1   1  /  1  页   跳转

[原创] 建议瑞星改进 驱动的 挂钩方式

建议瑞星改进 驱动的 挂钩方式

发现 金山 、360  都是采用了 hook KiFastCallEntry实现以所有系统调用的过滤。

似乎 江民  也是采用了 此种方法!!!


瑞星 摒弃  ssdt /  shadown  hook  方式吧!!!




这种挂钩方式 ,容易被绕过


特别是 程序 进入 ring0  的 情况下 ,采用ssdt  或 shadown  hook 方式 ,如何监控呢???




国内 主流  几乎 都采用了 hook KiFastCallEntry实现以所有系统调用的过滤!!!


就剩下 瑞星 还是 抱着 ssdt  不松手 !!!


而x 都 inline 了 ,  inline 了 很多 函数


请改进!!!


用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
分享到:
gototop
 

回复 1F shulun743 的帖子

建议已经收集反馈。感谢您对瑞星的支持!
欢迎加入
瑞星杀毒软件QQ群 47032532
瑞星个人防火墙QQ群 204732153
瑞星路由安全卫士QQ群 213941034
瑞星安全WiFi QQ群 81864985
瑞星手机安全助手QQ群 64866930
gototop
 

回复:建议瑞星改进 驱动的 挂钩方式

国产江民、瑞星、微 点,国外卡巴都是挂SSDT
金山是跟360学的,但实际使用效果照人家差多了
挂在您说的位置适合云主防,而星星是行为分析,如果整体防御机制不变的话应该不会改
gototop
 

回复:建议瑞星改进 驱动的 挂钩方式

纠正 :瑞星 卡巴  是 ssdt

江民 也是 跟金山 一样了 ,你可以看一下  !!!

另外 ,云主防 和 行为分析 和 挂钩 没有 关系
gototop
 

回复:建议瑞星改进 驱动的 挂钩方式

另外  x 是  大量的 inline  ,你看看
gototop
 

回复 4F shulun743 的帖子

江民2011发布时还是SSDT,现在不清楚
换钩子的话防御机制会变,目前从2012泄露版来看一切没变。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT