感觉目前win环境下行为杀还是很弱

咖啡28576

HiG31 发表于 2025-3-9 17:51
效率不行是因为64位和内核隔离什么的难以挂上hook吧，（这方面研究少不懂），难以界定的问题我仍然认为不 ...

之前没说明白其实我，更上面说的是感觉目前win环境下行为杀还是很弱你没看，我也认为主要还是微软平台本身的问题，因为微软不做基线界定，杀毒软件没有能力自己做标准，最后就只能是软件肆无忌惮的高威行为，而杀软必须兼容这种混乱的生态，造成了行为杀难以起效，进而在win平台免杀防护软件很简单（零日漏洞更是无解，要是有完善的基线界定的话，行为查杀对漏洞也该是也能有很强大的防护力，目前的情况基本上是，只要对面能拿出漏洞什么杀软都要凉

liu浪的人

咖啡28576 发表于 2025-3-9 18:16
之前没说明白其实我，更上面说的是感觉目前win环境下行为杀还是很弱你没看，我也认为主要还是微软平台本 ...

零日漏洞更是无解

哈哈，你怕是不知道Windows10之前微软有个东西叫EMET，Windows10之后被合并进了系统，成为安全中心的攻击防护。
虽然我也不是CS专业出身，不懂什么高深的技术，但是我还是劝你多读点书，少发这种民科贴，免得被人笑话。

多变的风向

咖啡28576 发表于 2025-3-9 18:16
之前没说明白其实我，更上面说的是感觉目前win环境下行为杀还是很弱你没看，我也认为主要还是微软平台本 ...

你这帖也没什么技术 你也不是从技术方面分析的 一直提什么行为标准 WINDOWS平台权限放的这么开怎么制定标准？你也没从技术方面分析啊？

多变的风向

咖啡28576 发表于 2025-3-9 18:16
之前没说明白其实我，更上面说的是感觉目前win环境下行为杀还是很弱你没看，我也认为主要还是微软平台本 ...

都是漏洞了那肯定要凉啊 不然还能叫漏洞？ 按照你的思路来讲 能被杀软杀出来的病毒 也可以说它有漏洞 只要是编写出来的程序 都有可能有漏洞 你可以去样本区看下 能做到免疫所有杀软的样本有几个 几乎没有。本身攻防就是一个查缺补漏的过程

HiG31

我认为是因为权限太开放，行为杀才弱的，我感受到的主要是edr的严格和个人杀软的宽松这种鲜明对比

intherain

1. 如果微软能提供类似 macOS “App Sandbox” 或 Android “Scoped Storage” 那样的强制隔离模式，并对老旧软件提供“兼容模式沙盒”，安全性可能会更进一步。虽然有类似的Windows Sandbox、WDAG（Windows Defender Application Guard），以及 Defender 的进程隔离，但这些功能主要面向企业或高级用户。

复制代码

jsyhdl

来看看呢

Fadouse

行为检测策略如果设置过于激进，虽然能有效拦截威胁（如DI的任意shellcode执行和反射DLL加载），但会导致白名单应用的误报率显著上升(米哈游，steam等)，严重影响用户体验。现在主流EDR方案（如S1/CS/PA）全量捕获端点行为并云端关联分析，能在降低误报的同时实现威胁感知如：可疑进程创建、内存注入等行为会实时生成安全事件/或者datalake中有专门的行为标签(s1 的 indicators)

咖啡28576

Fadouse 发表于 2025-3-10 18:17
行为检测策略如果设置过于激进，虽然能有效拦截威胁（如DI的任意shellcode执行和反射DLL加载），但会导致白 ...

给QQ上EDR看出来啥没

Fadouse

咖啡28576 发表于 2025-3-10 19:43
给QQ上EDR看出来啥没

QQNT没有Q盾了
目前未发现扫盘和读取其他进程内存的行为



url，网络请求等事件涉及个人隐私，不方便放出