【讨论】关于防止内核内存写操作导致假死的解决方案

瑞星卡卡安全论坛瑞星2008全功能体验 杀毒软件[已关闭] 【讨论】关于防止内核内存写操作导致假死的解决方案

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 4 页

跳转页

ras10 在线技术支持工程师帖子:147 注册: 2007-07-30 来自:	发表于： 2007-08-22 11:21 \| 只看楼主短消息资料字号：小中大 1楼【讨论】关于防止内核内存写操作导致假死的解决方案有很多软件会尝试使用直接访问物理内存。拦截该API后有可能导致系统死锁的情况。这样的情况出现比较随机，有些机器上很严重。。。和系统的当前环境相关。我们将对其做调整：（会在下午2点左右的升级给大家!版本：20.06.21） (修正了代码的bug) 大家测测看看： 1.手功启用系统加固中的写物理内存，并调整为提示！观察：PPLIVE等以前容易假死的程序的情况。是否报框（有些不报是正常的）。是否还会假死。 2.启动系统加固直接拒绝写物理内存观察：PPLIVE等程序是否正常可以使用。如果遇到不能正常使用请确认日志中记录了写物理内存操作。感谢大家！如果有这些问题的人升级了测试结果请跟帖 [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727) 2007-08-24 00:18:52.090000000
ras10 在线技术支持工程师帖子:147 注册: 2007-07-30 来自:	分享到：

zaoboy 初生襁褓狮帖子:2 注册: 2007-08-22 来自:	发表于： 2007-08-22 13:00 \| 短消息资料字号：小中大 2楼要的就是这个,期待2点的到来,呵呵还有1小时15分钟,这个问题比较严重,像我开机MSN自启动,不管放过还是添加白名单都不管用,我专门测试了一下.这个假死直接让我系统启动后等待时间在1分钟左右.期待解决.
zaoboy 初生襁褓狮帖子:2 注册: 2007-08-22 来自:

四次元口袋初生襁褓狮帖子:6 注册: 2007-08-22 来自:	发表于： 2007-08-22 13:11 \| 短消息资料字号：小中大 3楼这个要是改好了用起来就很方便了我用KMP打开电影时就会假死好一段时间害的我要把恶意行为监测关了才行
四次元口袋初生襁褓狮帖子:6 注册: 2007-08-22 来自:

博导自信弱冠狮帖子:324 注册: 2003-05-14 来自:	发表于： 2007-08-22 14:28 \| 短消息资料字号：小中大 4楼你不觉得直接访问内存的软件都值得研究吗？类似syscheck的安全检查软件
博导自信弱冠狮帖子:324 注册: 2003-05-14 来自:

lovethemm 初生襁褓狮帖子:109 注册: 2007-08-19 来自:	发表于： 2007-08-22 14:29 \| 短消息资料字号：小中大 5楼升级后我测试的几个软件都没出现假死情况现在我从起机器再进行测试
lovethemm 初生襁褓狮帖子:109 注册: 2007-08-19 来自:

LMhust 特邀体验者帖子:2953 注册: 2006-03-12 来自:	发表于： 2007-08-22 14:39 \| 短消息资料字号：小中大 6楼在以上两种情况下（提示和拒绝）原来提示修改内核内存的程序都不报了。而且也都可以正常的运行。历史记录中也没有相关的记录。测试的程序有：PPlive,foobar2000,以及游戏模拟器。
LMhust 特邀体验者帖子:2953 注册: 2006-03-12 来自:

在线技术支持工程师

发表于： 2007-08-22 14:48 | 只看楼主 短消息资料

字号：小中大 7楼

引用:

【LMhust的贴子】在以上两种情况下（提示和拒绝）

原来提示修改内核内存的程序都不报了。而且也都可以正常的运行。历史记录中也没有相关的记录。

测试的程序有：PPlive,foobar2000,以及游戏模拟器。
………………

不报是正常的，因为PPLIVE ,FOOBAR2000等都是我们判定bug造成的误判。。

大家可以试试winhex 编辑内存，就能试出提示报警框。

lovethemm 初生襁褓狮帖子:109 注册: 2007-08-19 来自:	发表于： 2007-08-22 14:52 \| 短消息资料字号：小中大 8楼假死状态没了但瑞星不提示了困惑是把这个BUG修复了还是把这个功能屏蔽了测试软件街机模拟器类游戏一些游戏的外挂
lovethemm 初生襁褓狮帖子:109 注册: 2007-08-19 来自:

lovethemm 初生襁褓狮帖子:109 注册: 2007-08-19 来自:	发表于： 2007-08-22 15:03 \| 短消息资料字号：小中大 9楼用winhex写虚拟内存貌似也不报告修改其他内存无反映修改瑞星内存提示触发API规则天那我系统崩溃了添加删除程序和一些系统自带程序无法打开说找不到组件刚才改内存改的瑞星主动防御我设置的最高级别可也一点没有提示结果改崩溃了从做系统去了 ……
lovethemm 初生襁褓狮帖子:109 注册: 2007-08-19 来自:

四次元口袋初生襁褓狮帖子:6 注册: 2007-08-22 来自:	发表于： 2007-08-22 15:24 \| 短消息资料字号：小中大 10楼 ========Content======== 试了下PPLIVE，WE2007都没有假死也没有出现任何提示用KMPLAY时右下角弹了一下提示框也没有假死没影响使用暂时挺好的
四次元口袋初生襁褓狮帖子:6 注册: 2007-08-22 来自:

1 / 4 页

跳转页

ras10 在线技术支持工程师帖子:147 注册: 2007-07-30 来自:	发表于： 2007-08-22 11:21 \| 只看楼主短消息资料字号：小中大 1楼【讨论】关于防止内核内存写操作导致假死的解决方案有很多软件会尝试使用直接访问物理内存。拦截该API后有可能导致系统死锁的情况。这样的情况出现比较随机，有些机器上很严重。。。和系统的当前环境相关。我们将对其做调整：（会在下午2点左右的升级给大家!版本：20.06.21） (修正了代码的bug) 大家测测看看： 1.手功启用系统加固中的写物理内存，并调整为提示！观察：PPLIVE等以前容易假死的程序的情况。是否报框（有些不报是正常的）。是否还会假死。 2.启动系统加固直接拒绝写物理内存观察：PPLIVE等程序是否正常可以使用。如果遇到不能正常使用请确认日志中记录了写物理内存操作。感谢大家！如果有这些问题的人升级了测试结果请跟帖 [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727) 2007-08-24 00:18:52.090000000
ras10 在线技术支持工程师帖子:147 注册: 2007-07-30 来自:	分享到：