跟你们爆个料，关于监控电脑方面的

小旭

龟龟酱 发表于 2022-5-19 12:46
ARK工具都能发现
因为这种类型的软件拿不到微软的ELAM签名 也不会被AM-PPL保护 只是最普通的ring0权限 只 ...

我好奇你在你在某游的时候做过吗？

龟龟酱

banker 发表于 2022-5-19 12:48
我只是想知道电脑有没有这种软件，不是想要解决方法。我就是想知道有没有安装有监控软件，听说有监控的话 ...

如果是国外的“EDR”类 除了用ARK工具看驱动 不会有啥明显的肉眼可见的特征
深信服的会装一个根证书 可以通过根证书判断
再小一些的厂商甚至是ring3的可能 总之就是加载起ARK工具然后在驱动和进程里慢慢找呗
排除掉Microsoft签名的 驱动应该最多也就几十个
不认识的全部尝试干一遍（毕竟监控端发现你设备短时间离线应该也不会怀疑什么 可能以为你只是重启了一下电脑）

tubos

龟龟酱 发表于 2022-5-19 12:51
如果是国外的“EDR”类 除了用ARK工具看驱动 不会有啥明显的肉眼可见的特征
深信服的会装一个根证书 可以 ...

大佬牛逼！！！

banker

龟龟酱 发表于 2022-5-19 12:51
如果是国外的“EDR”类 除了用ARK工具看驱动 不会有啥明显的肉眼可见的特征
深信服的会装一个根证书 可以 ...

太专业，学不会。我以为有什么简单的方法可以发现。

龟龟酱

小旭 发表于 2022-5-19 12:49
我好奇你在你在某游的时候做过吗？

某游的电脑上没有类似东西
但是某马家的有
是的我干过
而且不止我干过
因为我是Linux运维的身份 我不用干都可以 我可以名正言顺的要一台装了ubuntu的机器办公

tubos

banker 发表于 2022-5-19 12:52
太专业，学不会。我以为有什么简单的方法可以发现。

截屏和记录，录像文件一般是保存在被监控端的本地，一个特殊格式的文件，特别大。。。
默认是7天，有的是30天，所以很容易找出来。
至少几家小厂商都是这样的.

咖啡与美酒

可以告知几个类似这种软件的名字么    我研究下

龟龟酱

咖啡与美酒 发表于 2022-5-19 12:54
可以告知几个类似这种软件的名字么    我研究下

国内的：
深信服 https://www.sangfor.com.cn/product-and-solution/sangfor-security/NGAC
启明星辰 https://www.venustech.com.cn/new_type/wlsj/

国外的：
crowdstrike https://www.crowdstrike.com/
palo alto https://www.paloaltonetworks.com/cortex/cortex-xdr

这几个都是大厂
小厂的就太多了
而且比较好玩的是 国外都是正经安全厂商在做（所以也挺难对付的）
国内就算是最大的两家都挺好解决的

aeox咖啡与美酒

龟龟酱 发表于 2022-5-19 12:57
国内的：
深信服 https://www.sangfor.com.cn/product-and-solution/sangfor-security/NGAC
启明星辰 htt ...

大佬好 哪个pchunter是要收费 的吗

龟龟酱 发表于 2022-5-19 12:57
国内的：
深信服 https://www.sangfor.com.cn/product-and-solution/sangfor-security/NGAC
启明星辰 htt ...

感谢！！

龟龟酱

aeox 发表于 2022-5-19 12:59
大佬好 哪个pchunter是要收费 的吗

免费 信息随便填一下下载之后保存就行了
不过pchunter对新系统支持不是很好
win11建议用pyark
win10大概pchunter也只支持到21h1左右的版本