粗略尝试HP Wolf Security for Business

zealothunter

书承龙大上文：HP Wolf Security是何方神圣？最强主动防御完全是个P【wolf 4.4.18版-下载】https://bbs.kafan.cn/thread-2266338-1-1.html


我们这个烂的没边的研究组虽然有台HP Z4G4用来试一些奇怪的力学和热学分析还有实验结果汇总（当办公室电脑跑不动但没必要占学校超算资源时候会用），但无奈这个机器是带Windows Autopilot的学校资产机，管安全的那帮英国佬还比较固执不允许搞一些奇怪的东西（毕竟有完整的WD for Endpoint），所以也就没法随便试HP Wolf Security 来着（以下简称HPWS，同理HP Wolf Security for Business则为HPWSB）。
前段时间有幸和某校某组交流，得知他们竟然可以买淘汰的学校资产机，遂只花了20 GBP（我也没想到竟然不到200块）让那边的兄弟弄了台没盘没电源带6500t+16G RAM的HP 600G3 dm。很神奇的是这台机器经查序列号装驱动时发现有HPWSB的支持（但没有在支持列表里面），遂准备搞一手看看。

具体安装过程就略过了，和惠普安装驱动是差不多的，不过会检测序列号所在区域+识别是否存在某些特定语言包（之前被坑了一次，因为系统只有中文语言包所以安装直接中断了，但神奇的是它竟然不回滚，导致电脑里有HPWSB但会显示无法连接恶意软件预防）。本机为win11 IoT LTSC 24H2，加装了en-GB英国语言包，以防出现机器序列号和机器语言不对应而再次只安了个残废的软件+后面有别的用处会接英标键盘所以图省事了。
需要注意的是第一次安装惠普官网提供的4.4.2版本也会残废，会出现恶意软件预防和威胁遏制无法初始化的情况。后面使用了龙大分享的4.4.18才解决问题。后面会自动升级到4.4.23.316.
安装后如果一切正常（因为出了次很多不正常的情况）的话，就能出现威胁遏制的功能了。这个威胁遏制说是初始化只需要几分钟，但这个玩意其实初始化了一个半小时。起初以为是CPU太辣鸡或者有FS Protection起冲突拖后腿了，但最后并不是，电脑重装Windows后再装HPWSB时，这个玩意在不占用多少CPU资源也没读多少盘的情况下依然初始化了一个半小时。还有就是不能让它同时全盘扫描，否则威胁遏制会一直卡70%然后回退40%，目测是CPU资源不够所以优先级下降了？


初始化完成后如下图，设置里面也没什么能动的，基本只有恶意软件预防排除和隔离区恢复，威胁遏制里面只有开关、初始化和虚拟机实例视图。安装后静默更新到4.4.23.316，之后会要求重启，重启后会提示FS Protection是可能不兼容软件，所以卸载了FSP。值得一提的是即使提示不兼容，依然可以强制开启恶意软件预防和威胁遏制。


威胁遏制的初始化很频繁，这个东西甚至在电脑没修改任何设置的情况下要求再次初始化。由于设置里描述是操作系统更改后需要+没有执行Windows更新，所以鉴定为抽风。同时如下图可见每次初始化会让micro-VM占用一定的内存和CPU，但你不能动不动就要初始化吧（4次了）？


威胁遏制具体并不知道如何用其他软件实现隔离运行（右键可执行文件没有相关选项），所以只打开了这个惠普搞的Chromium浏览器，这种界面设计有点欣赏不来。运行这个Chromium的话会在实时视图里面看到实例运行。不过Chromium跑起来的时候micro-VM也开始占用更多内存了。



如果用其他浏览器下载东西的话会被拦一下强制扫描一次，但在这个惠普的浏览器里面应该是有预先扫描，所以下载相同可执行文件不会出现如下的提示框。


最后就是比特梵德的ATC了。测试有威胁遏制的情况下ATC是否工作。使用的是比特梵德官方提供的ATC触发程序，描述如下：


然后，就没有然后了……ATC并没有触发。


扫描就不测了，因为已知OEM了比特梵德的引擎。
至于威胁遏制到底遏制了什么文件，也没有在安全警报里面有任何体现，只是测了一个卡巴斯基明确报挂马的网站，HPWSB遏制了，但到底遏制了什么，无从得知，只有遏制威胁计数变化了。

因为后面这台机器可能会再次投入于生产力中，所以就不真测防护能力了。国内洋垃圾里面是否有这种有国外序列号的准系统这件事在此不讨论。至于其他在帮助中描述的功能（凭据保护，应用程序持久化，操作系统复原）我这里没有（操作系统复原好像只支持win10），无法尝试。

也没什么好总结的，只是玩玩而已，顺便给FSP释放个名额转而用WD多个理由。就内存占用来说我更倾向于找个好点的网络环境用KART+FSP或者直接卡巴斯基标准版了，但既然这能白嫖那咱就白嫖了……睡觉！


补充一点：当威胁遏制禁用后，micro-VM进程终止，同时内核也能省出来将近1G的内存。关闭威胁遏制后依然可以打开这个Sure Click Secure Browser，但会阻止任何访问。

ambrosehwok

这个非HP机器可以白嫖吗？Hp个人电脑呢？(我家有两台笔记本)

jason_jiang

ambrosehwok 发表于 2025-4-13 18:08
这个非HP机器可以白嫖吗？Hp个人电脑呢？(我家有两台笔记本)

不能
只支持商用系列，安装时会检测型号

zealothunter

jason_jiang 发表于 2025-4-13 18:35
不能
只支持商用系列，安装时会检测型号

是的，我另一台HP Envy X360可以安装但无法初始化任何组件。但HPWS不先扫描不兼容软件而是先检测序列号再初始化最后报告不兼容软件，总感觉有点判断逻辑顺序错误（总不能是自动尝试有驱动冲突才报告的吧）……

驭龙

我这边因为硬件被标记为#AB2，也就是国行的，所以无法启用威胁遏制，我就放弃这东西了，而且现在的情况是ATC组件没有被启用，这就让它更没有使用价值了

ambrosehwok

zealothunter 发表于 2025-4-13 18:57
是的，我另一台HP Envy X360可以安装但无法初始化任何组件。但HPWS不先扫描不兼容软件而是先检测序列号再 ...

对的，我这边家用Hp就是这样，我以为只有我机器是这样

ambrosehwok

jason_jiang 发表于 2025-4-13 18:35
不能
只支持商用系列，安装时会检测型号

我家的Hp可以安装，安装完后启动不了组件，显示需要激活账号，说试用到期了（我才刚安装，还没使用）

zealothunter

驭龙 发表于 2025-4-13 20:39
我这边因为硬件被标记为#AB，也就是国行的，所以无法启用威胁遏制，我就放弃这东西了，而且现在的情况是ATC ...

这个可能是最后一位(或者3位？）决定的龙大，我这个是#ABU

更新版本后依然有ATC的文件，而且看数字签名还挺新的，不知道为什么不调用。

驭龙

zealothunter 发表于 2025-4-13 21:03
这个可能是最后一位(或者3位？）决定的龙大，我这个是#ABU

更新版本后依然有ATC的文件，而且看数字签 ...

我这边是#AB2，而这正是安装包代码的限制之一，你这ABU不在限制名单中

这主防确实是不启用的，但一直是更新的状态，怀疑是付费控制端才能开启的功能

zfc234

正好手上有个放在学校办公室写论文的hp笔记本，试了一下，也不知道有没有成功启用=。=等会儿测一下



更新完以及初始化完成



同样，测试atc的文件没有任何反应，样本区找了一个最近的勒索，解压击杀，还找了个cobalt strike，也是解压即杀，但是查了一下VT，和BD报毒名称不一样，是不是自己AI引擎检出的。。。



不知道还有没有别的方式测试ATC
更新1：回家以后我又在我的暗影精灵上成功安装（8代i7+2070maxq, 19WW1GMT601#SABU#DABU）
更新2：本来想和webroot组一个轻量组合，可以wolf security不兼容webroot，作罢，老老实实MD+HPWSB