杀毒软件“退居”用户态？微软 Ignite 2025 带来的安全架构巨变

SakuraLuo25

杀毒软件以后都是用户态了？？那就可以杀毒软件组合搭配了

iscomodo

SakuraLuo25 发表于 2025-12-6 09:31
趋势已经凉透了在国内，好像没什么特别的技术了

我不是说亚信

hakuhaku

隔山打空气 发表于 2025-11-28 22:29
Elastic就这样的呗 基本上除了内核回调之外全是异步ETW数据源 对内存操作检测粒度非常细 效果很好 但遇到 ...

es太依赖内存检测和调用栈了，性能是个问题

隔山打空气

hakuhaku 发表于 2025-12-8 11:46
es太依赖内存检测和调用栈了，性能是个问题

优化了几轮之后整体性能还算可以 主要是全靠公开接口导致某些防护逻辑不好做（比如那个加wfp filter的） 调用栈本身也有被欺骗的可能 还没法过滤ALPC调用什么的（戎码有基于IO回调（？）的ALPC跟踪能力并且可以将调用与进程关联起来 360可以直接内核挂NtAlpc*函数）

hakuhaku

隔山打空气 发表于 2025-12-8 12:52
优化了几轮之后整体性能还算可以 主要是全靠公开接口导致某些防护逻辑不好做（比如那个加wfp filter的）  ...

有些客户用云桌面的，这种检测都堆客户端的吃太多性能了，cpu和内存占用都很高。国内环境的检测用不到这么重的。很多时候只需要搞定银狐，客户也只关心银狐。

隔山打空气

hakuhaku 发表于 2025-12-15 16:09
有些客户用云桌面的，这种检测都堆客户端的吃太多性能了，cpu和内存占用都很高。国内环境的检测用不到这 ...

那戎码和微步这种的确实就挺适合了 一部分行为检测放到云上 告警也发云上处理 本地只留一部分预防功能

银狐现在这个情况想稳定拦截也挺考验终端安全的基本功了 不同种类的银狐使用的技战术不同 积极搜集公开的技术和工程并武器化 持续更新对抗免杀 导致以前吹的天花乱坠的许多产品实战有不少被一脚踢死 倒逼厂商回归到技术与实战为核心的状态 其实也是好事

hakuhaku

隔山打空气 发表于 2025-12-15 17:24
那戎码和微步这种的确实就挺适合了 一部分行为检测放到云上 告警也发云上处理 本地只留一部分预防功能

...

不不，你这还是云查杀的AV思路。真EDR不是这样。

隔山打空气

hakuhaku 发表于 2025-12-15 17:47
不不，你这还是云查杀的AV思路。真EDR不是这样。

应该是我自己表述有问题 至少这两个应该是有EDR的大部分功能的（

hakuhaku

隔山打空气 发表于 2025-12-15 18:08
应该是我自己表述有问题 至少这两个应该是有EDR的大部分功能的（

实际能拦的只有已经被拉黑hash的玩意，而银狐进来的时间点一般都没被拉黑。某种意义上edr是把用户机器当沙箱。

隔山打空气

hakuhaku 发表于 2025-12-15 18:12
实际能拦的只有已经被拉黑hash的玩意，而银狐进来的时间点一般都没被拉黑。某种意义上edr是把用户机器当 ...

那这俩确实是不能算纯EDR 都是有一部分EPP功能的 只是说侧重且带完整EDR功能（）

微步OneSEC那至少能立即阻断云拉黑hash+本地BD引擎判黑的 还有别的比如说拦截IM软件传输文件执行的防护策略

戎码那边就更多了 带一套QAX引擎负责扫描文件 设置里面有自动的行为反勒索还有判定shellcode加载+联网行为自动拦截什么的 已经带了相当一部分EPP功能了（