收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 AV-C 企业安全测试2025(3-6月)
12345下一页
返回列表 发新帖
楼主: awsl10000次
 收起左侧

[分享] AV-C 企业安全测试2025(3-6月)

  [复制链接]
辔繇
发表于 2025-7-22 20:39:34 | 显示全部楼层
Rukia 发表于 2025-7-20 11:46
把所穿越火线所有exe文件,ATD 那里排除应该就好了吧。

biubiu游戏加速器,这么排除之后,主防一点动 ...




没用的,更何况游戏文件夹中还有文件夹,exe文件要排除到猴年马月?主动防御拦截的是行为,而不是某一个或某些文件。







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

00006666
发表于 2025-7-22 22:29:42 | 显示全部楼层
本帖最后由 00006666 于 2025-7-22 23:12 编辑
inhh1 发表于 2025-7-20 23:09
BD:在改了在改了(特指在Magniber两年后总算更新出了Kernel侧Syscall检测)

因为业内已经有公开的检测syscall的方法了,基于ETWTI的栈回溯检测

以下内容为别的文章引用https://blog.csdn.net/2301_80520893/article/details/137560720

当你正常的程序使用系统调用的时候。



此时你的流程是主程序模块->kernel32.dll->ntdll.dll->syscall,这样当0环执行结束返回3环的时候,这个返回地址应该是在ntdll所在的地址范围之内。

那么如果是你自己直接进行系统调用。



此时当ring0返回的时候,rip将会是你的主程序模块内,而并不是在ntdll所在的范围内,这点是很容易被检测也是比较准确的一种检测方式。

--------------

那当然现在新的对抗方法也被黑产研发出来了,现在有各种栈欺骗方案,很多方案已经能够很有效的对抗EDR采用的栈回溯检测,所以现在讨论能不能对抗syscall没有任何意义,重点应该是能不能检测调用栈欺骗

@隔山打空气


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

隔山打空气
发表于 2025-7-23 14:36:43 | 显示全部楼层
00006666 发表于 2025-7-22 22:29
因为业内已经有公开的检测syscall的方法了,基于ETWTI的栈回溯检测

以下内容为别的文章引用https://bl ...

首先 我不对BD跟进从最“简单”的indirect random syscall到各种乱七八糟的栈欺骗技术抱有信心 因为他们推进新技术检测速度向来都是不慌不忙乃至十分拖沓的 你等就完事了(

内核ETW(包括ETWTI)至少能够确保对特定API调用的监控稳定性 举个最简单的例子就是检测跨进程注入 ETWTI事件覆盖的多种内存管理API调用行为发生时会产生事件并携带关键信息 即便ret2syscall或者覆写了调用栈也无法屏蔽TI事件本身 这至少对BD的检测能力有很大的加强

讨论能不能有效检测syscall或许对BD不很重要 重要的是能不能免疫syscall 不让自己的监控能力受到类似技术的破坏 有了内核ETW提供的数据源 至少在“免疫”这一概念上前进了一步

当然 对于某些厂商我的要求可是很高的 只是对BD不是而已(






回复

举报

00006666
发表于 2025-7-23 15:22:50 | 显示全部楼层
隔山打空气 发表于 2025-7-23 14:36
首先 我不对BD跟进从最“简单”的indirect random syscall到各种乱七八糟的栈欺骗技术抱有信心 因为他们 ...

栈回溯确实是能免疫SysWhispers和HellsGate这种的
回复

举报

myaladdin
发表于 2025-7-23 15:47:45 | 显示全部楼层
这里没有SEP的评分?
回复

举报

00006666
发表于 2025-7-24 10:39:22 | 显示全部楼层
本帖最后由 00006666 于 2025-7-24 11:20 编辑
隔山打空气 发表于 2025-7-23 14:36
首先 我不对BD跟进从最“简单”的indirect random syscall到各种乱七八糟的栈欺骗技术抱有信心 因为他们 ...

关于EDR是如何使用栈回溯,你可以看Elastic的相关文章

https://mp.weixin.qq.com/s/Tf98bQs9UX0cP0dts8BQ3Q

https://mp.weixin.qq.com/s/CvkNBUJSKPJIX3GCbmEW9A
回复

举报

隔山打空气
发表于 2025-7-24 11:45:53 | 显示全部楼层
00006666 发表于 2025-7-23 15:22
栈回溯确实是能免疫SysWhispers和HellsGate这种的

不是栈回溯免疫 是内核ETW免疫

内核ETW能够覆盖诸如NtQueueAPCThread NtAllocVM NtWriteVM NtSetContextThread(TI仅远程) 等等的API调用走到内核之后产生事件

栈回溯本身是一个过程 遍历抓到调用栈数据之后用于提供额外的信息来增加检测准确度和广度 它也未必依赖于ETW来做支撑 你可以在任何时候发起读取 只要调用栈还存在

还记得三环patchETW函数那种操作吗 对于很多用户模式ETW来说这就算废掉了 但内核ETW很难受影响
回复

举报

00006666
发表于 2025-7-24 12:52:14 | 显示全部楼层
本帖最后由 00006666 于 2025-7-24 13:07 编辑
隔山打空气 发表于 2025-7-24 11:45
不是栈回溯免疫 是内核ETW免疫

内核ETW能够覆盖诸如NtQueueAPCThread NtAllocVM NtWriteVM NtSetConte ...

确实,ETW事件 内核回调 过滤驱动程序 等都可以检查调用堆栈,像syscall这种没有过ntdll的堆栈就非常明显,但凡是个正常EDR都能告警

2023年就有如何用堆栈检测syscall的文章了,至于这么多年过去了,现在还检测不了直接/间接系统调用的EDR或者杀软确实是很垃圾了。


https://malwaretech.com/2023/12/an-introduction-to-bypassing-user-mode-edr-hooks.html

回复

举报

00006666
发表于 2025-7-24 14:58:28 | 显示全部楼层
隔山打空气 发表于 2025-7-23 14:36
首先 我不对BD跟进从最“简单”的indirect random syscall到各种乱七八糟的栈欺骗技术抱有信心 因为他们 ...

一般都是用ETW做栈监控,内核回调那种能监控的函数太少了,至于R3钩子,那就失去监控堆栈的意义了。
回复

举报

pal家族
发表于 2025-7-24 17:00:10 | 显示全部楼层
卡巴似乎不能检测Syscall吧。。
回复

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-8-23 00:04 , Processed in 0.133941 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表