WINDOWS蓝屏这件事看起来草台，细想又可怕

zhjh93

小妻水亚美 发表于 2024-7-21 02:17
等国内的诺顿升级v24的版本之后就换卡巴吧，现在国内还是v22。

—— 来自 OPPO PGFM10, Android 14上的  ...

好的，谢谢推荐。

RaidenII

跟美国政府/nsa/fbi有合作基本是肯定的，但是说是跟政府有关系所以500强大多都用这个，甚至是因为来自政府的压力都用这个，那就过了

YG111

引用第92楼学长失格于2024-07-20 03:40发表的  :
佛剑分说 发表于 2024-7-20 13:34有趣的是CrowdStrick 共同創辦人德米特里·......

@学长失格
真的击得太狠了

----发送自 STAGE1 App for Android.

zephyrus99

LHO 发表于 2024-7-21 08:27
我不知道你看的是他哪款产品文档, 这方面我不会过多争辩, 我也不这公司的. 我只是说, 看一下奇安信获得奖 ...

你这个话真的在这件事情里面缺乏说服力
奇安信服务的机构就能说明他一定没有漏洞和问题？

Ik4ruga

现在很多人反应都是有问题的,
比如说牢美想监控完全可以通过linux的selinux模块, 这个软件它限制出口又只害自己人怎么拐到牢美阴谋上来的
牢美想弄别人都是提前打招呼留下漏洞给他钻, 像这种蓝屏bug牢美五角大楼自己也很不喜欢

不过就最终效果来看, 拉牢美的闸应该就是这么爽

jie2000

LHO 发表于 2024-7-21 08:53
假设一下平行宇宙这次发生问题的是中国的安全企业,比如360(其实这个假设是有问题, 企业安全这块国内竞争还 ...

不需要假设，翻翻之前的火绒帖子就行了

soloviki

！弄869441 9

—— 来自 HUAWEI NOH-AN00, Android 12上的 S1Next-鹅版 v2.5.4

Benighted

白木亚绘香 发表于 2024-7-20 20:35
怎么还有人信IT领域越老的公司产品越牛逼的，IT仙人吗怕不是活在IBM天下第一的世界线 ...

连安全行业“老三样”称呼指那些都不知道，拿个TO C防病毒清单在那指点江山真的笑死

Benighted

CrowdStrike导致大规模系统崩溃事件的技术分析
https://mp.weixin.qq.com/s/UWkZXw7ZKDY662A3RnlSSw

撒撒

编辑。

撒撒

编辑。

億万千

安全软件是这样的，不过换个角度想，老外在分析中国产系统里的安全软件例如360奇安信之类的，应该也是同样的想法吧

zs008007

黑宫在微软留后门监听全世界，如何保证监听没被未知漏洞漏出去，那就是再制作个安全软件保驾护航

Midnight.Coup

Ik4ruga 发表于 2024-7-21 09:10
现在很多人反应都是有问题的,
比如说牢美想监控完全可以通过linux的selinux模块, 这个软件它限制出口又只 ...

SELinux 虽然是 NSA 搞的，但鸿蒙Next里都有集成那里面真做不了手脚

没什么bu好

说明阿美莉卡说远程锁不是开玩笑，是真的能远程锁你，不想受制于人就该把重要部门的基本系统换成自研的

----发送自 Xiaomi 22021211RC,Android 12

シャル

LHO 发表于 2024-7-21 08:42
看有些评论挺有意思的点就在于, 也没人说出草台这件公司没有实力啊, 不是都在说会不会和军方NSA之类的合作 ...

这不是思想钢印嘛

米国公司技术高超，商业道德高，不搞关系，是凭自己实力创出来的

怕不是这么想的人活在80年代

makiRicardo

刚刷到了奇安信的事件分析报告

https://mp.weixin.qq.com/s/I8IQ9595ATtrZ5kczbOTFQ

Falcon是安全软件，有其特殊性，需要获取操作系统底层权限来更好地实现保护能力，所以组件很多以驱动程序形态出现。这回导致系统崩溃的CSAgent.sys是CrowdStrike客户端的一个核心的驱动，驱动程序由于工作在内核态一旦执行上出现问题，就直接会导致操作系统不可用，启动时加载驱动直接蓝屏，这是它跟一般工作在应用层的应用程序是不一样的地方。
按CrowdStrike给出的解释，程序在增加处理新观察到的利用命名管道进行C&C通信的恶意代码活动时，更新相应的配置文件（“C-00000291-”开头的文件）触发了一个代码中的逻辑错误，在内核态形成非法内存访问触发操作Windows系统蓝屏。因此，导致问题的更新应该被视为某种“规则”的更新，而不是直接驱动程序本身，这也就可能解释了数据的下发如此的快速而“随意”，但依旧无法解释如此能导致明显危害的更新如何通过了发布前的测试环节。

satan023

撒撒 发表于 2024-7-21 09:54
已转Bitdefender，按AV-C的测试，Avast强于V22，但Norton的IPS无法替代，而且Avast卖的便宜。Avira有很多O ...

无所谓了 去年我公司中过一次勒索，装了SEP的服务器无一幸免，这2024年了破玩意儿几乎没有对勒索的防护功能。之后就上了深信服的edr，你装个火绒 360都比sep好。。。

—— 来自 OPPO PCCM00, Android 10上的 S1Next-鹅版 v3.0.0.81-alpha

囧Smith

jie2000 发表于 2024-7-21 09:33
不需要假设，翻翻之前的火绒帖子就行了

火绒影响力还是没法和这个比火绒基本还是个人用户中招，这个是大范围的企业瘫痪，看泥潭昨晚帖子全美飞机都降不了落

rofengxin

loslandy 发表于 2024-7-20 14:43
偶发事件而已，就凭这个去否定EDR？你去想个更好的方案呀

说的好像微软自带的域控不能用了一样

Ik4ruga

没什么bu好 发表于 2024-7-21 12:10
说明阿美莉卡说远程锁不是开玩笑，是真的能远程锁你，不想受制于人就该把重要部门的基本系统换成自研的

-- ...

我本来觉得这个事情可能是草台, 毕竟拉自己的闸这可太狠了
但是仔细想想牢美以前可是用人民测试病毒的狼灭

而且据上文这个如果是配置文件有问题导致的驱动错误
那么针对不同的用户看碟下菜, 岂不是说他能精确拉闸?
就这报告不想着修驱动说这是配置文件更新导致的全球拉闸， 我感觉有点把人当傻子
这次之后还有人继续用这玩意我感觉一定程度上能说明问题

windrarara

zs008007 发表于 2024-7-21 11:27
黑宫在微软留后门监听全世界，如何保证监听没被未知漏洞漏出去，那就是再制作个安全软件保驾护航 ...

赛博东西厂是吧

ttacg

qqq2142 发表于 2024-7-20 14:49
是的啊
没有政府撑腰 一个也就13年的公司就变成龙头 他还没你账号年龄大呢 ...

没账号年纪大是真没绷住

الطائر

Benighted 发表于 2024-7-21 09:49
CrowdStrike导致大规模系统崩溃事件的技术分析
https://mp.weixin.qq.com/s/UWkZXw7ZKDY662A3RnlSSw ...

是间接分析，其他内容都只是科普。

由于CrowdStrike公司禁止中国大陆的地区下载相关产品，因此在出现事件后，分析小组只有相关软件的早期版本。安天攻防实验室依托较为有限的资源，将获取到出现问题的sys文件进行组合进行分析。但由于分析环境的限制，目前并未实现稳定的漏洞复现。

其他人早就指出，系统崩溃时，程序尝试访问无效内存 0x9c，这是 C++ 的空指针。这个“分析”给的图是不相关的。
公司回应没有说是什么样的逻辑错误（至少认为和空指针无关），管道文件 291 只是规则配置而已，实际执行是在 csagent.sys，如果没有后者的现有版本，分析就没有说服力。

allies

LHO 发表于 2024-7-21 08:53
假设一下平行宇宙这次发生问题的是中国的安全企业,比如360(其实这个假设是有问题, 企业安全这块国内竞争还 ...

如果360把小巴网搞崩了，我怀疑你不翻墙根本就不会知道

allies

LHO 发表于 2024-7-22 12:30
看事情大小, 真闹到全国范围出问题, 还能封住所有消息源?
再说消息从哪获得无所谓, 重要的是讨论问题是 ...

你没牛当然不关心，毕竟大部分国内电脑又没蓝
所以条件类似的类比应该是360搞蓝国外系统，或者在墙外看360搞蓝国内系统
一个破草台班子事还非要上升到啥高度，巨硬天天更新弄坏打印也没见沙雕网友上升到啥高度

カドモン

咋说呢
edr 这种新概念的产品，新厂商做的不一定就比老厂差，没有屎山代码船小好掉头

而且这家老版是业内老兵了

yuialon

君往何处 发表于 2024-7-20 17:14
我不是它的客户，也不了解它有啥优势。我上面说的是用13年太短来评价IT公司的能力不太合理 ...

你搞混了一点
tiktok 属于互联网产业，it业这种上了年纪苦逼产业可不敢高攀

前者属于 toC， 10年足够可以成为产业巨头
后者属于 toB， 10年时间 如果没背景可能才刚刚抱上几个大客户，营收卡在亿级别，不上不下

安防领域恰巧属于后者

卡爹

qqq2142 发表于 2024-7-20 13:39
所谓“安全加密“软件都这样的，像内部公司安装的ipgord,对员工说是“安全加密，防止泄露信息“
实际上公 ...

EDR 为安全团队提供所需的可见性和自动化，以便加快事件响应并阻止对终结点的攻击进一步传播。它们用于：

监视终结点并保留详尽的活动记录，以实时检测可疑活动。
分析此数据以确定威胁是否需要调查和修正。
为安全团队生成优先级警报，以便他们了解需要首先解决的问题。
提供漏洞完整历史记录和范围的可见性和上下文，以帮助安全团队进行调查。
在威胁传播之前自动遏制或修正威胁。

理论上可以监测电脑上的一举一动

卡爹

qqq2142 发表于 2024-7-20 15:06
一眼丁真的玩意用得着阴谋论？
市面上这么多家做EDR的方案，为什么会选择一家只有13年历史的公司？是他们 ...

有一说一，经此一役，论击坠数估计没有比他成绩更好的了