那些杀软做内核对抗？

显示全部楼层 · 发表于 2025-2-11 21:51:46

隔山打空气发表于 2025-2-11 18:29
如果你说的内核对抗是包括恶意软件在不尝试攻击安全产品的情况下的检测和清除，那其实挺多安全产品都可以， ...

要我说，本质上所有带穿透处理驱动的杀软，都算有内核对抗，文件/注册表穿透驱动本质上就是直接去内核层强扫强删文件、注册表等。

显示全部楼层 · 发表于 2025-2-11 22:05:15

驭龙发表于 2025-2-11 15:42
驱动拦截点不等于ARK的

攻防对抗之杀软穿透驱动揭秘

杀软版的ARK就是这个东西，穿透处理驱动，就是为处理驱动木马而研发的，几乎全部杀软都有，本质上也算是一种内核对抗了。

显示全部楼层 · 发表于 2025-2-11 22:52:53

00006666 发表于 2025-2-11 21:51
要我说，本质上所有带穿透处理驱动的杀软，都算有内核对抗，文件/注册表穿透驱动本质上就是直接去内核层 ...

可能是我理解的有点问题（）

确实光顾着防忘了反击了直接当ELAM一笔带过（）

显示全部楼层 · 发表于 2025-2-11 23:02:07

本帖最后由 00006666 于 2025-2-11 23:03 编辑

隔山打空气发表于 2025-2-11 22:52
可能是我理解的有点问题（）

确实光顾着防忘了反击了直接当ELAM一笔带过（）

ELAM出现之前，杀软的依靠就是穿透处理驱动+别的底层扫描驱动、直接磁盘解析驱动等，穿透处理驱动本身就能处理大部分驱动木马，现在依然在改进这些驱动，毕竟ELAM不能解决所有问题。

显示全部楼层 · 发表于 2025-2-11 23:59:13

本帖最后由驭龙于 2025-2-12 00:31 编辑

00006666 发表于 2025-2-11 22:05
攻防对抗之杀软穿透驱动揭秘

杀软版的ARK就是这个东西，穿透处理驱动，就是为处理驱动木马而研发的， ...

现在的迈克菲个人版和Avira最新版都没有ARK驱动级的模块，即便把穿透驱动玩到最溜的ESET，也还是有接入ARK驱动(半驱动级)模块的，而我觉得单纯依靠R3的DLL调用NT函数进入R0，强度还是稍微差一点点的
而卡巴 avast 360 蜘蛛 SEP 等都是有驱动级ARK驱动的，很久很久以前Avira就没有ARK驱动，虽然ESET的ARK是穿透DLL（不算真标准驱动）注入system中，可实际上的强度还是比不上卡巴和avast，甚至是比不过360

显示全部楼层 · 发表于 2025-2-12 06:09:28

大蜘蛛？貌似是少数可以直接安装在感染的计算机上，还能杀毒的软件

显示全部楼层 · 发表于 2025-2-12 08:17:05

00006666 发表于 2025-2-11 21:48
检测驱动木马算不算内核对抗？如果算的话，那是不是所有带文件穿透驱动的杀软，都算有内核对抗？

我觉得检测驱动木马并清除、处理的能力。也就是说，内核Rootkit驱动正在running，然后上去一脚给他踹下去的过程（重点在于具有自保、对抗等功能的恶意驱动正在运行，然后给他强制剥离了），这么一种能力。

当然，首先第一步是要检测到恶意驱动，然而很多恶意驱动有自保、对抗等功能，例如隐藏自身、使自身路径位置不存在、利用minifilter阻止自身被读取、文件重定向到其他驱动、阻止防病毒和ark工具驱动启动等等，国内很多不做驱动对抗的产品如果直接在染毒环境下进行常规的扫描的话，其实是扫不出那些高强度恶意驱动的，因为本质上只是常规一般的遍历目录内文件（rtk隐藏自身并使自身路径位置不存在就遍历不到），然后进行读取扫描（rtk利用minifilter阻止自身被读取就无法读取无法扫描到），而是专门把感染此类威胁的检测和处理机制下放到了工具箱里面专门的名为急救箱/专杀工具之类的产品工具中。
由于内核恶意驱动处理不妥存在较高风险，那些工具查杀完成内核恶意驱动如果处理措施不当可能具有引发蓝屏、系统无法启动等因素，那些才是进行驱动对抗操作的，也不可能把这些高风险函数投放到常规产品里面。

对于内核rtk驱动来说，成功加载之后，有自保、有对抗，还能够扫描到，并且能够在running时干掉，那这个查杀驱动就是有驱动对抗能力的。

显示全部楼层 · 发表于 2025-2-12 08:24:45

pyic 发表于 2025-2-11 12:50
国外：爱维士Avast!、卡巴斯基Kaspersky、比特梵德BitDefender、HitmanPro.Alert、科摩多COMODO、Emsisoft ...

对抗对抗，顾名思义，你和对面驱动都加载进R0之后互相博弈才叫对抗，从某种意义上来说就是内核恶意驱动的染毒后清除驱动所需要具备的能力。
你说的在对面驱动加载前，拦截对面加载驱动，这个不属于对抗的范畴，对面本质上还没进R0，你是拦截他释放驱动、加载驱动进入R0，不是驱动对抗，但是的确是现在国内杀毒主要的手段之一，因为你在对面驱动加载之前确实可以随便拦截，一旦对面驱动已经加载进R0层了那就麻烦了，你想拦都拦不住了，对面驱动很强劲的话就只能用急救工具的对抗手段了。

显示全部楼层 · 发表于 2025-2-12 08:29:43

本帖最后由 wwwab 于 2025-2-12 08:31 编辑

yxzdennis 发表于 2025-2-11 16:58
之前看到过文章有介绍过zhudongfangyu.exe这块就是mj0011大佬用汇编写出来的怪兽吧

360的进程很神奇，经过很多人实验下来，我听说，影响360单步和多步的主防进程似乎是那个360Tray.exe，而好像不是那个zhudongfangyu.exe，那个zhudongfangyu.exe不知道是起什么作用的

显示全部楼层 · 发表于 2025-2-12 08:38:47

隔山打空气发表于 2025-2-11 18:29
如果你说的内核对抗是包括恶意软件在不尝试攻击安全产品的情况下的检测和清除，那其实挺多安全产品都可以， ...

卡巴的klupd_klif_arkmon.sys不是之前还Hook火绒/火绒剑的sysdiag.sys驱动（挂IAT Hook和IRP Hook）防止被火绒剑强删，结果没有把火绒的sysdiag.sys驱动分析透彻，判断错了设备对象，然后把同时安装卡巴和火绒的用户电脑搞崩了吗

[求助] 那些杀软做内核对抗？

评分

评分

评分

评分