本帖最后由 驭龙 于 2025-9-12 18:01 编辑
虽然但是,我一直在吐槽Dr.web的这个公司的态度,但我还是有关注这哥们儿的信息,其实上个月末我是准备发一个关于VFE有较大更新的和Dr.web体系的功能介绍帖子,不过考虑到我没时间,又不想单单发一个VFE更新的帖子,我就放弃了。
这次看到Dr.web有比较大的新功能在测试,我就来发个帖子吧,下面是俄语官方原话:
В бету вышла новая фича, защита от компрометации через легальные уязвимые драйвера, алгоритм не опирается на какие то конкретные драйвера, он универсален. Только для 64 битных ОС. Нужно убедится в первую очередь в ее стабильности.
В нашем журнале Doctor Web появился новый источник событий - Dr.Web Eventmon, туда в стандартизированном виде, где все поля фиксированны, выводятся события старта, завершения процессов, загрузки модулей, драйверов, записи в буты и т.д. для последующей интеграции в внешние средства аля SIEM, не нужно больше копаться в логах и строить цепочки событий. Фича пока покрывает базовые вещи, если что ещё нужно ИБ командам, сообщите, добавим.
机器翻译一下:
我们推出了新功能——通过合法易受攻击的驱动程序防止系统被入侵的防护机制。该算法不依赖特定驱动程序,具有通用性,仅支持64位操作系统。首先需要验证其稳定性。
在Doctor Web日志中新增了事件源——Dr.Web Eventmon,它以标准化格式输出固定字段的事件,包括进程启动/终止、模块/驱动程序加载、注册表写入等,便于集成到外部SIEM类工具中,无需再手动分析日志和构建事件链。目前该功能仅覆盖基础功能,如果信息安全团队有其他需求,请告知我们将进行补充。
这是啥?难道不是针对各种 Vulnerable Driver或者BYOVD的功能吗?如果实装,那Dr.web会不会是抓狐小能手了?这几天没测试,具体效果如何我真不知道。
还有就是上面我提到的VFE在上个月末更新了一次,日志依然是写内部更改和稳定性调整的通用内容,但据我所知,他们有新的东西也是不说的,只有正式版的更新公告中有部分提及,所以我们根本不知道VFE内部更新什么功能,不过看这文件的大小起码增加百分之十,这是前所未有的事情,因此推测VFE内部变化不小。
前天官方更新了这个VFE版本的更新内容:
Dr.Web Virus-Finding Engine
Introduced internal changes aimed at improving the efficiency of handling diverse detection types and file processing.
简体中文翻译:
Dr.Web 病毒查找引擎
引入了内部改进,旨在提升处理多种检测类型及文件处理的效率。
还是没有说具体的变化,不过确实是有说提升多种检测类型的更新,还算有一些看得见的描述,而测试版的日志都是一句:修复错误,内部稳定性改进。
这真的是啥也看不出来啊 |
[复制链接]
发表于 2025-9-12 15:38:19
楼主
