那些杀软做内核对抗？

驭龙

wwwab 发表于 2025-2-12 08:29
360的进程很神奇，经过很多人实验下来，我听说，影响360单步和多步的主防进程似乎是那个360Tray.exe，而 ...

是的，我之前关注过，卫士的很多防御模块都加载在360tray这个用户进程中，当然也不是全部防御功能都有赖于360tray进程，只是很多功能如此

tdsskiller

鉴定为想多了，驱动对抗是假的，只有手动拉黑加云去白是真的，前面的什么bd卡巴，一看就是没有经过国内大规模使用时被针对的惨状，只不过没有被大规模逆向公开罢了。360那种对抗强度，说白了就是经过国内用户不断反馈才知道还有这种操作能把你拿下或者绕过。国内外两种环境，老外对杀软方面的破坏看报道感觉非常少，在利用方面则是非常多，国内是破坏杀软的操作更多，但是利用少

ky476

蓝屏风险太大

tdsskiller

隔山打空气 发表于 2025-2-11 18:29
如果你说的内核对抗是包括恶意软件在不尝试攻击安全产品的情况下的检测和清除，那其实挺多安全产品都可以， ...

只能说，被国人针对一下就老实了，被进了内核你的什么防止对面致盲你都是假的，你想想对面把你的杀软当成rootkit铲除你就知道内核权限有多高多逆天啦，而且杀软是正规软件，没法隐藏内核线程，钩子，进程等等，人家上来的rootkit和半自动ark一样直接干你你一点办法没有，这也是wowo说过急救箱最大的软肋
阻止驱动加载方面，我只能说，使用量大的驱动都禁止不了，别想了，360被投诉过这个事情

隔山打空气

tdsskiller 发表于 2025-2-12 09:43
只能说，被国人针对一下就老实了，被进了内核你的什么防止对面致盲你都是假的，你想想对面把你的杀软当成 ...

进来了确实麻烦，只要对面肯干（

BD那个检测之前某个玩挂的顺手摸摸就给过掉了，乐

驭龙

tdsskiller 发表于 2025-2-12 09:43
只能说，被国人针对一下就老实了，被进了内核你的什么防止对面致盲你都是假的，你想想对面把你的杀软当成 ...

我感觉avast自我保护中那种阻止驱动加载的功能，如果在国内大面积使用，肯定被骂的惨不忍睹，现在确实是不应该在用户的电脑上搞对抗，毕竟安全软件有先天劣势，一旦对抗蓝屏，用户肯定会认为是软件问题，导致更换产品。

其实现在除了俄系安全软件和avast还有BD搞对抗多一些外，国外很多安全产品也不太搞对抗了，把锅甩给微软了，哈哈

wowocock

最好是进PE下处理，带毒情况下，就看木马作者得能力了，好在大部分都是半吊子。

00006666

wwwab 发表于 2025-2-12 08:17
我觉得检测驱动木马并清除、处理的能力。也就是说，内核Rootkit驱动正在running，然后上去一脚给他踹下去 ...

扫不出来另说，但就360而言，卫士有dsark.sys和bapidrv.sys这类穿透处理驱动，win10版本还有卫士木马扫描界面强力扫描才启用的ELAM驱动360elam64.sys，这些不都属于内核对抗。

至于那些做强过滤拦截的驱动木马，确实很难处理，才要用到急救箱等工具。水平不高的驱动木马用不到急救箱，现在用ELAM基本也能处理。





360卫士自带的强力模式，启用后需要重启使用ELAM驱动，能处理大部分水平不高的驱动木马，除非遇到对抗性特别强的，360卫士被严重破坏、打不开、驱动加载失败，才需要用急救箱，急救箱本身用了更多复杂的底层技术，扫描策略也比卫士严格，能扫出来没被拉黑的驱动木马。

tdsskiller

驭龙 发表于 2025-2-12 10:12
我感觉avast自我保护中那种阻止驱动加载的功能，如果在国内大面积使用，肯定被骂的惨不忍睹，现在确实是 ...

所以avast自己驱动也跑不掉，卡吧全家福也难逃老外的魔爪，别说禁别人的驱动了，自己的都要被别人禁。
国内和国外是两种思路，泛滥的东西也完全不一样。
国内是自签名，whql裸签名，接地气签名，偷大厂签名的黑驱动直接干你。
国外不搞这种交钱签名的活，他们喜欢exploit，喜欢从信任机制来干你，国内对于白利用的公开极其罕见，你只能在国产外{过}{滤}挂中看见几些大手子的逆天驱动，那种都是初见杀，处于反作弊白名单那种。而老外则是天天开源各种驱动的利用和0day。

pal家族

wowocock 发表于 2025-2-12 11:21
最好是进PE下处理，带毒情况下，就看木马作者得能力了，好在大部分都是半吊子。

大佬 急救箱运行之后残留bapidri驱动（扒皮驱动）怎么解决好
驱动删不掉 有自保。