建议瑞星改进驱动的挂钩方式 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛个人产品讨论区 瑞星杀毒软件 瑞星杀毒软件2011 建议瑞星改进驱动的挂钩方式

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十五次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[原创] 建议瑞星改进驱动的挂钩方式

shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	发表于： 2011-11-16 15:47 \| 只看楼主短消息资料字号：小中大 1楼建议瑞星改进驱动的挂钩方式发现金山、360 都是采用了 hook KiFastCallEntry实现以所有系统调用的过滤。似乎江民也是采用了此种方法！！！瑞星摒弃 ssdt / shadown hook 方式吧！！！这种挂钩方式，容易被绕过特别是程序进入 ring0 的情况下，采用ssdt 或 shadown hook 方式，如何监控呢？？？国内主流几乎都采用了 hook KiFastCallEntry实现以所有系统调用的过滤！！！就剩下瑞星还是抱着 ssdt 不松手！！！而x 都 inline 了， inline 了很多函数请改进！！！用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	分享到：

瑞星工程师12 在线技术支持工程师帖子:21624 注册: 2008-09-08 来自:RISING	发表于： 2011-11-16 15:52 \| 短消息资料字号：小中大 2楼回复 1F shulun743 的帖子建议已经收集反馈。感谢您对瑞星的支持！欢迎加入瑞星杀毒软件QQ群 47032532 瑞星个人防火墙QQ群 204732153 瑞星路由安全卫士QQ群 213941034 瑞星安全WiFi QQ群 81864985 瑞星手机安全助手QQ群 64866930
瑞星工程师12 在线技术支持工程师帖子:21624 注册: 2008-09-08 来自:RISING

dong0022 强壮不惑狮帖子:1003 注册: 2011-09-17 来自:	发表于： 2011-11-17 11:05 \| 短消息资料字号：小中大 3楼回复：建议瑞星改进驱动的挂钩方式国产江民、瑞星、微点，国外卡巴都是挂SSDT 金山是跟360学的，但实际使用效果照人家差多了挂在您说的位置适合云主防，而星星是行为分析，如果整体防御机制不变的话应该不会改
dong0022 强壮不惑狮帖子:1003 注册: 2011-09-17 来自:

shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	发表于： 2011-11-17 13:30 \| 只看楼主短消息资料字号：小中大 4楼回复：建议瑞星改进驱动的挂钩方式纠正：瑞星卡巴是 ssdt 江民也是跟金山一样了，你可以看一下！！！另外，云主防和行为分析和挂钩没有关系
shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:

shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	发表于： 2011-11-17 13:58 \| 只看楼主短消息资料字号：小中大 5楼回复：建议瑞星改进驱动的挂钩方式另外 x 是大量的 inline ，你看看
shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:

dong0022 强壮不惑狮帖子:1003 注册: 2011-09-17 来自:	发表于： 2011-11-17 15:25 \| 短消息资料字号：小中大 6楼回复 4F shulun743 的帖子江民2011发布时还是SSDT，现在不清楚换钩子的话防御机制会变，目前从2012泄露版来看一切没变。
dong0022 强壮不惑狮帖子:1003 注册: 2011-09-17 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT