传统印象中ESET的自保很弱，那现在ESET的自保怎么样了？【ESET通过AVC自保测试】

超超~.~

呼啸山庄 发表于 2025-5-6 16:18
我刚试了，卡巴斯基的入侵防御里网络权限不起作用，ESET的防火墙也是，冰盾用禁止进程联网倒是起作用了。 ...

是这样的，卡巴和ESET我都测试了，限制联网的规则不生效，让我以为非虚拟网卡模式可以完全绕过防火墙。冰盾确实是可以拦截联网的。

超超~.~

Im_Zeus 发表于 2025-5-6 17:25
你说的这个软件我也在用，提权问题说是在修还没好，有点慌。另外这个不用虚拟网卡用另一个模式不被防火墙 ...

我简述一下之前跟GPT对话的结果：

1, 防火墙与它并非同一层级
非虚拟网卡模式，工作在应用层（OSI 第7层），将支持 WinINet/WinHTTP 的程序的 HTTP/SOCKS 请求转发到本地（如 127.0.0.1:*）。Kaspersky 防火墙（WFP 驱动）基于 Windows Filtering Platform（WFP），挂钩在传输层和网络层（OSI 第3–4层），拦截所有出入网卡及环回的数据包，不依赖于应用层设置。因此，非虚拟网卡模式并不会“绕过”或“废掉”防火墙；防火墙依旧能在网络层对任何目标 IP/端口的包做规则匹配和拦截。

2, “应用网络规则”为何对本地回环无效
应用网络规则（Application Network Rules）仅在 WFP 的 ALE（Application Layer Enforcement）子层，对非环回地址的数据包按应用程序标识执行“允许”或“阻止”操作。环回流量例外，Windows 的 WFP 有专门的环回检测标志（FWP_CONDITION_FLAG_IS_LOOPBACK），但ALE 子层默认不会对环回流量应用应用网络规则，这意味着向 127.0.0.1 发起的连接，不论规则中如何禁止对应应用，都不会被拦截。换言之，您在「应用网络规则」里做的禁止操作，只过滤直接经网卡发出的流量，对发往本地的环回包无效。

3, 防火墙“仍然在工作”，只是应用规则不覆盖环回
包规则（Packet Rules）可拦截环回，如果您使用“网络包规则”（Packet Rules），可在更低层（IPPacket/Transport）对环回接口的流量进行拦截，但此类规则全局生效，无法针对特定应用做例外。应用规则仅限非环回，只要流量交给本地（经环回），就跳过了应用层的进程标识检查，不是防火墙失效，而是该规则类型本身不适用。因此，非虚拟网卡模式并没有禁用防火墙，而是让防火墙的「应用网络规则」对这部分环回流量“看不到”，从而导致您无法按应用区分允许或阻止。

4, 结论——防火墙未被废除，仅应用规则生效范围有限
（1）防火墙核心功能（包过滤）依旧正常：所有经过物理网卡和环回接口的数据包仍会被 WFP 驱动捕获并可按包规则处理。
（2）“应用网络规则”无法拦截环回流量：因为它们只针对非本地地址的应用层连接，非虚拟网卡模式使程序流量先行发往本地环回，从而绕过了这部分规则
（3）不等于“防火墙全部失效”：您依然可以通过网络包规则封堵 127.0.0.1:*，但这会影响所有经由该端口的流量；要实现按程序精细化控制，需使用 虚拟网卡模式或第三方分流工具。

因此，开启非虚拟网卡模式后，防火墙并未被“废掉”，只是您所用的「应用网络规则」对本地生成的环回流量无效，导致看似“规则失效”而已。

反正我也看不懂，就当这么用没啥事儿了。

超超~.~

bbszy 发表于 2025-5-6 17:29
sep的墙也有这个问题，允许了虚拟网卡相关软件的网络连接，通过他联网的软件就都放行了。

问题是类似的，区别是，我这边用了虚拟网卡，防火墙的规则是全部正常生效的，不用这个模式，就跟sep一样了。

1518589226

超超~.~ 发表于 2025-5-6 01:23
了解得越多越深入，纠结的问题就越多，哈哈哈哈。我台式机和笔记本都换了卡巴之后就不纠结这个问题了。
...

我倒是觉得，，，卡巴斯基小问题也很多，，也没想象中那么流畅，，，（我是N年老用户）

bbszy

超超~.~ 发表于 2025-5-6 20:20
问题是类似的，区别是，我这边用了虚拟网卡，防火墙的规则是全部正常生效的，不用这个模式，就跟sep一样 ...

我都没注意卡巴也管不住

超超~.~

bbszy 发表于 2025-5-6 22:32
我都没注意卡巴也管不住

如果不是折腾输入法，我也注意不到，卡巴规则不生效

呼啸山庄

超超~.~ 发表于 2025-5-6 20:19
我简述一下之前跟GPT对话的结果：
反正我也看不懂，就当这么用没啥事儿了。

跟我猜的的差不多（几乎是下意识的认为是与WPF有关）。但应该没有我想的那么危险，毕竟出口的网址/ip应该还是能正常检测拦截，但会不会影响到IPS/NAP/WebShield/NTP/...应该是个问题？

bbszy

超超~.~ 发表于 2025-5-6 22:38
如果不是折腾输入法，我也注意不到，卡巴规则不生效

bd的防火墙可以拦截。

不生效的原因应该是放行了svchost，dns从这里走，可以利用这个进程进行联网。

现在的防火墙不比当年了，颗粒度只到应用程序，不具备对单独模块的拦截能力。

驭龙

bbszy 发表于 2025-5-6 23:48
bd的防火墙可以拦截。

不生效的原因应该是放行了svchost，dns从这里走，可以利用这个进程进行联网。

dr.web的防火墙还在玩SOCKS 5以及WFP也是完整支持的

慢慢的

好久没用过ESET 了，以前感觉还不错。。