回复:所谓“干掉KV 2008, Rising等大部分杀软”的“苏大米”
我倒了……
sudami那个驱动的意义,本来就是在加载后起作用的。
用HIPS拦截,让它不能加载驱动,当然就不能发挥作用,也就没有了研究的意义了。
更何况,这个驱动只是为了演示如何对付KV等杀毒软件的自我保护,包括还原众多的inline hook,搜索未导出的内核函数,或者自己实现内核函数的功能,等等。
因此,从anti-rootkit的角度上,从对系统底层和杀毒软件HIPS原理的研究上来说,sudami的分析和尝试是有价值的。
因此,这个程序没有考虑其他的比如如何过主动防御来加载驱动的问题,也不是针对SSM和TINY的。拦截掉它的驱动加载,与sudami所要讨论的技术内容,是牛头不对马嘴。
更何况sudami不是写病毒的,只是一个系统内核编程的爱好者。这个程序也不是用来干坏事的,并不是实用形的病毒程序。