刚才卡巴客服说会加强主防！

DisaPDB

驭龙 发表于 2025-6-21 22:52
为什么说卡巴SW没有ETW规则？据我所知，SW已经是使用ETW技术的主防了

不是说没有 而是数据源是需要写规则过滤的
就卡巴现在这种情况来看绝对没上心去做这方面的东西
不然也不至于现在poolparty还在疯狂特征杀

驭龙

DisaPDB 发表于 2025-6-21 23:18
不是说没有 而是数据源是需要写规则过滤的
就卡巴现在这种情况来看绝对没上心去做这方面的东西
不然也 ...

这个跟ETW没关系吧，因为ETW是通过API调用，微软开放多少函数就是多少，不需要经常更新的，不杀样本应该是行为特征的问题，而不是ETW问题，毕竟第三方安全软件能调用的ETW都是一样的

DisaPDB

驭龙 发表于 2025-6-21 23:37
这个跟ETW没关系吧，因为ETW是通过API调用，微软开放多少函数就是多少，不需要经常更新的，不杀样本应该 ...

不是 ETW有提供数据源
比如Microsoft-Windows-Kernel-Memory
Microsoft-Windows-Threat-Intelligence
Microsoft-Windows-Kernel-Process之类的
实际上这些接口全部通用，你杀毒软件接入之后获取到的数据都是一样的

问题就在于你要不要写规则做拦截

驭龙

DisaPDB 发表于 2025-6-21 23:44
不是 ETW有提供数据源
比如Microsoft-Windows-Kernel-Memory
Microsoft-Windows-Threat-Intelligence

我的意思是说接口都一样，用了差别就不大，卡巴的问题是行为特征不行，就算ETW本身记录了行为，卡巴不杀也是没有用，而不是ETW规则的问题，是行为特征的问题，通常情况下ETW是没有独立特征库的，它只是杀软发现其他程序行为的记录仪

DisaPDB

驭龙 发表于 2025-6-22 00:27
我的意思是说接口都一样，用了差别就不大，卡巴的问题是行为特征不行，就算ETW本身记录了行为，卡巴不杀 ...

我说的是规则 ETW的拦截规则
你都说了ETW数据源通用 那要拦截不应该是杀软自家写规则吗卡巴本质上就是
自动化HIPS 就算接了ETW还是依赖规则的

xuerwei2008

不看广告，看疗效

驭龙

DisaPDB 发表于 2025-6-22 10:47
我说的是规则 ETW的拦截规则
你都说了ETW数据源通用 那要拦截不应该是杀软自家写规则吗卡巴本质上就是
...

问题是ETW是调用的函数，规则不存在更新的情况，现在卡巴拦截不理想，是因为就算ETW有检测到行为，卡巴却不拦截，这是行为分析的特征问题，不是ETW的问题

DisaPDB

驭龙 发表于 2025-6-22 15:44
问题是ETW是调用的函数，规则不存在更新的情况，现在卡巴拦截不理想，是因为就算ETW有检测到行为，卡巴却 ...

我什么时候说的是ETW的问题
我说的是卡巴自己不写规则导致的拦截不力

还有，你告诉我ETW是什么？

使用 ETW 检测代码 | Microsoft Learn

ETW（Event Tracing for Windows） 是 Windows 操作系统提供的一种高效的内核级事件追踪机制，用于记录系统和应用程序的运行日志。它允许开发者和系统管理员收集详细的诊断信息，用于性能分析、故障排查和安全监控。

这玩意是函数？你在想什么？这是通过ETW相关API调用的数据源，和函数有什么关系？你通过EtwEventWrite接入数据池接口，获得的数据一大把，安全软件自己不写规则让ETW自动帮你拦截？是安全软件是懒癌晚期还是微软是圣人？

我就奇怪了 我写几行代码就能接入这么多事件，安全软件不应该写规则吗？你到底在纠结什么？