shulun743 - 2011-11-16 15:47:00
发现 金山 、360 都是采用了 hook KiFastCallEntry实现以所有系统调用的过滤。
似乎 江民 也是采用了 此种方法!!!
瑞星 摒弃 ssdt / shadown hook 方式吧!!!
这种挂钩方式 ,容易被绕过
特别是 程序 进入 ring0 的 情况下 ,采用ssdt 或 shadown hook 方式 ,如何监控呢???
国内 主流 几乎 都采用了 hook KiFastCallEntry实现以所有系统调用的过滤!!!
就剩下 瑞星 还是 抱着 ssdt 不松手 !!!
而x 都 inline 了 , inline 了 很多 函数
请改进!!!
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
瑞星工程师12 - 2011-11-16 15:52:00
建议已经收集反馈。感谢您对瑞星的支持!
dong0022 - 2011-11-17 11:05:00
国产江民、瑞星、微 点,国外卡巴都是挂SSDT
金山是跟360学的,但实际使用效果照人家差多了
挂在您说的位置适合云主防,而星星是行为分析,如果整体防御机制不变的话应该不会改
shulun743 - 2011-11-17 13:30:00
纠正 :瑞星 卡巴 是 ssdt
江民 也是 跟金山 一样了 ,你可以看一下 !!!
另外 ,云主防 和 行为分析 和 挂钩 没有 关系
shulun743 - 2011-11-17 13:58:00
另外 x 是 大量的 inline ,你看看
dong0022 - 2011-11-17 15:25:00
江民2011发布时还是SSDT,现在不清楚
换钩子的话防御机制会变,目前从2012泄露版来看一切没变。
© 2000 - 2024 Rising Corp. Ltd.