shulun743 - 2011-5-26 10:51:00
关于 驱动的解析
http://www.docin.com/p-56065699.html
http://bbs.driverdevelop.com/read.php?tid-98917.html
http://edu.kafan.cn/html/mircopoint/3977.html
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
瑞星工程师16 - 2011-5-26 10:56:00
您希望瑞星具体实现那些功能?
shulun743 - 2011-5-26 13:51:00
一、inline 相关函数 增强自保
因为 在驱动中调用 函数 是不经过 ssdt的 所以 请 inline 之!详细信息如下:
http://hi.baidu.com/killvxk/blog/item/f6ec9f1030522278ca80c403.htmlhttp://www.cppblog.com/sleepwom/archive/2009/10/18/98882.aspx
http://www.hackbase.com/tech/2009-04-11/52146_1.html
http://www.cnblogs.com/russinovich/archive/2011/04/19/2020385.htmlhttp://www.cnblogs.com/russinovich/archive/2011/04/19/2020901.html二、希望使用更加先进的技术 来代替 ssdt 如 :全部inline 相关 ssdt 函数 ,object hook ,防止被绕过主防
当然 若大量使用 inline 技术 就等着经常蓝屏吧!
类似 360的挂钩 ,希望瑞星可以考虑 nt!KiFastCallEntry+0xe1
http://edu.kafan.cn/html/mircopoint/3977.html三、监视自身 保护自身 ,防止自身函数被恢复,防止 自身 进线程杯结束 ,防止自身注册表项被删除 ,若发现上述问题 自动修复
建议一个线程 ,最好是 隐身的线程 能定时 检测 ,若发现上述情况 ,修复!
http://www.docin.com/p-56065699.html
© 2000 - 2025 Rising Corp. Ltd.