现在卡巴斯基还是杀毒软件第一梯队吗？

万维网

Fadouse 发表于 2025-7-14 20:22
首先注入不属于任何一种载荷类型，注入是属于防御规避(Defense Evasion)的子战术
我可以注入其他进程cob ...

【如果杀软具备防注入防护，即会在以上三个相关api调用时分析并阻止】
不能分析（实时监控）并阻止，那它的hips模块（eset或许叫另一个名称，忘记了）在做什么？

隔山打空气

万维网 发表于 2025-7-14 20:40
【如果杀软具备防注入防护，即会在以上三个相关api调用时分析并阻止】
不能分析（实时监控）并阻止，那 ...

向不受信任的进程注入三环钩子，挂钩用户态函数来获取对内存管理API（与上述行为密切相关）的可见性

然而在现在白利用 syscall和拆钩以及各种各样的构造rop等等技术满天飞的情况下这种监视基本等同于不存在

Rukia

隔山打空气 发表于 2025-7-14 20:49
向不受信任的进程注入三环钩子，挂钩用户态函数来获取对内存管理API（与上述行为密切相关）的可见性

...

EDR产品会不会好一些？

隔山打空气

Rukia 发表于 2025-7-14 21:28
EDR产品会不会好一些？

ESET Enterprise Inspector那个起售设备量高 MITRE测试里面可见性又不太行（

我个人觉得很难有什么根本性改善 有兴趣的也可以对着技战术测试看告警对照一下 推断一下大致情况

alovelydoge

Rukia 发表于 2025-7-13 15:54
尤其针对360

是的

万维网

隔山打空气 发表于 2025-7-14 20:49
向不受信任的进程注入三环钩子，挂钩用户态函数来获取对内存管理API（与上述行为密切相关）的可见性

...

即便如你所言，那也还是我说过的：不是功能缺失问题，而是能力问题。

最通俗易懂的比方：
没有小弟弟那是功能缺失问题；
有小弟弟，但是有的人大坚热三气皆备且有技巧且耐力好，有的人则是软塌塌且没技巧且三分钟完事儿，那是能力问题。@Fadouse 【eset就没有注入拦截】说的是eset功能缺失，不符合事实。
客观事实不容狡辩。
而且，测试所用eset的版本及设置均不明确（我前面提过）。比如根本就没有防火墙的单纯的反病毒，那可不就是【后台c2正常建立链接，主机上线】了嘛。
还有一点谁也无法否认的是，eset在独立第三方机构的评测和实战中的表现，并没有那么不堪。

我并没有很多兴趣和时间去了解具体的技术细节，杀软于我而言，就像制动系统对于快递小哥的电动三轮车一样，就是个让工具更好用的部件而已。

我并不是说eset有多好（我昨天来论坛注册是想重新启用卡巴），而是想表达：要客观。

万维网

SakuraLuo25 发表于 2025-7-14 19:56
不是你这。。。回错人了吧

没回错。
如果你吸收不了，那就无视吧，当我什么都没说。

隔山打空气

万维网 发表于 2025-7-15 00:28
即便如你所言，那也还是我说过的：不是功能缺失问题，而是能力问题。

最通俗易懂的比方：

证明注入检测不存在本身就是一件几乎不可能完成的事情 这种东西甚至能够仅使用进程创建回调通知（+内核ETW监视网络连接）就完成一部分歪门邪道浑水摸鱼式检测 而根本不需要对内存管理API有任何的可见性 这点没办法 如果硬杠的话火绒那种实现都能做得到 那就有点过分宽容了 但明眼人一看都知道这种实现除了黑箱偷袭坑攻击者一把之外基本上不存在对抗能力 很难说是真正的注入检测

不用质疑设置不明确 从ESET的各种技术实现到实际检测对抗基本都有完整的文章进行原理分析和实操指示 甚至还有工程喂饭到嘴边的 不要在这种地方质疑测试作弊 这根本站不住脚也没有任何意义

您要表达的是客观 可您的回复似乎充斥着傲慢和部分前置知识的缺失 从上到下的论调一改再改 我很难说用这种方式究竟能不能收获客观和尊重 但您首先就没有把这样的要求加给自己

万维网

万维网 发表于 2025-7-15 00:40
**** 该帖被屏蔽 ****

解释一下，不是故意重复。是第一次回复的时候提示啥错误，然后没多想就刷新页面重新回复了。
发过后自己也看到发重了，但是没法删，试着点“编辑”进去就真的只是编辑，删不了。