刚刚只看了第4楼,有疑问:
1.缺少类似于Autoruns的启动项查看工具。
那瑞星杀毒软件界面上的“启动选项”是干什么的?!
如果你一定要说“瑞星应该把它拆开来,成为单独的工具”,那得跟瑞星建议一下
卡卡助手也有扫描启动项的功能。如果非要“可以改名”,还真得试试把卡卡助手主文件改名,看看能不能正常运行。
2.缺少顽固文件删除工具
那瑞星的文件粉碎功能是干什么的?!请看看你的右键菜单。
3.缺少SYS文件等非法注入文件察看工具
我不太清楚你说的是哪种工具,是哪种功能。是查看加载的内核模块的?或是包括查看R3程序加载的模块的?
瑞星界面上的“系统状态”是干什么的?
里面包括结束或挂起进程、查看进程模块等功能。进程列表的查看上,瑞星算是进了Ring0的,如程序修改内核EPROCESS对象的ActiveProcessLinks来隐藏进程,在任务管理器下会有效,而在瑞星的“系统状态”中会变标记为隐藏进程。但是瑞星查看程序模块的方法,则还是遍历PEB的,只在Ring3修改PEB就可以让瑞星查看到的模块“似是而非”。
至于瑞星的“系统状态”中结束进程的功能,我想怎么着也不会比ntsd更差吧?按你的说法,ntsd是以调试的方法打开进程,这并不必然成功,一个HOOK就可以让它失败。
