太激动了，火绒终于启用AM-PPL技术，进一步强化自我保护，火绒真的在变强！

wowocock

wwwab 发表于 2026-1-9 10:50
卡巴斯基直接上IAT Hook，太猛了

兼容性有很多问题，所以新版本是用了目标驱动HOOK IRP_MJ_DEVICE_CONTROL，判断发往目标驱动的控制码及相关参数来进行精准打击，不过也经常会漏，新的漏洞驱动层出不穷。而且上次还误拦截了我们的驱动操作，和卡巴那反馈了后，他们才修改策略，放过我们。

00006666

驭龙 发表于 2026-1-9 10:55
哈哈，简单高效就是王道，安全软件效率非常重要。

不过还是希望以后能有什么新东西可以进一步降低这种 ...

我回复里面这几篇文章其实他们说的都是方案了，或多或少都是能降低漏驱驱动的危害性。

wwwab

wowocock 发表于 2026-1-9 10:55
兼容性有很多问题，所以新版本是用了目标驱动HOOK IRP_MJ_DEVICE_CONTROL，判断发往目标驱动的控制码及相 ...

话说火绒什么时候能Hook NtLoadDriver，现在好像只能通过Hips拦截Service.exe创建修改驱动/服务项"计算机\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\*"，都不知道是谁干的

wowocock

00006666 发表于 2026-1-9 10:55
国外那几个能免疫漏驱的杀软/edr全都是这种

也就是  ZwTerminateProcess有点用，对于那些通过MmMapIoSpace或 映射 \Device\PhysicalMemory,那些硬件驱动喜欢用的任意内存读写漏洞驱动来说效果不咋地。

wowocock

wwwab 发表于 2026-1-9 11:00
话说火绒什么时候能Hook NtLoadDriver，现在好像只能通过Hips拦截Service.exe创建修改驱动/服务项"计算机 ...

Hook NtLoadDriver一样拦截不到调用者，StartService系列基本都是通过RPC，到SVCHOST里加载。

驭龙

00006666 发表于 2026-1-9 10:59
我回复里面这几篇文章其实他们说的都是方案了，或多或少都是能降低漏驱驱动的危害性。

我没测试那两个是不是真的没有服务进程依然可以正常工作，所以我回避讨论了，毕竟不了解实际情况，而且没有服务进程，用户层和内核层之间通信功能还是有限制，更重要的还是，驱动层的驱动也一样可以被BYOVD干掉

00006666

驭龙 发表于 2026-1-9 11:07
我没测试那两个是不是真的没有服务进程依然可以正常工作，所以我回避讨论了，毕竟不了解实际情况，而且没 ...

@隔山打空气 他们那边有人测试过了，确实是没有服务进程也有防护，只是防护能力会下降，拦截覆盖面会减少，但是依然有拦截。

wowocock

wwwab 发表于 2026-1-9 11:00
话说火绒什么时候能Hook NtLoadDriver，现在好像只能通过Hips拦截Service.exe创建修改驱动/服务项"计算机 ...

曾经想引入infinity hook来处理类似的SSDT HOOK，不过考虑到不公开技术，目前还没有定论。

驭龙

00006666 发表于 2026-1-9 11:08
@隔山打空气 他们那边有人测试过了，确实是没有服务进程也有防护，只是防护能力会下降

那事实证明了就没必要在讨论了不是吗？核心问题在于之前我忽略了服务进程是R3的问题，只是单纯的回答你那个没有托盘程序就没有保护的话题

00006666

驭龙 发表于 2026-1-9 11:13
那事实证明了就没必要在讨论了不是吗？核心问题在于之前我忽略了服务进程是R3的问题，只是单纯的回答你那 ...

对了，我刚刚才知道，那个冲鸭安全就是开发戎马的人，以前不知道这个，以前我只是觉得他文章写的很好。