杀毒软件“退居”用户态？微软 Ignite 2025 带来的安全架构巨变

显示全部楼层 · 发表于 6 天前

杀毒软件以后都是用户态了？？那就可以杀毒软件组合搭配了

显示全部楼层 · 发表于 6 天前

SakuraLuo25 发表于 2025-12-6 09:31
趋势已经凉透了在国内，好像没什么特别的技术了

我不是说亚信

显示全部楼层 · 发表于 4 天前

隔山打空气发表于 2025-11-28 22:29
Elastic就这样的呗基本上除了内核回调之外全是异步ETW数据源对内存操作检测粒度非常细效果很好但遇到 ...

es太依赖内存检测和调用栈了，性能是个问题

显示全部楼层 · 发表于 4 天前

hakuhaku 发表于 2025-12-8 11:46
es太依赖内存检测和调用栈了，性能是个问题

优化了几轮之后整体性能还算可以主要是全靠公开接口导致某些防护逻辑不好做（比如那个加wfp filter的）调用栈本身也有被欺骗的可能还没法过滤ALPC调用什么的（戎码有基于IO回调（？）的ALPC跟踪能力并且可以将调用与进程关联起来 360可以直接内核挂NtAlpc*函数）

[分享] 杀毒软件“退居”用户态？微软 Ignite 2025 带来的安全架构巨变