感觉目前win环境下行为杀还是很弱

咖啡28576

Fadouse 发表于 2025-3-10 20:29
QQNT没有Q盾了
目前未发现扫盘和读取其他进程内存的行为

如此说来没有任何隐私威胁有没有检查用户是否使EDR的行为呢？

Fadouse

咖啡28576 发表于 2025-3-10 20:37
如此说来没有任何隐私威胁有没有检查用户是否使EDR的行为呢？

如果有会有日志的 (通过tasklist或者注册表查询安装/注册的av产品)
QQNT确实没有，但不代表老版qq也是如此
可能这里的指标您不知道是什么意思

我让ai帮你总结了份报告
从事件和进程树来看，QQ（腾讯即时通信客户端）在运行过程中触发了多项安全监测指标，这些指标对应到MITRE ATT&CK矩阵中的不同技术点。下面结合每个侦测到的行为，简要分析QQ进程可能做了哪些操作、以及为何会触发这些安全告警。

---

1. Evasion（规避检测）

• HeaderExtensionMismatch（文件头与扩展名不匹配）
  
  
  • 告警内容：文件头与文件扩展名不一致。
  • 可能原因：有些软件会对自身或其组件进行打包、加壳或加密，导致文件头与常规可执行文件的签名不一致，也可能是为了反调试、对抗简单的静态分析。QQ客户端常用自定义打包方式或壳保护，这种技术会导致安全工具报“文件头与扩展名不匹配”的告警。
  • 对应MITRE：Defense Evasion {T1027}，以及 T1480.001（执行混淆），T1036.008（伪装成合法文件）等。
    
• SuspiciousRegistryValue（可疑的注册表键值）
  
  
  • 告警内容：进程创建或修改了一个可疑的注册表键值。
  • 可能原因：QQ可能会在注册表中写入某些键值来实现自动启动、版本更新、或者进行某些配置管理。一些安全产品对在非标准位置或以非标准方式创建/修改注册表的行为会做出“可疑”或“恶意”提示。
  • 对应MITRE：Defense Evasion {T1112}（修改注册表）、T1027（混淆/加密）、T1564.005（隐藏启动项等）、T1480.001（混淆技术）。
    

---

2. General（通用检测）

• AddVehHandler（添加Vectored Exception Handler）
  
  
  • 告警内容：检测到注册了新的“向量化异常处理程序（Vectored Exception Handler）”。
  • 可能原因：一些软件会使用VEH进行异常捕获、调试保护、或实现反调试、加密解密流程。IM软件（如QQ）出于稳定性、保护自己进程不被调试或Hook，也可能使用此机制。
  • 安全影响：这通常是高级的防护或反调试手段。若软件正常可信，则问题不大；若是恶意程序，往往会利用VEH干扰安全产品对自身的检测。
    
• ProcessStartedFromLnk（从快捷方式启动进程）
  
  
  • 告警内容：进程是由.lnk快捷方式文件触发的。
  • 可能原因：用户桌面或开始菜单上的QQ快捷方式被双击运行，这是最常见的启动方式。
  • 对应MITRE：Execution {T1204}（用户执行可疑文件/快捷方式），在正常软件中则是常规行为。
    

---

3. Discovery（信息收集与侦察）

• NetworkConfigurationDiscovery（获取网络配置）
  
  
  • 告警内容：进程尝试获取本机网络配置信息。
  • 可能原因：QQ在启动或连接服务器时，通常需要检测当前网络环境（如是否使用代{过}{滤}理、网卡IP、DNS等），从而决定连线方式、传输协议等。
  • 对应MITRE：Discovery {T1016}（系统网络配置发现）、T1049（系统端口扫描或网络枚举）、T1082（系统信息发现）、T1018（远程系统发现）等。
    
• WmiQueryNetworkConfigurationDiscovery（通过WMI查询网络配置）
  
  
  • 告警内容：进程通过WMI执行查询网络配置的操作。
  • 可能原因：QQ或其组件利用WMI方式获取网络环境信息（如网卡、IP、DNS），这是Windows环境下常见的查询手段。
  • 对应MITRE：Discovery {T1016}、T1049、T1082、T1614（系统资源发现）、Execution {T1047}（WMI执行），Collection {T1119}、Defense Evasion {T1480.001}等。
    
• WmiQuerySystemPrimaryUserDiscovery（通过WMI查询系统主要用户）
  
  
  • 告警内容：进程通过WMI方式查询当前系统的主要用户。
  • 可能原因：一些软件会尝试获取当前登录用户信息，用于显示用户名、区分配置、或者统计分析。
  • 对应MITRE：Discovery {T1033}（系统用户发现），Execution {T1047}（WMI执行），Collection {T1119}，Defense Evasion {T1480.001}等。
    

---

4. Privilege Escalation（权限提升）

• ProcessCreatedWithDifferentToken（以不同令牌创建进程）
  
  • 告警内容：由非SYSTEM进程创建了一个使用不同令牌（token）的新进程，可能涉及进程间的权限变化。
  • 可能原因：QQ在更新、启动子进程或特定功能（比如视频通话、文件传输）时，可能会尝试以更高或不同权限运行子进程，或者进行某种令牌模拟（Token Impersonation）来访问资源。也有些应用程序为了与系统服务通信，会使用某种令牌来执行特定操作。
  • 对应MITRE：Privilege Escalation {T1134.002}（令牌模拟或权限转移），T1078（有效账户的使用），Defense Evasion {T1134.002}，Persistence {T1078}，Initial Access {T1078}等。
    

---

5. 总体分析与结论

• 正常应用可能性：
  QQ是一款体量较大、功能较多的即时通信软件，常常涉及复杂的模块与保护机制。它使用壳保护、混淆、注册表写入、网络与系统信息查询等功能，这些操作在安全审计工具中常会被标记为“可疑”或“潜在威胁”，但对于大型商业软件而言并不罕见。
  
• 为何会被安全工具标记：
  
  
  • 文件头与扩展名不符：软件加壳/加密导致签名不符合常规PE特征；
  • 可疑注册表操作：创建/修改自动启动或配置项；
  • 向量化异常处理：可能带有反调试或自保护手段；
  • WMI查询：获取网络、系统用户信息；
  • 使用不同令牌创建进程：可能涉及自动更新、进程间通信或权限管理。
    
• 是否恶意：
  从主流使用情况看，腾讯QQ并非恶意软件。这些行为通常是QQ在实现自保护、功能检测、系统信息收集时的常规操作。但在严格的安全监控环境中，任何具备加壳、自保护、权限操作的行为都会被标记为可能的“混淆或逃避检测”手段。若环境允许并信任QQ，则可在安全策略中将其列为可信应用；但若在敏感环境（如高安全等级网络）中，需要对这些行为进行更细的审计和管控。
  
  

---

建议

• 确认软件来源及完整性：确保安装包来自官方渠道，避免被篡改。
• 检查注册表与进程行为：若在高安全环境中，可限制其权限或网络访问范围。
• 结合上下文判断：如果确实是QQ的官方进程且未被恶意篡改，可视作正常现象；若有可疑文件名、路径、或数字签名异常，需进一步排查。
  

总之，QQ 进程显示的这些行为多数可归结为正常的即时通讯软件自保护、功能检测或网络环境适配操作，但在安全审计系统中就会产生上述多条告警。结合使用场景和软件来源，基本可判断为正常行为，而非恶意攻击活动。

syswow64

Windows是生产力系统，而不是像Android一样的玩具，Android的限制太严格，默认用户没有管理员权限，什么都干不了，也就能打打游戏刷刷新闻，macOS也是类似，所以只能在消费级市场蹦跶蹦跶，企业级市场根本没人买账。只有装了Windows这种生产力系统的设备，才真正是你的设备，你想干什么都可以，用户拥有真正的管理员权限，你可以了解并操作设备的一切方面。把权限给用户也必然会导致安全性问题，在Android这种高权限限制的系统下，不仅病毒没权限，杀毒软件也没权限，稍微底层一点的都干不了，当然安全。


杀毒软件始终是防御的一方，是被动挨打的一方，只要软件产品公布了，被人研究针对是很正常的事情，什么东西都扛不住研究，连iOS这么封闭的系统被人研究时间长了都能把启动固件拖出来发现一大堆漏洞。而且杀毒软件也要考虑用户的使用需求，如果杀的太狠了就走向Android的方向了，用户能使用的功能受限，很多软件用不了，这又违背了用Windows电脑的初衷，所以杀毒软件讲究的是一个平衡点，能拦住大多数病毒，尽量不影响用户正常使用。


大多数用户其实更看重易用性，中病毒了用户软件用不了，装了杀毒软件用户软件权限受限也用不了，那装杀毒软件和装病毒有啥区别，最后结果都是软件用不了，何况中病毒并不是大概率事件，现在网上已经没有那么多病毒了，更多的是灰色软件。

syswow64

HiG31 发表于 2025-3-9 17:51
效率不行是因为64位和内核隔离什么的难以挂上hook吧，（这方面研究少不懂），难以界定的问题我仍然认为不 ...

效率不行是因为病毒越来越高级了，像勒索这种东西，判断是用户正常文件编辑和异常勒索行为并不容易，处理不好就会出现之前那样软件编译触发主防的误杀事件。


Windows的权限机制这么多年了已经进化的很完善了，默认的Administrator账户都是关闭的，这是生产力系统，也没法限制太多，想要限制可以开一个标准权限用户用一下，我是试过，很多东西都干不了，也就刷刷网页了。

雪羽天歌

syswow64 发表于 2025-4-5 00:47
Windows是生产力系统，而不是像Android一样的玩具，Android的限制太严格，默认用户没有管理员权限，什么都 ...

有道理啊。

Windows作为生产力系统，不仅要考虑个人用户日常使用，更要考虑能带来大量收入的企业用户。
而企业要批量部署、策略管控、脚本自动化、运行各种曾经花了高价定制的旧版本软件等等，这些都意味着企业需要的是更高的灵活性。

而Android和iOS更像是封闭且受限的消费终端，设备是厂商的，用户只是使用者。
系统越来越封闭、越来越依赖签名、沙盒，对安全肯定是有好处的，但牺牲的就是灵活性。
举例：可能四五年前开发的某些软件已经不能跑在最新的系统上了。

杀软也许可以靠严格的权限控制来实现接近“绝对防御”的效果，但如此一来用户的日常使用也会受到明显影响。
不少用户其实连UAC都不想打开吧，更别提更复杂的权限管理了。
所以杀软应该是在安全和可用性之间做平衡，帮助用户识别风险的同时，尽量不干扰用户的正常操作。

123回家

比以前强多了