建议改进瑞星保护机制
研究江民2013的监控
本次更新的内容是江民2013实时监控机制。
这次的内测版,监控机制没有使用SSDT钩子和SSDT HOOK钩子技术,而是采用了最通用的FSFilter(文件系统筛选)技术,也就是mini Filter驱动调用fltMgr.sys(文件系统筛选管理器)进行实时监控文件的技术。
但是,江民2013的实时监控机制,并没有那么简单,我们在mini Filter 驱动之中是看不到江民的FSFilter驱动文件KVFileGuard
我们之所以在mini Filter之中看不到KVFileGuard.sys,是因为江民2013好像是采用了更先进的技术,直接把KVFileGuard.sys引入fltMgr.sys过滤驱动的附加驱动。
http://bbs.kafan.cn/thread-1343414-1-1.html用户系统信息:Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.137 Safari/537.36 LBBROWSER
