太激动了，火绒终于启用AM-PPL技术，进一步强化自我保护，火绒真的在变强！

驭龙

十一月份的时候，火绒的6.0.8.0带来了ELAM驱动，那时，我就预感AM-PPL技术，火绒要正式启用了，不过有一点遗憾，当时的6.0.8.0并没有启用AM-PPL技术，当时我是有关注的
https://bbs.kafan.cn/forum.php?m ... 286425&pid=56920024

今天听说火绒有新版本了，我就升级了，果不其然，6.0.8.5版本，确实是正式启用AM-PPL技术来保护自己的内核进程：HipsDaemon.exe


而且流量监控的核心进程：TrafficProt.exe，也一样获得AM-PPL技术的保护。


虽然AM-PPL不是什么新技术，也有被绕过的情况，但支持它就意味着火绒跟国际上的安全软件水平相差不大了，毕竟国内的产品，核心基础进程受到AM-PPL保护的，据我所知，火绒应该是第一个，所以我真的挺激动的，国内真的有认认真真提升技术实力的安全软件，期待着火绒有更多新技术落地。

另外说一句，ML特征库优化了接近一倍的体积，而与之相对的ADV引擎体积大幅增加，意味着技术上有很大突破，引擎主体技术有突破了，所以依赖的特征就少了，这就代表着对付未知威胁的效果更好。


关于新的ML引擎的技术细节，可阅读官方帖子：火绒高启发技术迭代：引入深度学习能力，提升识别精度

如果火绒在加上云信誉来提升响应速度和云白名单的信誉机制，那理论上就不比国外的安全软件弱了，我真的期待着那一天的快一点到来。

驭龙

00006666 发表于 2026-1-8 01:16
国内主流杀软做不到，只要托盘程序没了，就没防护了，火绒也一样，你试试就知道了，所以银狐能这么流行， ...

更正一下，我当前时间2026年1月9日00点19分，对火绒6.0.8.5在开启AM-PPL状态下的win 10虚拟机环境中测试。

强制结束火绒的用户进程HipsTray.exe，也就是火绒的托盘程序，然后解压威胁样本，样本原地消失。


恢复HipsTray.exe进程，打开火绒界面，隔离区显示隔离了在HipsTray.exe消失期间，我解压的威胁样本。


结论，当前版本的火绒，没有用户进程也就是HipsTray.exe托盘程序，无法与用户交互的情况下，只要设置的是自动删除样本，那么，火绒可以在没有用户层进程的时候，阻止威胁运行，并不影响保护效果，但设置中必须保证火绒自动删除样本，如果是询问模式，没有用户层交互，火绒自然无法自动删除样本。

简单一句话，火绒设置自动处理模式以后，没有用户层进程HipsTray.exe状态下，依旧有防御能力，保护并没有失效。

00006666

能防住各种R3层次针对火绒进程的攻击或者注入等，至少R3层次对火绒进程注入是不可能的了，但是不能防漏洞驱动的攻击，而且现在主流的木马特别是银狐这种喜欢用漏驱来攻击杀软。

对于漏洞驱动的防护可以参考这篇文章，https://mp.weixin.qq.com/s/t-9AmFpk74AWPoGmoFUcEA，但是有个问题是国内杀软都在考虑兼容性，然后就不可能用这种方法来防护。

驭龙

00006666 发表于 2026-1-7 23:31
能防住各种R3层次针对火绒进程的攻击或者注入等，至少R3层次对火绒进程注入是不可能的了，但是不能防漏洞驱 ...

现在防御Bring Your Own Vulnerable Driver的手段还是不理想的，没办法，AM-PPL也不行，不过它防一些R3还是没啥大问题的，不给权限的情况下，确实是让火绒的自保提升一大截。

说真的，国外都有一堆使用假AM-PPL进行安全中心注册的安全软件，主进程都不受AM-PPL保护，只是一个独立的进程显示为AM-PPL保护，来骗取安全中心的注册认证，火绒现在能真正支持AM-PPL真的是很不错了

桔梗想见雪

驭龙 发表于 2026-1-7 23:58
现在防御Bring Your Own Vulnerable Driver的手段还是不理想的，没办法，AM-PPL也不行，不过它防一些R3还 ...

有am ppl就相当于注册安全中心了？我一直以为微软那个安全中心是需要注册申请和缴费才给你资格的

00006666

驭龙 发表于 2026-1-7 23:58
现在防御Bring Your Own Vulnerable Driver的手段还是不理想的，没办法，AM-PPL也不行，不过它防一些R3还 ...

真正的自保应该是这样的，看图，不过火绒做出PPL确实进步很大了。

驭龙

桔梗想见雪 发表于 2026-1-8 01:05
有am ppl就相当于注册安全中心了？我一直以为微软那个安全中心是需要注册申请和缴费才给你资格的

不是，是因为注册安全中心必须有AM-PPL支持，没有的话，微软不给认证，所以很多安全软件是伪支持AM-PPL，具体可以看这里
https://bbs.kafan.cn/thread-2281218-1-1.html

驭龙

00006666 发表于 2026-1-8 01:06
真正的自保应该是这样的，看图，不过火绒做出PPL确实进步很大了。

事实上，现在很多都不需要依赖用户层进程的，比如说MD就没有用户层，而Avira EPP SDK本身也没有用户层进程，用户层进程只是通知用户的和与用户交互的，没有的话，也依然阻止威胁，只不过没有通知而已。

00006666

驭龙 发表于 2026-1-8 01:15
事实上，现在很多都不需要依赖用户层的，比如说MD就没有用户层，而Avira EPP SDK本身也没有用户层，用户 ...

国内主流杀软做不到，只要托盘程序没了，就没防护了，火绒也一样，你试试就知道了，所以银狐能这么流行，国内杀软这点还是有技术差距的。

桔梗想见雪

驭龙 发表于 2026-1-8 01:15
事实上，现在很多都不需要依赖用户层的，比如说MD就没有用户层，而Avira EPP SDK本身也没有用户层，用户 ...

如果冰盾也来个ppl的话是不是更强了

桔梗想见雪

00006666 发表于 2026-1-8 01:06
真正的自保应该是这样的，看图，不过火绒做出PPL确实进步很大了。

内核里在放一个虚拟机确实变态 希望微软的mde好好学习（）