回复:增强自保
这两个函数 是属于内核级的关闭进程 线程的 函数,挂接这两个函数保护瑞星自身进程和线程不被结束。inline是直接在以前的函数替里面修改指令,用一个跳转或者其他指令来达到挂钩的目的。杀毒软件会修改这类函数开头的几个字节使其变为一个跳转指令,跳到杀毒软件作者自己写的函数地址上,之后这个自定义函数开始分析传进来的参数,如果发现是自己进程,那么返回失败,如果是其他进程,那么不做任何反映直接跳回去执行原始函数以后的代码。这样杀毒软件的进程就不会被关闭。
内核 调用这两个函数时 是不通过ssdt的,若病毒加载驱动干掉 瑞星进程时,瑞星是不知道的,原因我也说了 ,因为内核间调用是不经过ssdt的,所以 请 inline 这两个函数,保护瑞星。
最好 要 挂上 KiInsertQueueApc这个函数,防止病毒通过异步过程调用结束瑞星进程。
