太激动了，火绒终于启用AM-PPL技术，进一步强化自我保护，火绒真的在变强！

驭龙

wowocock 发表于 2026-1-9 11:08
曾经想引入infinity hook来处理类似的SSDT HOOK，不过考虑到不公开技术，目前还没有定论。

说真的，我感觉不应该用非公开技术，按微软现在的尿性，说不定啥时候就抽风限制了该技术，到时候资源就浪费了，不划算

飞翔的蒲公英

lxh2014e 发表于 2026-1-9 09:35
我昨天装了火绒，目前和卡巴斯基没出现冲突，看看在用几天什么情况

我曾经两个一起安装过(2023年左右)，卡巴斯基偶尔会把火绒的文件误报给杀了，现在不知道什么情况了

隔山打空气

飞翔的蒲公英 发表于 2026-1-9 11:27
我曾经两个一起安装过(2023年左右)，卡巴斯基偶尔会把火绒的文件误报给杀了，现在不知道什么情况了

现在还是内存扫描杀火绒 年年修年年报 年年报年年修 最后答案是建议别装一起

驭龙

wowocock 发表于 2026-1-9 11:08
曾经想引入infinity hook来处理类似的SSDT HOOK，不过考虑到不公开技术，目前还没有定论。

我上一个回复手机打字错字好几个，别介意。

讲真的，火绒现在真的进步好大啊，期待你们能有更多好技术发布

驭龙

00006666 发表于 2026-1-9 04:28
其实你看那个文章就是说的很清楚了，由ELAM驱动，拉起一个受保护的服务，用户态的EDR 服务组件负责初始化 ...

其实吧，简单来说AM-PPL是R3中权限最高的存在，就算是其他进程获得管理员权限也没有权限操作或者植入被保护的进程，这是针对杀毒软件服务的保护，一般情况下比没有AM-PPL保护的服务能抵挡住一些管理员权限的操作，加上只加载EALM驱动内允许的资源，所以可以防住一些注入和写入虚拟内存。

虽然有方法绕过，但有这一层的防护，服务进程的安全性还是有不小的提升，这是我称赞火绒的原因。
但受保护进程也是有限制：

受保护的进程限制：
具有 UI 或 GUI 的进程无法受到保护，因为内核会将进程锁定在内存中，并且不允许对其进行写入。
在 Windows 10 版本 1703（创意者更新）之前，由于本地安全机构 (LSA) 和受保护进程之间证书共享的限制，受保护进程无法使用 TLS 或 SSL 通信协议。

就是因为用户层UI不支持AM-PPL的规则，让我有时候习惯性的把用户层UI直接打成用户层，就导致容易忽略服务进程也是用户层。这才有了我之前忽略了服务进程也在R3的错误

另外我更正一下之前的一个情况，我之前说的Avira EPP SDK和MD是没有用户UI进程，不是没有服务进程，而Avira的UI是独立的一个程序，负责调用EPP的数据与用户交互，不是说EPP完全没有用户进程，只是不依赖。

UNknownOoo

终于点上接入ETW-TI的前置科技了 =w=

00006666

驭龙 发表于 2026-1-9 23:38
其实吧，简单来说AM-PPL是R3中权限最高的存在，就算是其他进程获得管理员权限也没有权限操作或者植入被保 ...

讲个笑话，曾经360服务进程也是有ppl的，不知道从什么时候开始被放弃了，现在已经没有了。

驭龙

00006666 发表于 2026-1-10 13:54
讲个笑话，曾经360服务进程也是有ppl的，不知道从什么时候开始被放弃了，现在已经没有了。

这个我真的不知道，我关注360是断断续续的，但如果真的有过，放弃am-ppl可能是因为有核晶的缘故？

隔山打空气

UNknownOoo 发表于 2026-1-10 13:12
终于点上接入ETW-TI的前置科技了 =w=

快进到火绒的内存防护变成完整的基于调用栈回溯+API调用行为的shellcode检测外加改进的内存扫描 这样国产小黑也就得跟着进入堆栈欺骗时代了（

PanzerVIIIMaus

驭龙 发表于 2026-1-8 01:19
慢慢来吧，火绒已经很不错了。

有趣的是360卫士的大部分防御模块都是用户层进程加载的，而内核进程居 ...

总觉得和核晶有关，但不知道哪边是因哪边是果