WINDOWS蓝屏这件事看起来草台，细想又可怕

zhjh93

小妻水亚美 发表于 2024-7-21 01:19
博通现在还想抛售之前收购的赛门铁克，个人市场的诺顿收购了avast和小红伞之后上半年新推出的诺顿就是ava ...

现在个人杀软有推荐的吗？我用的还是诺顿，还有2年左右到期。

小妻水亚美

zhjh93 发表于 2024-7-21 02:10
现在个人杀软有推荐的吗？我用的还是诺顿，还有2年左右到期。

等国内的诺顿升级v24的版本之后就换卡巴吧，现在国内还是v22。

—— 来自 OPPO PGFM10, Android 14上的 S1Next-鹅版 v2.5.2

zhjh93

小妻水亚美 发表于 2024-7-21 02:17
等国内的诺顿升级v24的版本之后就换卡巴吧，现在国内还是v22。

—— 来自 OPPO PGFM10, Android 14上的  ...

好的，谢谢推荐。

RaidenII

跟美国政府/nsa/fbi有合作基本是肯定的，但是说是跟政府有关系所以500强大多都用这个，甚至是因为来自政府的压力都用这个，那就过了

YG111

引用第92楼学长失格于2024-07-20 03:40发表的  :
佛剑分说 发表于 2024-7-20 13:34有趣的是CrowdStrick 共同創辦人德米特里·......

@学长失格
真的击得太狠了

----发送自 STAGE1 App for Android.

zephyrus99

LHO 发表于 2024-7-21 08:27
我不知道你看的是他哪款产品文档, 这方面我不会过多争辩, 我也不这公司的. 我只是说, 看一下奇安信获得奖 ...

你这个话真的在这件事情里面缺乏说服力
奇安信服务的机构就能说明他一定没有漏洞和问题？

Ik4ruga

现在很多人反应都是有问题的,
比如说牢美想监控完全可以通过linux的selinux模块, 这个软件它限制出口又只害自己人怎么拐到牢美阴谋上来的
牢美想弄别人都是提前打招呼留下漏洞给他钻, 像这种蓝屏bug牢美五角大楼自己也很不喜欢

不过就最终效果来看, 拉牢美的闸应该就是这么爽

jie2000

LHO 发表于 2024-7-21 08:53
假设一下平行宇宙这次发生问题的是中国的安全企业,比如360(其实这个假设是有问题, 企业安全这块国内竞争还 ...

不需要假设，翻翻之前的火绒帖子就行了

soloviki

！弄869441 9

—— 来自 HUAWEI NOH-AN00, Android 12上的 S1Next-鹅版 v2.5.4

Benighted

白木亚绘香 发表于 2024-7-20 20:35
怎么还有人信IT领域越老的公司产品越牛逼的，IT仙人吗怕不是活在IBM天下第一的世界线 ...

连安全行业“老三样”称呼指那些都不知道，拿个TO C防病毒清单在那指点江山真的笑死

Benighted

CrowdStrike导致大规模系统崩溃事件的技术分析
https://mp.weixin.qq.com/s/UWkZXw7ZKDY662A3RnlSSw

撒撒

编辑。

撒撒

编辑。

億万千

安全软件是这样的，不过换个角度想，老外在分析中国产系统里的安全软件例如360奇安信之类的，应该也是同样的想法吧

zs008007

黑宫在微软留后门监听全世界，如何保证监听没被未知漏洞漏出去，那就是再制作个安全软件保驾护航

Midnight.Coup

Ik4ruga 发表于 2024-7-21 09:10
现在很多人反应都是有问题的,
比如说牢美想监控完全可以通过linux的selinux模块, 这个软件它限制出口又只 ...

SELinux 虽然是 NSA 搞的，但鸿蒙Next里都有集成那里面真做不了手脚

没什么bu好

说明阿美莉卡说远程锁不是开玩笑，是真的能远程锁你，不想受制于人就该把重要部门的基本系统换成自研的

----发送自 Xiaomi 22021211RC,Android 12

シャル

LHO 发表于 2024-7-21 08:42
看有些评论挺有意思的点就在于, 也没人说出草台这件公司没有实力啊, 不是都在说会不会和军方NSA之类的合作 ...

这不是思想钢印嘛

米国公司技术高超，商业道德高，不搞关系，是凭自己实力创出来的

怕不是这么想的人活在80年代

makiRicardo

刚刷到了奇安信的事件分析报告

https://mp.weixin.qq.com/s/I8IQ9595ATtrZ5kczbOTFQ

Falcon是安全软件，有其特殊性，需要获取操作系统底层权限来更好地实现保护能力，所以组件很多以驱动程序形态出现。这回导致系统崩溃的CSAgent.sys是CrowdStrike客户端的一个核心的驱动，驱动程序由于工作在内核态一旦执行上出现问题，就直接会导致操作系统不可用，启动时加载驱动直接蓝屏，这是它跟一般工作在应用层的应用程序是不一样的地方。
按CrowdStrike给出的解释，程序在增加处理新观察到的利用命名管道进行C&C通信的恶意代码活动时，更新相应的配置文件（“C-00000291-”开头的文件）触发了一个代码中的逻辑错误，在内核态形成非法内存访问触发操作Windows系统蓝屏。因此，导致问题的更新应该被视为某种“规则”的更新，而不是直接驱动程序本身，这也就可能解释了数据的下发如此的快速而“随意”，但依旧无法解释如此能导致明显危害的更新如何通过了发布前的测试环节。

囧Smith

jie2000 发表于 2024-7-21 09:33
不需要假设，翻翻之前的火绒帖子就行了

火绒影响力还是没法和这个比火绒基本还是个人用户中招，这个是大范围的企业瘫痪，看泥潭昨晚帖子全美飞机都降不了落

rofengxin

loslandy 发表于 2024-7-20 14:43
偶发事件而已，就凭这个去否定EDR？你去想个更好的方案呀

说的好像微软自带的域控不能用了一样

Ik4ruga

没什么bu好 发表于 2024-7-21 12:10
说明阿美莉卡说远程锁不是开玩笑，是真的能远程锁你，不想受制于人就该把重要部门的基本系统换成自研的

-- ...

我本来觉得这个事情可能是草台, 毕竟拉自己的闸这可太狠了
但是仔细想想牢美以前可是用人民测试病毒的狼灭

而且据上文这个如果是配置文件有问题导致的驱动错误
那么针对不同的用户看碟下菜, 岂不是说他能精确拉闸?
就这报告不想着修驱动说这是配置文件更新导致的全球拉闸， 我感觉有点把人当傻子
这次之后还有人继续用这玩意我感觉一定程度上能说明问题

勿徊哉

         

一句话回答：CrowdStrike对其网络安全软件某版本的例行更新部署前，没有经过充分的QA，导致被更新的用户计算机终端系统发生大面积崩溃。

软件行业，即使再详细的QA，也不见得会cover所有的corner case，这是行业的基本常识，也是客观事实。

真正懂行的人会问：为什么会造成如此大面积的影响？

答案很简单：近年来各大公司从Dev到QA到Ops各部门，越来越多的采用CICD嘛，提高从开发到测试到部署的效率嘛，特别是基于云端应用，无论是华尔街几大行，还是美国的各实体行业大公司，还包括欧洲譬如德国最大的那几家车厂，甚至包括美欧军方（是的，还有乌克兰）

譬如我手上一个美国XX大客户，为它定制的自动部署技术在短短两年内，都更新三代了（还不是一种技术的不同版本，而是三种完全不同的技术产品----你没看错，新产品本不负责兼容前产品，别问我，要问就问美国政府）。

一方面，如此高节奏的产品更新，大客户都被搞崩溃了。。。我单位分管该项目的Account manager，Field principal更是走了几茬了

另一方面，不搞新产品不行呐。你想想啊，动辄以万数的终端，一年N次更新部署（别问我，要问就问Kubernetes为毛总喜欢更新），如果不开发自动化部署，都靠人去爬那么高的塔台上的机箱，怎么可能来得及？

更不用说美国这届政府拼了命的跟中国竞争，监管部门给大客户规定严格的验收期限（误了一天罚X百万美元）。逼得该客户CEO时不时打电话逼我司CEO（都是美国大公司），然后压力一层一层向下传导、加码。

所以，测试时间从来都没有够过。很多错误就是这么从行政部门逼出来的。无非是补丁摞卜丁啰，不崩溃就行。

就是这么的卷，卷跑了Amazon之后，Google & Microsoft打破脑壳想往里挤，更不用说韩国日本那几大家。

哪里不卷？哪一行不卷？美国也一样。只有不懂行的人，才以为只有中国卷。

windrarara

zs008007 发表于 2024-7-21 11:27
黑宫在微软留后门监听全世界，如何保证监听没被未知漏洞漏出去，那就是再制作个安全软件保驾护航 ...

赛博东西厂是吧

ttacg

qqq2142 发表于 2024-7-20 14:49
是的啊
没有政府撑腰 一个也就13年的公司就变成龙头 他还没你账号年龄大呢 ...

没账号年纪大是真没绷住

الطائر

Benighted 发表于 2024-7-21 09:49
CrowdStrike导致大规模系统崩溃事件的技术分析
https://mp.weixin.qq.com/s/UWkZXw7ZKDY662A3RnlSSw ...

是间接分析，其他内容都只是科普。

由于CrowdStrike公司禁止中国大陆的地区下载相关产品，因此在出现事件后，分析小组只有相关软件的早期版本。安天攻防实验室依托较为有限的资源，将获取到出现问题的sys文件进行组合进行分析。但由于分析环境的限制，目前并未实现稳定的漏洞复现。

其他人早就指出，系统崩溃时，程序尝试访问无效内存 0x9c，这是 C++ 的空指针。这个“分析”给的图是不相关的。
公司回应没有说是什么样的逻辑错误（至少认为和空指针无关），管道文件 291 只是规则配置而已，实际执行是在 csagent.sys，如果没有后者的现有版本，分析就没有说服力。

カドモン

咋说呢
edr 这种新概念的产品，新厂商做的不一定就比老厂差，没有屎山代码船小好掉头

而且这家老版是业内老兵了

yuialon

君往何处 发表于 2024-7-20 17:14
我不是它的客户，也不了解它有啥优势。我上面说的是用13年太短来评价IT公司的能力不太合理 ...

你搞混了一点
tiktok 属于互联网产业，it业这种上了年纪苦逼产业可不敢高攀

前者属于 toC， 10年足够可以成为产业巨头
后者属于 toB， 10年时间 如果没背景可能才刚刚抱上几个大客户，营收卡在亿级别，不上不下

安防领域恰巧属于后者

卡爹

qqq2142 发表于 2024-7-20 13:39
所谓“安全加密“软件都这样的，像内部公司安装的ipgord,对员工说是“安全加密，防止泄露信息“
实际上公 ...

EDR 为安全团队提供所需的可见性和自动化，以便加快事件响应并阻止对终结点的攻击进一步传播。它们用于：

监视终结点并保留详尽的活动记录，以实时检测可疑活动。
分析此数据以确定威胁是否需要调查和修正。
为安全团队生成优先级警报，以便他们了解需要首先解决的问题。
提供漏洞完整历史记录和范围的可见性和上下文，以帮助安全团队进行调查。
在威胁传播之前自动遏制或修正威胁。

理论上可以监测电脑上的一举一动