太激动了，火绒终于启用AM-PPL技术，进一步强化自我保护，火绒真的在变强！

PanzerVIIIMaus

papawenbo 发表于 2026-1-8 13:48
只要是系统提供的，就约等于既随便过，还附带一堆条条框框的，且三哥那代码质量...

360在Win7时代就看出来了微软在内核这块只会瞎搞，后面弄出来个核晶，只要做适配了基本上强度没啥问题
反观国内瑞星，重构这么多年了主防强度还赶不上XP时代的2011

00006666

PanzerVIIIMaus 发表于 2026-1-10 14:37
360在Win7时代就看出来了微软在内核这块只会瞎搞，后面弄出来个核晶，只要做适配了基本上强度没啥问题
...

核晶原理我之前也看到了一篇说的很好的文章，有需要的可以去看看，主要作用绕过PG实现内核hook

https://mp.weixin.qq.com/s/PVIkx0FDnZzo5idM3-NSSg

1. 在系统初始化的时候,会给CPU的一个msr寄存器MSR_LSTAR写一个地址，这个地址叫做kisystemcall64，syscall在R3执行指令后，CPU首先会读取msr_lstar的地址，然后把IP指向过去。在win7 64位系统上微软的PG系统 会定时读一下这个寄存器，如果你修改了msr_lstar寄存器，windows会直接蓝屏。
   
2. 因此为了让hook能继续hook而不用癌症一样的回调机制，通过hypervisor是一个不错的选择。hypervisor是CPU层的特性，intel叫VTx，amd叫做SVM，操作系统理论上是没办法检测到自己是不是hypervisor里面。对于syscall hook, 我们只需要把lstar的寄存器的地址改成自己的kisystemmcall64，就能接管整个系统的ssdt/sssdt的call请求，也就实现hook，而当操作系统PG发起请求检查值是否正常的时候，在hypervisor里面就返回一个假的地址从而骗过PG。而这个就是核晶的主要工作原理。

复制代码

00006666

隔山打空气 发表于 2026-1-10 14:06
快进到火绒的内存防护变成完整的基于调用栈回溯+API调用行为的shellcode检测外加改进的内存扫描 这样国产 ...

问题是火绒对自己的内存扫描都没有信任，默认是仅记录不阻止，对于不会设置的用户而言这个内存扫描就是不存在的功能。

00006666

驭龙 发表于 2026-1-10 13:59
这个我真的不知道，我关注360是断断续续的，但如果真的有过，放弃am-ppl可能是因为有核晶的缘故？

推荐你看看这个文章，内容写的很好

https://mp.weixin.qq.com/s/WYNuXwFkFynvGFoGibxORQ

UNknownOoo

隔山打空气 发表于 2026-1-10 14:06
快进到火绒的内存防护变成完整的基于调用栈回溯+API调用行为的shellcode检测外加改进的内存扫描 这样国产 ...

感觉还要等至少两年才能凑齐这些防护（）

驭龙

00006666 发表于 2026-1-10 15:38
推荐你看看这个文章，内容写的很好

https://mp.weixin.qq.com/s/WYNuXwFkFynvGFoGibxORQ

我还没仔细看，只是粗略看一眼，他这句：

现如今大部分红队都开用所谓的BYVOD驱动做对抗.这边得说一句,BYVOD这个就是纯国外小黑meme的名字不小心流传开了.

现在BYOVD的名字被微软也接受，这也是挺有趣的事情

The technique known as Bring Your Own Vulnerable Driver (BYOVD) has become a favoured strategy among threat actors. This involves introducing a digitally signed and trusted vulnerable driver into the kernel and exploiting it to gain kernel-level access. With this access a threat actor can undermine security measures, extract sensitive credentials, or alter system behaviour to remain undetected.

https://techcommunity.microsoft. ... ver-attacks/4103985

不过这篇文章的很多内容都十分有料，确实是好文章

===================================
刚刚查一下 Bring Your Own Vulnerable Driver (BYOVD)最早用这种技术的威胁是LoJax，在2018年出现在ESET的研究报告中(实际上漏洞驱动在2015左右就有，最著名的是华硕和Intel的驱动)，但那时候没有BYOVD的说法，是这篇文章之后，各大研究员在提到这种技术的时候，提出了BYOVD的称呼，然后在2020年的InvisiMole分析报告中的白皮书上正式出现BYOVD一词，从此以后，BYOVD才成为统一的名称。

pengnengkai1989

火绒挺好的  就是查杀还有待提高啊

火绒工程师

pengnengkai1989 发表于 2026-1-11 08:58
火绒挺好的  就是查杀还有待提高啊

好哒，我们会不断优化更新哒~
感谢您的支持~

驭龙

火绒工程师 发表于 2026-1-11 10:29
好哒，我们会不断优化更新哒~
感谢您的支持~

话说，啥时候能提供ADV引擎的入监控设置啊，哪怕默认关闭也好，不怕误报的用户自己开，怕误报的用户保持默认，给高级用户一个强力新选择，真的可以有

00006666

驭龙 发表于 2026-1-10 22:07
我还没仔细看，只是粗略看一眼，他这句：
现在BYOVD的名字被微软也接受，这也是挺有趣的事情

这个文章还有一点就是总结了过去好多年各种R3攻击杀软的技术以及如何实现防护，比如句柄法和sendmessage等，以前没看到过这种系统性总结杀软自保实现原理的文章。