1   1  /  1  页   跳转

[建议] 增强自保

增强自保


 附件: 您所在的用户组无法下载或查看附件








因为 内核调用 这两个 函数时  不经过ssdt




希望 瑞星能inline  这两个函数

用户系统信息:Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.66 Safari/537.36 LBBROWSER
君素雅达,必不致令我徒劳往返也
分享到:
gototop
 

回复:增强自保

详细说明一下,这两个函数的意思,及inline 的意义
gototop
 

回复:增强自保

这两个函数 是属于内核级的关闭进程 线程的 函数,挂接这两个函数保护瑞星自身进程和线程不被结束。inline是直接在以前的函数替里面修改指令,用一个跳转或者其他指令来达到挂钩的目的。杀毒软件会修改这类函数开头的几个字节使其变为一个跳转指令,跳到杀毒软件作者自己写的函数地址上,之后这个自定义函数开始分析传进来的参数,如果发现是自己进程,那么返回失败,如果是其他进程,那么不做任何反映直接跳回去执行原始函数以后的代码。这样杀毒软件的进程就不会被关闭。

内核 调用这两个函数时 是不通过ssdt的,若病毒加载驱动干掉 瑞星进程时,瑞星是不知道的,原因我也说了 ,因为内核间调用是不经过ssdt的,所以 请 inline 这两个函数,保护瑞星。
最好 要 挂上 KiInsertQueueApc这个函数,防止病毒通过异步过程调用结束瑞星进程。
君素雅达,必不致令我徒劳往返也
gototop
 

回复 3F shulun743 的帖子

截图中的那两个函数瑞星已经挂接了。KiInsertQueueApc这个函数暂时不考虑。
gototop
 

回复: 增强自保

.不是吧?瑞星  只在 ssdt 中挂接 了 这两个函数!!!

并没有 inline 之!!!




请确认!!!
君素雅达,必不致令我徒劳往返也
gototop
 

回复 5F shulun743 的帖子

"shulun743",谢谢您的建议,我一直关注您的帖子,大多数帖子都很好!我承认您有一定的电脑汇编语言的基础,想必您在您的电脑圈里小有名气吧!电脑专业知识学习的不怎么扎实,信息很乱,您没有从瑞星现阶段的需求出发,量很多,但都是肤浅的东西,没有实际价值,说句我不该说的话,很直白的,希望您多担待点儿。您需要了解瑞星企业的文化。例如,和其它安全公司相比较,为什么瑞星每个版本都CPU占有率都居高不下?为什么它有卡顿的现象出现?2014年主打的是4核杀毒引擎吧!它为什么要这样说呢?等等问题。
gototop
 

回复: 增强自保

例如,和其它安全公司相比较,为什么瑞星每个版本都CPU占有率都居高不下?为什么它有卡顿的现象出现?2014年主打的是4核杀毒引擎吧!它为什么要这样说呢?等等问题。



为何 CPU 占用那么高呢?


为何有卡顿的现象呢?


你来说?
君素雅达,必不致令我徒劳往返也
gototop
 

回复

大概是因为瑞星当初设计产品架构时过于重视功能忽略了用户体验,造成CPU 占用那么高,有卡顿的现象。
gototop
 

回复 5F shulun743 的帖子

确认过了
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT