“墨者”导致瑞星部分功能失效
操作系统及补丁情况:Windows XP SP2
浏览器及版本:IE6
瑞星软件版本:2008正式版和2009公测版
涉及的其它软件版本:墨者 3.6
问题现象:墨者和瑞星共存时“主动防御-系统加固-监控挂全局钩子”功能失效。
出现问题前的操作步骤:两者安装不分先后顺序都会出现此现象。
问题能否复现:必现
原因分析:瑞星是通过驱动程序在内核中拦截Shadow SSDT 表中的NtUserSetWindowsHook函数实现监控全局钩子的,墨者也实现了类似的功能,估计墨者的拦截函数在拦载到全局钩子时绕过瑞星的拦截代码而直接调用原系统功能,从而使瑞星的拦截功能失效。
注意:瑞星安装时监控全局钩子的功能并没有开启。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; CNCDialer; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
