收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 对Intel TDT技术的一些探讨(01-18更新测试结果)
12
返回列表 发新帖
楼主: B100D1E55
 收起左侧

[讨论] 对Intel TDT技术的一些探讨(01-18更新测试结果)

[复制链接]
wwwab
发表于 昨天 12:16 | 显示全部楼层
字体的变化有点怪
回复

举报

驭龙
发表于 昨天 18:16 | 显示全部楼层
B100D1E55 发表于 2026-1-19 08:18
对,TDT里面可以设置fallback到CPU上跑,GPU加速更多是为了增加卖点吧……他们貌似还有一套throttle机制 ...

我来看你更新的内容了,忽然间发现我才是忽悠TDT的罪魁祸首,不过其实我只是关注TDT而已,哈哈。

我就说你测了也是没啥意思吧?因为我实机安装ESET的情况下,虚拟机运行各种勒索,实机上的ESET从未触发过TDT,要知道我这可是纯正的最完整TDT呢,更何况你的是旧平台,所以结果不好是真的。

我感觉是软件平台无法跨虚拟机执行TDT操作,就算TDT能检测虚拟机中的数据,也无法传递给安全软件?当然这只是猜测,并非深度分析,这种分析还是你在行,我也就是发发简单的内容而已。
回复

举报

LastF1ame_
发表于 昨天 20:12 | 显示全部楼层
大佬好久不见了~~


这帖子是变成亚空间了吗怎么什么内容都不见了
回复

举报

klub
发表于 昨天 23:21 来自手机 | 显示全部楼层
真希望论坛多一些你这样的人才
回复

举报

wangkaka
发表于 昨天 23:33 | 显示全部楼层
本帖最后由 wangkaka 于 2026-1-19 23:42 编辑

其实,从各大杀软跟进情况就能看出来tdt华而不实了。
举个例子,你上面关联阅读,正好我长期用过金山,金山之前准备上马tdt,设置项及模型库都实装了,就是不给启用直到现在彻底删除了库文件,设置里面也没了。
据官方说,误报压不了,效果不行,就放弃了
而且还有一个问题,不同cpu不同平台,tdt效果不一样检出不一样,这样的产品真的能实用吗,总不能杀软厂家和用户说,你的cpu太老了不支持新tdt特性,杀不了新威胁么

至于虚拟机里面彻底失效,我想是不是因为套了一层虚拟机后,展现出来的指令噪声太大了?

  • 第一代:在Coffee Lake/Comet Lake时期(均属于Skylake架构家族),除了基本的计数器例如核心周期数/指令执行数之外仅包含了额外四种计数器,涵盖分支指令数量、缓存失误、前端uop缓存提供指令数几种

感觉虚拟机的开启与否对这几种指令影响还是很大的。
回复

举报

B100D1E55
 楼主| 发表于 6 小时前 | 显示全部楼层
wwwab 发表于 2026-1-19 12:16
字体的变化有点怪

图下面的解说文字为了和正文区分我改成斜体,结果好久没用卡饭编辑器格式有点乱了……
回复

举报

B100D1E55
 楼主| 发表于 6 小时前 | 显示全部楼层
驭龙 发表于 2026-1-19 18:16
我来看你更新的内容了,忽然间发现我才是忽悠TDT的罪魁祸首,不过其实我只是关注TDT而已,哈哈。

我就 ...

笑死这完全不是你的锅。这种领域PR作用很大,毕竟实际拿毒测试的不会有几个,大多情况只要让用户“感觉到更安全”就够了。TDT这个本来是我在分析ESET RS的时候想顺带随便搞搞的东西,原来的想法是如果是真疗效那必须得吹吹,如果是皇帝的新装总得有个人来戳破,结果越做越吐血

虚拟机这块他们宣传卖点是:有的恶意程序会在宿主机装个虚拟机,通过文件共享的方法让虚拟机内运行的勒索加密宿主机的文件。这样一来宿主机的杀毒软件就没法行为检测到勒索在虚拟机内的加密API调用等。而TDT加持后宿主机可以从更底层观测到虚拟机里的加密行为并封堵这种方法。这个听起来似乎有点道理,毕竟一般行为监控谁越在底层越是老大,但他们避而不谈的是有时候过于底层也会有很多语义上的丢失、噪声的影响等等。从实测来看这种宣传说的更像是一种理论上的愿景而不是实际可靠的侦测
回复

举报

B100D1E55
 楼主| 发表于 6 小时前 | 显示全部楼层
LastF1ame_ 发表于 2026-1-19 20:12
大佬好久不见了~~

好久不见!前两天论坛系统好像有点抽,现在正常很多
回复

举报

驭龙
发表于 6 小时前 | 显示全部楼层
B100D1E55 发表于 2026-1-20 00:40
笑死这完全不是你的锅。这种领域PR作用很大,毕竟实际拿毒测试的不会有几个,大多情况只要让用户“感觉到 ...

是的,我当初也是对TDT充满好奇,才关注和研究的,但实际体验以后,真的很难触发,然后就这样了。

嗯,官方是这么宣传的,说什么用虚拟化环境隐蔽恶意行为的威胁,可以被TDT在虚拟环境之外检测,不过我记得他们说的是自带虚拟机环境的威胁?不知道是不是我记错了,而且我认为安全软件无法同步虚拟机内外的TDT信号,当然只是我个人的猜测性观点,不作数的
回复

举报

B100D1E55
 楼主| 发表于 6 小时前 | 显示全部楼层
wangkaka 发表于 2026-1-19 23:33
其实,从各大杀软跟进情况就能看出来tdt华而不实了。
举个例子,你上面关联阅读,正好我长期用过金山,金 ...
不同cpu不同平台,tdt效果不一样检出不一样,这样的产品真的能实用吗,总不能杀软厂家和用户说,你的cpu太老了不支持新tdt特性,杀不了新威胁么


对于硬件厂商来说这甚至是目的。本身这种技术开发就是为了增加硬件产品的附加值提高吸引力(他们SE Labs报告里不是还黑了对家吗),如果越新的检测能力越强自然能吸引一部分消费者购买新品。现在这种结果让我感叹硬件还是做一些辅助安全机制比如taint tracking或者memory tagging那种比较务实

至于虚拟机里面彻底失效,我想是不是因为套了一层虚拟机后,展现出来的指令噪声太大了?


win上ETW之类框架是可以将计数器归因到每个进程的,这样进程之间行为就隔离开没多大噪声。但从宿主观测虚拟机据我所知还没这种魔法吧,能从整体检测出来就有鬼了


哎你提到金山,他们原来还附带了挖矿模型。我前几天为了提模型装了一下也才发现文件都没了……至于误报情况那应该是真的,TDT白名单很滑稽的,我是不好意思在论坛上直接写出来
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2026-1-20 07:28 , Processed in 0.075661 second(s), 3 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表