站长之家 - 业界 2022-02-12 00:15

微软通过改变"排除"权限使恶意软件绕过Defender扫描变得更困难

Microsoft Defender一直受到高度赞扬,它在AV-TEST的2021年12月和2021年10月的最新排名中得分特别也好。然而,AV-Comparatives认为Defender稍逊一筹,至少与它的一些替代品如McAfee相比都是如此。

然而,有一件事在两个评测机构当中却有着共同的观点:Microsoft Defender的得分在2021年下半年都变得更好。而且,随着进入2022年,它看起来还在改进。

账号为CISOwithHoodie的安全研究员注意到,微软最近对Windows Defender Exclusions的权限做了一个非常重要的改变。以前,被排除的文件夹和目录对"所有人"可见,这可以通过注册表地址轻松获得:键名为"HKLMSoftwareMicrosoftWindows DefenderExclusions"。然而,在这次更新后,它被修改为只有具有管理员权限的人才能查看排除的文件和文件夹,如下图所示。

当人们试图使用命令行查询注册表地址以找到排除的文件时,会弹出一个错误信息,说访问被拒绝(如下图),而在早期,它会显示排除的文件和文件夹。

CERT的漏洞分析师Will Dorman也证实,基于注册表的策略变化现在也受到保护。

这样做的主要原因是当排除项对每个人都是可见的,威胁行为者可以很容易地在这些排除的文件夹中放置一个恶意的载荷,并完全绕过Windows Defender扫描。

推荐关键词

24小时热搜

查看更多内容

大家正在看