V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
woodfizky
V2EX  ›  信息安全

如何看待 火绒安全软件 5.0 下线“火绒剑”安全工具的通知

  •  
  •   woodfizky · 2023-11-21 16:29:03 +08:00 · 4290 次点击
    这是一个创建于 405 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://bbs.huorong.cn/forum.php?mod=viewthread&tid=133751

    看不懂。

    是真的如官方所说被拿来作为攻击工具用了,还是只是侵犯了别家的软件的权益被找麻烦了?

    我记得除了火绒剑以外,我以前还用过一款类似功能的软件叫 icesword ,这个软件也是随便就能在网上找到,应该也能干一些类似的事情吧,为什么火绒剑作为工具就要被下线呢?。。。

    16 条回复    2023-12-30 12:25:45 +08:00
    dsb2468
        1
    dsb2468  
       2023-11-21 16:44:43 +08:00   ❤️ 1
    火绒剑算是一个集成 Process Monitor + ARK 的工具包。ARK 里最出名的应该算是 PcHunter 了(这个软件的作者已经成立公司-安芯网盾,不再提供免费的版本了,之前的免费版也不支持最新的 win 系统)。

    火绒里集成一个可以用来关闭、删除安软防护能力的 ARK 工具(火绒剑),这本身是存在一定风险的,如果一个黑客入侵成功后,再用这个工具去删除其它的安全软件,那就会变得很容易了。

    不过也有可能是开发团队的精力有限,不能完全跟上系统更新?瞎猜的
    woodfizky
        2
    woodfizky  
    OP
       2023-11-21 16:52:55 +08:00
    @dsb2468
    那这样是不是可以理解成火绒自己把火绒剑这个有一些安全风险的工具切割开,避免给自己造成麻烦?

    就比如用户可以用这个工具,但是这个工具不应该是我自带/提供的,出现问题是用户自己的行为,我(火绒)已经跟火绒剑切割了,你用旧版本或者其他类似工具也不关我(火绒)的事,是这样理解吗?
    这样看好像合理一点。我好像明白了。
    asm
        3
    asm  
       2023-11-21 17:06:06 +08:00   ❤️ 1
    只是被拿来当作攻击工具了,这就要明白怎么个攻击法,就是它带有完整的驱动签名,能在最新的系统上加载,完美躲过了微软的驱动黑名单,当然这种方法就跟侧加载一样,没法阻挡的。

    这种工具上线或者下线,就看火绒他们心情,怎么整也不会侵犯谁的权益的。
    唉,这年头好用的 ark 真没几个,瓶颈就在驱动签名上。

    最后就是也没啥看待的,会用的从来不会在它那个主界面启动用,不会用的也没啥影响。

    竟然还有人记着 icesword ,看来是老司机了,哈哈哈哈。

    to 楼上,这工具跟系统没啥大冲突,都是用系统给的回调,又不是像以前各种 hook ,更新难度不大。
    zzNucker
        4
    zzNucker  
       2023-11-21 17:44:57 +08:00
    这东西没了还真不好对付那些流氓东西
    alfchin
        5
    alfchin  
       2023-11-21 17:59:57 +08:00 via iPhone
    火绒剑早被各大海外杀毒软件拉黑了。
    剥离出来方便更好地推广自家的安防软件,不然一下载就有 unwanted software 的警报,谁都受不了
    xiaooloong
        6
    xiaooloong  
       2023-11-21 18:03:33 +08:00
    竟然还有人记着 icesword ,看来是老司机了,哈哈哈哈。
    zcybupt2016
        7
    zcybupt2016  
       2023-11-22 09:06:28 +08:00
    @alfchin #5 可是火绒剑并不默认附带吧,我记得装好了之后还得另外下载的
    youyoumarco
        8
    youyoumarco  
       2023-11-22 09:28:33 +08:00
    那现在还有没有好用的 ark 工具
    dsb2468
        9
    dsb2468  
       2023-11-22 10:08:14 +08:00   ❤️ 1
    DarkFire
        10
    DarkFire  
       2023-11-22 13:53:20 +08:00
    看火绒的公告里,说之前的独立版也不能用了,难道还有服务端校验?
    montaro2017
        11
    montaro2017  
       2023-11-22 14:49:01 +08:00
    不知道为啥我还能用
    slowmist
        12
    slowmist  
       2023-11-24 21:50:34 +08:00
    @xiaooloong 听说嫁给红衣了
    cxy2244186975
        13
    cxy2244186975  
       2023-12-02 06:23:10 +08:00 via iPhone
    目前用的是没下架的那个版本
    morgan1freeman
        14
    morgan1freeman  
       2023-12-30 11:24:57 +08:00
    @asm 提个问,我用的 openark 我看它驱动也没签名 也能加载,这是什么原因,sys 签名跟不签名 权限不一样么,签名之后就能对 SSDT 或者 其它内核函数进行 hook?
    morgan1freeman
        15
    morgan1freeman  
       2023-12-30 11:28:57 +08:00
    @asm 另外火绒剑的 sys 能被其它 进程加载 然后进行通信 关闭其它杀软么?
    asm
        16
    asm  
       2023-12-30 12:25:45 +08:00
    @morgan1freeman 没用过 openark 。它要是没签名,直接加载驱动是加载不起来的。以前见过在别的论坛有人用过期签名和泄漏被吊销的签名。

    签名不签名跟权限没关系,就是 0 和 1 的问题,有签名能加载了拥有一切,加载不了啥都没有。这是 win7 64 位之后的政策,微软加载的驱动是需要数字签名,这个也不能复制其他的,流行的是使用过期(22hx 好像过期的也加载不了了)或者泄漏的进行签名。还有就是跟 sys 的功能没啥关系,不管是 hook 什么的这些是驱动做的,跟签名没啥关系,当然你没签名,你驱动就加载不了,也就啥都干不了(这是常规方法,当然还有不常规的)。

    可以,这也是火绒剑下架的原因。见过几个国内的恶意代码,加载火绒驱动后,直接把数字的卫士之类的全部秒了,里面给的功能太直接了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1341 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:33 · PVG 01:33 · LAX 09:33 · JFK 12:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.