件、注册表等。

00006666

驭龙 发表于 2025-2-11 15:42
驱动拦截点不等于ARK的

攻防对抗之杀软穿透驱动揭秘

杀软版的ARK就是这个东西，穿透处理驱动，就是为处理驱动木马而研发的，几乎全部杀软都有，本质上也算是一种内核对抗了。

隔山打空气

00006666 发表于 2025-2-11 21:51
要我说，本质上所有带穿透处理驱动的杀软，都算有内核对抗，文件/注册表穿透驱动本质上就是直接去内核层 ...

可能是我理解的有点问题（）

确实光顾着防忘了反击了 直接当ELAM一笔带过（）

00006666

隔山打空气 发表于 2025-2-11 22:52
可能是我理解的有点问题（）

确实光顾着防忘了反击了 直接当ELAM一笔带过（）

ELAM出现之前，杀软的依靠就是穿透处理驱动+别的底层扫描驱动、直接磁盘解析驱动等，穿透处理驱动本身就能处理大部分驱动木马，现在依然在改进这些驱动，毕竟ELAM不能解决所有问题。

驭龙

00006666 发表于 2025-2-11 22:05
攻防对抗之杀软穿透驱动揭秘

杀软版的ARK就是这个东西，穿透处理驱动，就是为处理驱动木马而研发的， ...

现在的迈克菲个人版和Avira最新版都没有ARK驱动级的模块，即便把穿透驱动玩到最溜的ESET，也还是有接入ARK驱动(半驱动级)模块的，而我觉得单纯依靠R3的DLL调用NT函数进入R0，强度还是稍微差一点点的
而卡巴 avast 360 蜘蛛 SEP 等都是有驱动级ARK驱动的，很久很久以前Avira就没有ARK驱动，虽然ESET的ARK是穿透DLL（不算真标准驱动）注入system中，可实际上的强度还是比不上卡巴和avast，甚至是比不过360

nvwcc

大蜘蛛？貌似是少数可以直接安装在感染的计算机上，还能杀毒的软件

wwwab

00006666 发表于 2025-2-11 21:48
检测驱动木马算不算内核对抗？如果算的话，那是不是所有带文件穿透驱动的杀软，都算有内核对抗？

我觉得检测驱动木马并清除、处理的能力。也就是说，内核Rootkit驱动正在running，然后上去一脚给他踹下去的过程（重点在于具有自保、对抗等功能的恶意驱动正在运行，然后给他强制剥离了），这么一种能力。

当然，首先第一步是要检测到恶意驱动，然而很多恶意驱动有自保、对抗等功能，例如隐藏自身、使自身路径位置不存在、利用minifilter阻止自身被读取、文件重定向到其他驱动、阻止防病毒和ark工具驱动启动等等，国内很多不做驱动对抗的产品如果直接在染毒环境下进行常规的扫描的话，其实是扫不出那些高强度恶意驱动的，因为本质上只是常规一般的遍历目录内文件（rtk隐藏自身并使自身路径位置不存在就遍历不到），然后进行读取扫描（rtk利用minifilter阻止自身被读取就无法读取无法扫描到），而是专门把感染此类威胁的检测和处理机制下放到了工具箱里面专门的名为 急救箱/专杀工具 之类的产品工具中。
由于内核恶意驱动处理不妥存在较高风险，那些工具查杀完成内核恶意驱动如果处理措施不当可能具有引发蓝屏、系统无法启动等因素，那些才是进行驱动对抗操作的，也不可能把这些高风险函数投放到常规产品里面。

对于内核rtk驱动来说，成功加载之后，有自保、有对抗，还能够扫描到，并且能够在running时干掉，那这个查杀驱动就是有驱动对抗能力的。

wwwab

pyic 发表于 2025-2-11 12:50
国外：爱维士Avast!、卡巴斯基Kaspersky、比特梵德BitDefender、HitmanPro.Alert、科摩多COMODO、Emsisoft ...

对抗对抗，顾名思义，你和对面驱动都加载进R0之后互相博弈才叫对抗，从某种意义上来说就是内核恶意驱动的染毒后清除驱动所需要具备的能力。
你说的在对面驱动加载前，拦截对面加载驱动，这个不属于对抗的范畴，对面本质上还没进R0，你是拦截他释放驱动、加载驱动进入R0，不是驱动对抗，但是的确是现在国内杀毒主要的手段之一，因为你在对面驱动加载之前确实可以随便拦截，一旦对面驱动已经加载进R0层了那就麻烦了，你想拦都拦不住了，对面驱动很强劲的话就只能用急救工具的对抗手段了。

wwwab

yxzdennis 发表于 2025-2-11 16:58
之前看到过文章 有介绍过zhudongfangyu.exe这块就是mj0011大佬用汇编写出来的怪兽吧

360的进程很神奇，经过很多人实验下来，我听说，影响360单步和多步的主防进程似乎是那个360Tray.exe，而好像不是那个zhudongfangyu.exe，那个zhudongfangyu.exe不知道是起什么作用的

wwwab

隔山打空气 发表于 2025-2-11 18:29
如果你说的内核对抗是包括恶意软件在不尝试攻击安全产品的情况下的检测和清除，那其实挺多安全产品都可以， ...

卡巴的klupd_klif_arkmon.sys不是之前还Hook火绒/火绒剑的sysdiag.sys驱动（挂IAT Hook和IRP Hook）防止被火绒剑强删，结果没有把火绒的sysdiag.sys驱动分析透彻，判断错了设备对象，然后把同时安装卡巴和火绒的用户电脑搞崩了吗

驭龙

wwwab 发表于 2025-2-12 08:29
360的进程很神奇，经过很多人实验下来，我听说，影响360单步和多步的主防进程似乎是那个360Tray.exe，而 ...

是的，我之前关注过，卫士的很多防御模块都加载在360tray这个用户进程中，当然也不是全部防御功能都有赖于360tray进程，只是很多功能如此