太激动了，火绒终于启用AM-PPL技术，进一步强化自我保护，火绒真的在变强！

3c89

这要360和瑞星情何以堪

         

A.Thousand.Suns

00006666 发表于 2026-1-8 18:08
那个是高级任务管理器，可以看有ppl的进程，protection栏就是。

感谢

truetime

其实感觉智量有点可惜，没去华为的话，融入火绒应该没有云也能一战。。。

驭龙

00006666 发表于 2026-1-8 01:16
国内主流杀软做不到，只要托盘程序没了，就没防护了，火绒也一样，你试试就知道了，所以银狐能这么流行， ...

更正一下，我当前时间2026年1月9日00点19分，对火绒6.0.8.5在开启AM-PPL状态下的win 10虚拟机环境中测试。

强制结束火绒的用户进程HipsTray.exe，也就是火绒的托盘程序，然后解压威胁样本，样本原地消失。


恢复HipsTray.exe进程，打开火绒界面，隔离区显示隔离了在HipsTray.exe消失期间，我解压的威胁样本。


结论，当前版本的火绒，没有用户进程也就是HipsTray.exe托盘程序，无法与用户交互的情况下，只要设置的是自动删除样本，那么，火绒可以在没有用户层进程的时候，阻止威胁运行，并不影响保护效果，但设置中必须保证火绒自动删除样本，如果是询问模式，没有用户层交互，火绒自然无法自动删除样本。

简单一句话，火绒设置自动处理模式以后，没有用户层进程HipsTray.exe状态下，依旧有防御能力，保护并没有失效。

00006666

驭龙 发表于 2026-1-9 00:28
更正一下，我当前时间2026年1月9日00点19分，对火绒6.0.8.5在开启AM-PPL状态下的win 10虚拟机环境中测试 ...

这两个进程实际上都能被干掉，跟前面说的那种有本质区别

00006666

就是我该怎么说，HipsDaemon.exe这个进程放以前能被R3干掉，现在要驱动才能干掉，但是始终是能干掉的对吧，戎码翼龙那种人家说的是失去了了R3 agent一样有防护，至少能向中心控制台报告，这种就意味着它对漏洞驱动攻击有极高的免疫力，这种纯内核实现的，我目前还没在任何一个国内个人杀软见到。

驭龙

00006666 发表于 2026-1-9 00:58
就是我该怎么说，HipsDaemon.exe这个进程放以前能被R3干掉，现在要驱动才能干掉，但是始终是能干掉的对吧， ...

你不要这么说，首先没有HipsTray的情况下，保护依然在，我是在回复你那句只要没有托盘程序就没有保护的那个话题

另外，火绒没有HipsTray用户进程以后，我一直说的是火绒没有R3层，保护依然在，不是说火绒能不能被干掉的事情

00006666

驭龙 发表于 2026-1-9 01:11
你不要这么说，首先没有HipsTray的情况下，保护依然在，我是在回复你那句只要没有托盘程序就没有保护的那 ...

你把HipsDaemon.exe理解成内核本身就是错误的，可以参考这篇文章，有完整介绍什么是EDR服务进程以及PPL的作用。https://mp.weixin.qq.com/s/cbRzscfZgWDkRlXnjE8SRw，当然我前面只说托盘进程确实也是错误的，说法确实不对。

HipsDaemon.exe是个服务进程，一个受保护的服务，跟内核还是有区别的，服务进程也属于用户态的一部分，一般说的内核都是指内核的驱动程序。我前面说的确实也不准确，服务进程确实跟托盘进程不一样，不能放在一起说，不过这两个都属于用户态。而且我目前还没拿到戎码翼龙，不确定它是不是失去所有进程包括服务进程，基于纯内核态能追踪报告行为，基于公开的文章我目前是理解为全部用户态进程被干掉后依然能够向控制台报告行为，我把失去r3 agent理解为全部用户态进程都被结束。不知道我理解的是否正确，对于戎码翼龙有待测试。

但是你们把服务进程当成内核这种说法是错误的，杀软或者EDR的服务进程也是用户态的一部分。用户态的EDR服务组件负责初始化和调度EDR的PPL进程。服务进程是不能当成内核的。但是火绒现在有点不一样的就是给服务进程也加了PPL，能防止服务进程被一些特殊的手法干掉导致整个用户态组件瘫痪，PPL理论上能免疫除内核外的所有R3攻击。

以下内容是来自链接文章的转载

1. EDR 用户态组件一般由用户态的服务和其用户态的PPL 进程构成。
   
2. 
   
3. Windows Vista首先引入了PP（Protected Process）模型，当时进程要么受保护，要么不受保护。从Windows 8.1 / Server 2012 R2开始，微软引入了Protected Process Light (PPL)的概念。PPL实际上是对以前的受保护进程模型的扩展，并添加了"保护级别" 的概念。进程的保护级别由该进程PE文件的签名级别决定。受保护的进程级别总是大于 PPL 进程，其次高价值的签名者进程可以访问低价值的进程，但反之则不然。
   
4. 
   
5. 换句话说：
   
6. 
   
7. PP 进程可以打开具有完全访问权限的 PP 或 PPL 进程，只要其签名者级别大于或等于；
   
8. 
   
9. 一个 PPL 进程可以打开另一个具有完全访问权限的 PPL 进程，只要其签名者级别大于或等于；
   
10. 
    
11. 无论签名者级别如何，PPL 进程都无法以完全访问权限打开 PP 进程。
    
12. 
    
13. 当然未受保护的进程都无法访问PP 和PPL 进程（只能使用受限的访问标志集）。用户态的EDR 进程一般会将进程启动为PPL级别来保护自己避免被用户态程序篡改，这导致PPL 进程只能从Windows 内核中去终止。（经过观察发现国内的杀软/EDR 用户态大多不是PPL 进程，但是它也可以通过内核回调对象实现对其用户态进程的保护，以达到相同的效果，后面会细说代码实现）
    
14. 
    
15. Tips: 杀软/EDR 的保护级别一般是PsProtectedsignerAntimalware-Light。
    
16. 
    
17. 按理说如果能关闭EDR 的用户态服务，那么就能完全关闭掉EDR 的用户态组件。但是EDR 通常将其用户态服务初始化为受保护的服务，受保护的服务初始化是由一个叫Early Launch Antimalware 的EDR驱动程序完成的，这个内核驱动程序不允许停止、禁用这个受保护服务以及不允许修改它的注册表项启动类型来关闭

复制代码

一般来说是由用户态的EDR 服务组件负责初始化和调度EDR 的PPL 进程。如下图，从左到右，第一个窗口是EDR 的PPL进程，第二个窗口是EDR 的服务进程，第三个窗口是这个服务的介绍。

驭龙

00006666 发表于 2026-1-9 01:58
你把HipsDaemon.exe理解成内核本身就是错误的，可以参考这篇文章，有完整介绍什么是EDR服务进程以及PPL的 ...

我也是被话题带跑偏了，之前说的确实是有问题，服务进程也是R3，驱动层的驱动才能算R0，所以我之前的一些说法，确实是不准确，把上述核心问题抛到脑后去了。

太晚了，其他内容我明天慢慢讨论，但我核心观点是用户态进程，火绒并不依赖，也就是没有托盘程序也存在保护效果，但在AM-PPL的帮助下，服务进程是无法被R3层东西干掉的

00006666

驭龙 发表于 2026-1-9 04:03
我也是被话题带跑偏了，之前说的确实是有问题，服务进程也是R3，驱动层的驱动才能算R0，所以我之前的一些 ...

其实你看那个文章就是说的很清楚了，由ELAM驱动，拉起一个受保护的服务，用户态的EDR 服务组件负责初始化和调度EDR的PPL 进程(文章中说的其他PPL程序)，用户态程序负责与驱动进行通信，很多杀软就是这样工作的。

1. 需要说明的是，第一点禁用用户态的服务和进程在绝大多数情况下是有效的。但是如果EDR 总控通信、监控拦截等主要功能如果写在驱动程序里，那么kill 用户态进程意义不大。测试发现，国内的那些主要杀软/EDR 主要还是很依靠用户态进程进行处理，所以目前来说Kill 用户态进程还是很有效的。

复制代码

以及服务进程的作用也包括能让别的用户态进程被干掉后复活，重新拉起用户态进程，负责让终止的EDR用户态PPL进程重新初始化（Kill 之后会重启）。一般说的干掉用户态，也是包括要把服务进程一起干掉。服务进程也是用户态进程。确实不知道为什么，论坛这边一直很流行把服务进程当成内核这个观点，这观点本身就是错误的。

戎马翼龙可能就是他说的那情况，EDR 总控通信、监控拦截等主要功能如果写在驱动程序里，也就是主要防护功能不需要跟R3通信，所以失去R3 agent还能向控制台发事件告警。