【还是入的问题】安全软件做内核对抗是否有意义？

显示全部楼层 · 发表于 2025-2-13 19:22:33

预防Rootkit的最好办法就是不要让它取得权限，一旦取得近乎无限的权限，就有一万种办法活下来，整个系统就不再可信了

显示全部楼层 · 发表于 2025-2-13 20:40:04

驭龙发表于 2025-2-13 17:47
只要买对应的商用电脑就有，但仅限特定品牌的商用产品，价格跟品牌机差不多

有单卖的主板支持这些的吗？比如贵一点的游戏主板

显示全部楼层 · 发表于 2025-2-13 20:55:09

pal家族发表于 2025-2-13 20:40
有单卖的主板支持这些的吗？比如贵一点的游戏主板

单独的主板，我很少关注，没注意，之前无聊问豆包这个问题，但有一点所答非所问的感觉，哈

不过好像贵的主板应该有固件还原黄金版固件的功能吧，具体有没有硬件虚拟化级的BIOS保护，就不清楚了

显示全部楼层 · 发表于 2025-2-13 23:11:28

驭龙发表于 2025-2-13 20:55
单独的主板，我很少关注，没注意，之前无聊问豆包这个问题，但有一点所答非所问的感觉，哈

不过好像贵 ...

秒杀一切bootkit：编程器

甚至不用学会上烙铁

显示全部楼层 · 发表于 2025-2-13 23:27:51

pal家族发表于 2025-2-13 23:11
秒杀一切bootkit：编程器
甚至不用学会上烙铁

这个，我玩不了，你懂的。

所以我只能依靠电脑自带的功能了

显示全部楼层 · 发表于 2025-2-14 03:46:11

pal家族发表于 2025-2-13 20:40
有单卖的主板支持这些的吗？比如贵一点的游戏主板

牙膏厂有 Boot Guard
如果 PCH 的 ME 是工厂模式似乎可以试试自己烧密钥进去

显示全部楼层 · 发表于 2025-2-14 11:51:08

StarlitFuture 发表于 2025-2-13 19:22
预防Rootkit的最好办法就是不要让它取得权限，一旦取得近乎无限的权限，就有一万种办法活下来，整个系统就 ...

对的。

Rootkit做了什么不重要，重要的是：它已经颠覆了整个信任链。

显示全部楼层 · 发表于 2025-2-14 11:52:57

驭龙发表于 2025-2-13 13:29
昨天在电脑上手机拍的图，没开灯，拍歪了，将就看吧。

是的，检测手段必须有，但清除和对抗大可不必。

因为Rootkit的目的就是颠覆整个信任链，此时在意Rootkit做了什么就没有任何意义。

显示全部楼层 · 发表于 2025-2-14 11:56:28

本帖最后由莉塔林Rita 于 2025-2-14 12:35 编辑

pal家族发表于 2025-2-13 20:40
有单卖的主板支持这些的吗？比如贵一点的游戏主板

理论上，技嘉的AERO系列、华硕的ProArt系列有这些功能，但我没有买过。

这些属于单独的“商用工作站/服务器”产品线，因此你可以考虑一下超微/华擎的服务器/工作站主板？
哦，还得CPU支持，例如AMD Ryzen PRO（非零售）/AMD EPYC和Intel Xeon/Core/Ultra的特定型号。

显示全部楼层 · 发表于 2025-2-14 12:24:59

莉塔林Rita 发表于 2025-2-14 11:52
是的，检测手段必须有，但清除和对抗大可不必。

因为Rootkit的目的就是颠覆整个信任链，此时在意Rootk ...

所以我认为没有R0驱动和内存检测rootkit，仅用R3用户层dll调用Nt或者Zw函数来检测rootkit的产品都没必要选择，有的连R3的ARK模块都没有，真不知道用它能干啥

[分享] 【还是入的问题】安全软件做内核对抗是否有意义？