现在卡巴斯基还是杀毒软件第一梯队吗？

显示全部楼层 · 发表于 2025-7-14 16:51:05

SakuraLuo25 发表于 2025-7-14 14:00
AI就算了，建议在论坛里还是尽量发表自己的看法，AI基本不准

鉴于你在“最近看了卡巴斯基的测评和测评报告”后就发本帖提问，我建议你还是学习下杀软或者叫安全软件的工作原理。
其他比如买商品或服务、求职、找合作伙伴等等也是类似逻辑，要想一下背后的原理或原因等内在的东西。
否则……上当受骗是不可避免的。

显示全部楼层 · 发表于 2025-7-14 17:12:19

万维网发表于 2025-7-14 16:48
【eset就没有注入拦截】
我没读过书，你可别骗我哈哈

没骗你哦
你可以自己试试看写最基础的remote thread create方式
加载未经处理的cobaltstrike载荷
只能触发eset的内存防护（载荷已经执行）
eset并不能拦截注入过程，也不能溯源注入进程哦

显示全部楼层 · 发表于 2025-7-14 18:01:41

Fadouse 发表于 2025-7-14 17:12
没骗你哦
你可以自己试试看写最基础的remote thread create方式
加载未经处理的cobaltstrike载荷

哦，你会写代码？
你丝袜蒙面，一身强盗装扮，我家的保安让你进来了，因为保安知道你手里拎着两瓶茅台是照例来找我喝酒的。
但是就能因此得出所有强盗我家保安都会放进来的结论？就能得出我家没有保安的结论？就能得出天网监控不知道你从哪来的结论？就能得出保安没有自卫和攻击武器的结论？
我没读过书，你这个会写代码的人可别骗我哦，哈哈，哈哈哈

显示全部楼层 · 发表于 2025-7-14 18:27:59

本帖最后由 Fadouse 于 2025-7-14 18:31 编辑

万维网发表于 2025-7-14 18:01
哦，你会写代码？
你丝袜蒙面，一身强盗装扮，我家的保安让你进来了，因为保安知道你手里拎着两瓶茅台是 ...

如图所示，注入到系统进程完全不拦截，只有内存防护一直再报毒
甚至还是定时扫描，也就代表着不是因为注入行为触发的内存扫描。。
eset也不会主动杀系统进程（保证系统稳定）
后台c2正常建立链接，主机上线

参考代码：Fadouse/BypassETWDirectSyscallShellcodeLoader: BypassETWDirectSyscallShellcodeLoader is a robust C++14 application designed for secure and stealthy shellcode execution. It incorporates advanced anti-debugging and anti-sandboxing techniques to evade detection and analysis, making it suitable for penetration testing and security research.

显示全部楼层 · 发表于 2025-7-14 18:44:12

Fadouse 发表于 2025-7-14 18:27
如图所示，注入到系统进程完全不拦截，只有内存防护一直再报毒
甚至还是定时扫描，也就代表着不是因为 ...

不用说这么多的，就ESET的默认状态，DBI除了能杀几个特定类型的威胁，基本上就是个遥测工具，根本没有什么拦截能力，更不用说什么注入了，哈

显示全部楼层 · 发表于 2025-7-14 18:58:01

内存防护一直再报毒

后台c2正常建立链接

我还以为内存扫描能清除威胁呢，呜呜

显示全部楼层 · 发表于 2025-7-14 19:46:49

Rukia 发表于 2025-7-14 18:58
我还以为内存扫描能清除威胁呢，呜呜

ESET AMS不能删除威胁，只是阻止线程的操作，甚至不能结束相关进程。

总结一句话，AMS只是个报警器，它报了，就告诉你一声中毒了，就没有后续内容了，不要指望它能防毒或者清毒

显示全部楼层 · 发表于 2025-7-14 19:56:40

万维网发表于 2025-7-14 16:51
鉴于你在“最近看了卡巴斯基的测评和测评报告”后就发本帖提问，我建议你还是学习下杀软或者叫安全软件的 ...

不是你这。。。回错人了吧

显示全部楼层 · 发表于 2025-7-14 20:11:45

Fadouse 发表于 2025-7-14 18:27
如图所示，注入到系统进程完全不拦截，只有内存防护一直再报毒
甚至还是定时扫描，也就代表着不是因为 ...

两码事。
你这个只能证明在特定条件下（比如eset的设置和针对性的载荷），eset不能阻断注入。
但是我质疑的，是你前面说的【eset就没有注入拦截】。
没有注入拦截（hips、应用程序监控、系统防护等）是功能缺失的问题，不能拦截注入是能力问题。而且特定的案例也说明不了太大问题。再者，防护或者攻击也不止是进程注入这一种手段。
以前用过eset+comodo的组合，用卡巴是更早之前了，那时候的卡巴还真是“咔吧，死机”，特占资源。

显示全部楼层 · 发表于 2025-7-14 20:22:49

本帖最后由 Fadouse 于 2025-7-14 20:23 编辑

万维网发表于 2025-7-14 20:11
两码事。
你这个只能证明在特定条件下（比如eset的设置和针对性的载荷），eset不能阻断注入。
但是我质 ...

首先注入不属于任何一种载荷类型，注入是属于防御规避(Defense Evasion)的子战术
我可以注入其他进程cobaltstrike载荷，我也可以注入silver载荷，注入是一种执行机器码的方式
其次，eset无法防御任何一种注入技术，从最简单的createthread到poolparty，均无法拦截

不管是哪一种注入手法，均需要以下三个步骤

分配内存
写入内存
执行内存

如果杀软具备防注入防护，即会在以上三个相关api调用时分析并阻止或者触发内存扫描（如卡巴），但eset并没有任何迹象表明其有注入后会有对应的相应。
最后我想说的是，eset的动态防护基本等于没有，实战上要么静态kill要么GG

[问题求助] 现在卡巴斯基还是杀毒软件第一梯队吗？

浏览过的版块