|
查看: 1038|回复: 5
|
[讨论] 从卡巴切换到BD,再顺便给BD这盘饺子倒了碟醋[复制链接] |
评分 | ||
|
AMD_Ryzen
 |
| |
Copyright © KaFan KaFan.cn All Rights Reserved.
Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-10-29 23:15 , Processed in 0.131072 second(s), 19 queries .
卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。
发表于 
打算围绕ATD整点搭配,核心目的是防止BD被杀,以及ATD监控点失效,有两方面问题需要解决。一个是前面提到的DirectSyscall和NTDLL重载,另一个是防止恶意驱动程序加载,尤其是利用白驱动的BYOVD攻击。对于第二个问题,正好看到大蜘蛛Katana也有免费Beta版了,因为以前也用过一段时间全功能大蜘蛛(当时有很便宜的无技术支持版本),记得大蜘蛛的预防性保护里是有阻止驱动加载的,最后把除了“系统服务”和“程序自启动”以外的选项全改成询问或者阻止(除了这俩,其他的弹窗非常非常少)。而对于第一个问题,后来才发现冰盾就有“拦截直接系统调用”的规则(这个规则同时也拦截NTDLL重载),那很舒服了,为了降低性能影响,直接把冰盾调整成只开“拦截直接系统调用”一个规则,其他行为就让ATD去自己打分吧。不过很快想了想,都用上冰盾了,索性再控制一下自启动,把“禁止添加开机启动项”和“禁止创建计划任务”也顺便打开了
,大蜘蛛只能拦截驱动当场加载,重启就不行了。这么一看大蜘蛛的确必要性不大了,有点纠结了,索性直接全用冰盾就好了。
),这一套下来弹窗也非常的少,性能的话其实完全是BD占了内存占用的大头,Katana+冰盾总共才70MB。冰盾还是很舒服的,以后再发现BD有啥薄弱点直接用冰盾加固就好了,katana再琢磨琢磨回头也卸掉了
楼主
