瑞星的驱动分析
研究发现瑞星的驱动 在shadown ssdt方面 更加完善了!!!
但还是不够完美,因为在ring0层 系统函数的调用是不通过shadown ssdt和ssdt的,所以还是inline稳妥点!
NtUserNotifyIMEStatus(shadown ssdt) 请挂钩此函数 实现保护瑞星不被枚举窗口和复制句柄
NtOpenProcess瑞星虽然挂钩了此函数(ssdt),但是在ring0层,函数的调用---可不通过ssdt 啊,建议inline 之!
NtDuplicateObject 建议同上(ssdt)
NtOpenThread 如此重要的函数(ssdt),瑞星居然没有勾上,更不用说inline了!瑞星线程不就被打开了呢?
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
