【讨论】关于防止内核内存写操作导致假死的解决方案

瑞星卡卡安全论坛瑞星2008全功能体验 杀毒软件[已关闭] 【讨论】关于防止内核内存写操作导致假死的解决方案

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

ras10 在线技术支持工程师帖子:147 注册: 2007-07-30 来自:	发表于： 2007-08-22 11:21 \| 显示全部短消息资料字号：小中大 1楼【讨论】关于防止内核内存写操作导致假死的解决方案有很多软件会尝试使用直接访问物理内存。拦截该API后有可能导致系统死锁的情况。这样的情况出现比较随机，有些机器上很严重。。。和系统的当前环境相关。我们将对其做调整：（会在下午2点左右的升级给大家!版本：20.06.21） (修正了代码的bug) 大家测测看看： 1.手功启用系统加固中的写物理内存，并调整为提示！观察：PPLIVE等以前容易假死的程序的情况。是否报框（有些不报是正常的）。是否还会假死。 2.启动系统加固直接拒绝写物理内存观察：PPLIVE等程序是否正常可以使用。如果遇到不能正常使用请确认日志中记录了写物理内存操作。感谢大家！如果有这些问题的人升级了测试结果请跟帖 [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727) 2007-08-24 00:18:52.090000000
ras10 在线技术支持工程师帖子:147 注册: 2007-07-30 来自:	分享到：

在线技术支持工程师

发表于： 2007-08-22 14:48 | 显示全部 短消息资料

字号：小中大 2楼

引用:

【LMhust的贴子】在以上两种情况下（提示和拒绝）

原来提示修改内核内存的程序都不报了。而且也都可以正常的运行。历史记录中也没有相关的记录。

测试的程序有：PPlive,foobar2000,以及游戏模拟器。
………………

不报是正常的，因为PPLIVE ,FOOBAR2000等都是我们判定bug造成的误判。。

大家可以试试winhex 编辑内存，就能试出提示报警框。

在线技术支持工程师

发表于： 2007-08-22 17:44 | 显示全部 短消息资料

字号：小中大 3楼

引用:

【lovethemm的贴子】用winhex写虚拟内存貌似也不报告
修改其他内存无反映修改瑞星内存提示触发API规则

天那我系统崩溃了添加删除程序和一些系统自带程序无法打开说找不到组件刚才改内存改的瑞星主动防御我设置的最高级别可也一点没有提示结果改崩溃了从做系统去了 ……
………………

用应用保护加入你指定要修改内存的程序，然后选不可篡改内存（拒绝）试试。
应用保护有很强的保护功能。（不但可以保护虚拟内存写，也能保护不被结束，挂起等。）

1 / 1 页

跳转页

ras10 在线技术支持工程师帖子:147 注册: 2007-07-30 来自:	发表于： 2007-08-22 11:21 \| 显示全部短消息资料字号：小中大 1楼【讨论】关于防止内核内存写操作导致假死的解决方案有很多软件会尝试使用直接访问物理内存。拦截该API后有可能导致系统死锁的情况。这样的情况出现比较随机，有些机器上很严重。。。和系统的当前环境相关。我们将对其做调整：（会在下午2点左右的升级给大家!版本：20.06.21） (修正了代码的bug) 大家测测看看： 1.手功启用系统加固中的写物理内存，并调整为提示！观察：PPLIVE等以前容易假死的程序的情况。是否报框（有些不报是正常的）。是否还会假死。 2.启动系统加固直接拒绝写物理内存观察：PPLIVE等程序是否正常可以使用。如果遇到不能正常使用请确认日志中记录了写物理内存操作。感谢大家！如果有这些问题的人升级了测试结果请跟帖 [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727) 2007-08-24 00:18:52.090000000
ras10 在线技术支持工程师帖子:147 注册: 2007-07-30 来自:	分享到：