那些杀软做内核对抗？

驭龙

tdsskiller 发表于 2025-2-12 16:58
所以avast自己驱动也跑不掉，卡吧全家福也难逃老外的魔爪，别说禁别人的驱动了，自己的都要被别人禁。
...

我觉得现在是安全软件有一部分检测隐蔽驱动的能力就可以，纯粹的防rootkit是不太可能，还是交给微软的内核隔离吧，虽然也被过的体无完肤，哈哈

听说国外有的威胁自带轻量化的硬件虚拟化来防安全软件的检测，自己在硬件虚拟化环境中运行，这种级别的rootkit，我感觉安全软件的ARK再强也检测不到，目前卡巴的ARK是安全软件中比较强的，但在这种威胁面前，好像根本没意义，而且卡巴的ARK驱动很容易导致蓝屏，这也是我不太用卡巴的原因之一。

蓝屏是我最不喜欢的状况了，所以我倾向于选择有一定检测隐蔽驱动或者内存监控的安全软件，又有不错稳定性的产品，所以360卫士不搞对抗的做法，我是很赞同的

wowocock

pal家族 发表于 2025-2-12 17:06
大佬 急救箱运行之后残留bapidri驱动（扒皮驱动）怎么解决好
驱动删不掉 有自保。

手动删除注册表即可。应该没保护，不过WIN10以后，驱动已经加载的话，你可能手动删不了文件。

wowocock

驭龙 发表于 2025-2-12 17:09
我觉得现在是安全软件有一部分检测隐蔽驱动的能力就可以，纯粹的防rootkit是不太可能，还是交给微软的内 ...

无所谓除非你不加载，只要你加载到内存运行，都能检测到。前提是检测驱动比恶意驱动先加载。如果发现有急救箱红强力模式下无法检测到的木马驱动，记得发样本给我。

tdsskiller

wowocock 发表于 2025-2-12 18:21
无所谓除非你不加载，只要你加载到内存运行，都能检测到。前提是检测驱动比恶意驱动先加载。如果发现有急 ...

后加载也有风险的吗？

驭龙

wowocock 发表于 2025-2-12 18:21
无所谓除非你不加载，只要你加载到内存运行，都能检测到。前提是检测驱动比恶意驱动先加载。如果发现有急 ...

所以现在ELAM已经是标配了，不过，好像防御驱动的加载优先级也很重要吧？我看ESET的筛选器驱动加载优先级就特别靠后，好像是个rootkit都能在它之前加载，如果没有ELAM的话，ESET基本上是废中废了，这方面还是国内的驱动加载优先级比较高

wowocock

tdsskiller 发表于 2025-2-12 19:10
后加载也有风险的吗？

做的好的ROOTKIT，你在后面加载，基本检测不到，或者处理不了。

faily_1976

有些rootkit都是安全厂里的手子做的