shulun743 - 2011-3-28 9:34:00
研究发现瑞星的驱动 在shadown ssdt方面 更加完善了!!!
但还是不够完美,因为在ring0层 系统函数的调用是不通过shadown ssdt和ssdt的,所以还是inline稳妥点!
NtUserNotifyIMEStatus(shadown ssdt) 请挂钩此函数 实现保护瑞星不被枚举窗口和复制句柄
NtOpenProcess瑞星虽然挂钩了此函数(ssdt),但是在ring0层,函数的调用---可不通过ssdt 啊,建议inline 之!
NtDuplicateObject 建议同上(ssdt)
NtOpenThread 如此重要的函数(ssdt),瑞星居然没有勾上,更不用说inline了!瑞星线程不就被打开了呢?
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
瑞星工程师16 - 2011-3-28 10:47:00
此建议已收集反馈,感谢支持!
© 2000 - 2025 Rising Corp. Ltd.