想找一个主防强的辅杀

GDHJDSYDH

骚猪 发表于 2025-7-22 11:56
不过很容易致盲，它和冰盾一样，把回调摘除了就不会重新注册，等于直接废了，跟CCProtect还是有距离

不知道有没有渠道可以反馈一下这个问题，还有就是这个东西过于小众，一般不太容易被针对吧（）

骚猪

GDHJDSYDH 发表于 2025-7-22 12:01
不知道有没有渠道可以反馈一下这个问题

这两自保也是醉了，应该先给冰盾反馈一下，冰盾开发者好像从上次发了更新帖子之后就没上线过，是不是对坛友失望了

这不增加点强有力功能和4.x区别开，别人不愿付费的

GDHJDSYDH

骚猪 发表于 2025-7-22 12:06
这两自保也是醉了，应该先给冰盾反馈一下，冰盾开发者好像从上次发了更新帖子之后就没上线过，是不 ...

话说回来都能进R0摘回调了，感觉能不能重新注册也无所谓了，毕竟Rootkit之类的一旦加载成功不随便Kill杀毒软件吗

骚猪

GDHJDSYDH 发表于 2025-7-22 12:20
话说回来都能进R0摘回调了，感觉能不能重新注册也无所谓了，毕竟Rootkit之类的一旦加载成功不随便Kill杀 ...

还是有区别的，直接杀能察觉到，如果带控制台的EDR直接就被发现了，致盲很难发现，被摘除不重新注册也没有提示，你还以为它正常拦着没问题呢；然后给你再下载一堆Payload你都发现不了

DeepSeek

骚猪 发表于 2025-7-22 11:56
不过很容易致盲，它和冰盾一样，把回调摘除了就不会重新注册，等于直接废了，跟CnCrypt还是有距离

不建议说某个软件跟其他软件有距离，容易起骂战。比如：HMPA在攻击缓解和勒索检测是遥遥领先的，看事情要看优点，而不是因为单一的缺点就说比不上xxxx。(xxxx就是河蟹河蟹河蟹)
摘除回调，属于安全对抗，只有流氓软件，反外{过}{滤}挂软件才会去考虑对抗，怕被别人摘了后逻辑异常。
安全软件是几乎不在内核里面进行对抗（之外wowxxxx也说过了），很多年前因为各种安全软件相互对抗，搞得乌烟瘴气。如果病毒可以进入内核，第一件事，就是把杀毒软件杀了，杀不了的就强制关机后重启杀。有穿透能力的还强删文件。不会有病毒费大精力进入内核了还去摘钩子，然后等杀毒软件恢复钩子。
看看各种BYOVD利用的病毒就知道了。

骚猪

DeepSeek 发表于 2025-7-22 14:24
不建议说某个软件跟其他软件有距离，容易起骂战。比如：HMPA在攻击缓解和勒索检测是遥遥领先的，看事情要 ...

首先啊，你打这么多XXXXXXXXXXXXXXXXXXX我也不知道你在说什么，这是有什么不能说的吗？还有，我比的就只有是否重新注册回调这个事情，你为什么要自行把讨论范围扩大化，然后就变成我说的了？

还有你说的这些个病毒，主要是对付普通杀软的，又是强杀强删又是断网的，动静太大，容易被发现也容易被特征，活不久；致盲只是比较隐蔽，方便持久化和隐藏而已，用来对付谁的也不用多说吧？

然后就是回调和HOOK好像并不是一回事吧？

GDHJDSYDH

骚猪 发表于 2025-7-22 12:27
还是有区别的，直接杀能察觉到，如果带控制台的EDR直接就被发现了，致盲很难发现，被摘除不重新注册也没 ...

冰盾官人回复目前暂时不考虑内核对抗的问题

GDHJDSYDH

骚猪 发表于 2025-7-22 14:59
首先啊，你打这么多XXXXXXXXXXXXXXXXXXX我也不知道你在说什么，这是有什么不能说的吗？还有，我比的就只 ...

我觉得吧，感觉冰盾和HMPA的受众主要还是家庭用户，虽然冰盾想要向企业靠拢，但现在还是难说。总之目前对于这俩主要还是在R3层阻止威胁，防止威胁进入R0层，因此像拆回调致盲EDR这样的内核对抗目前没有考虑也是正常的，一般用户也很少遇到那种APT威胁

骚猪

GDHJDSYDH 发表于 2025-7-22 23:39
我觉得吧，感觉冰盾和HMPA的受众主要还是家庭用户，虽然冰盾想要向企业靠拢，但现在还是难说。[:0 ...

你说的也有道理，不过要走企业路线的话，个人觉得这种柔性的对抗还是要有的，各种花样加驱，万一漏了就尴尬了；现在也不是牛鬼蛇神的HOOK时代了，这种在系统机制框架内的对抗应该不太容易蓝？或者回调失效的时候能加个提醒，至少让用户知道有异常情况出现
HMPA的自保就属实太弱了，直接注册表就能关启动，还得靠冰盾保护

liumailong

KART 可惜没中文。