【冰盾】DefenderGuard —— Microsoft Defender 自保增强规则

显示全部楼层 · 发表于 2026-1-3 15:24:38

Loyisa 发表于 2026-1-3 15:09
amsi依赖的，昨天邮件问过

我去我刚才试了一下还真是

显示全部楼层 · 发表于 2026-1-3 19:03:25

Komeiji-Reimu 发表于 2026-1-3 15:24
我去我刚才试了一下还真是

他们给了个方案你可以开增强防御但是在增强防御排除里面写个* 这样就是仅AMSI了（

显示全部楼层 · 发表于 2026-1-3 19:30:55

隔山打空气发表于 2026-1-3 19:03
他们给了个方案你可以开增强防御但是在增强防御排除里面写个* 这样就是仅AMSI了（

后面又想了一下，遇到混淆powershell就歇逼了，就又变懒了

显示全部楼层 · 发表于 2026-1-3 19:33:52

Loyisa 发表于 2026-1-3 19:30
后面又想了一下，遇到混淆powershell就歇逼了，就又变懒了

原来他这边接收的不是解混淆之后的脚本吗（

显示全部楼层 · 发表于 2026-1-5 21:00:51

MD 加冰盾不是卡上加卡吗

显示全部楼层 · 发表于 2026-1-5 21:03:10

Loyisa 发表于 2026-1-3 19:30
后面又想了一下，遇到混淆powershell就歇逼了，就又变懒了

快写

显示全部楼层 · 发表于 2026-1-5 21:03:27

liumailong 发表于 2026-1-5 21:00
MD 加冰盾不是卡上加卡吗

配置够硬，就不会卡（）

显示全部楼层 · 发表于 2026-1-5 21:03:35

本帖最后由隔山打空气于 2026-1-5 21:06 编辑

liumailong 发表于 2026-1-5 21:00
MD 加冰盾不是卡上加卡吗

但Defender的静态检出率挺高的 BAFS拉满之后检测效果就更好了再配合ASR可以进一步提高拦截率并阻止某些行为主要是行为监视存在感不够而且很容易被早期阶段加排除干掉所以有些人希望拿冰盾当主防补强同时保护MD（

显示全部楼层 · 发表于 2026-1-5 21:07:10

隔山打空气发表于 2026-1-5 21:03
但Defender的静态检出率挺高的 BAFS拉满之后检测效果就更好了再配合ASR可以进一步提高拦截率并阻止某些 ...

为啥不是md当主防，冰盾辅助呢

显示全部楼层 · 发表于 2026-1-5 21:08:50

隔山打空气发表于 2026-1-5 21:03
但Defender的静态检出率挺高的 BAFS拉满之后检测效果就更好了主要是主防存在感不够而且很容易被早期阶段 ...

我开始时也这么想，卡也就忍了，但还是受不了MD的误报。
就吧MD关闭了，安装KART做云拉黑。

[分享] 【冰盾】DefenderGuard —— Microsoft Defender 自保增强规则