瑞星的驱动分析

研究发现瑞星的驱动 在shadown ssdt方面 更加完善了!!!

但还是不够完美,因为在ring0层 系统函数的调用是不通过shadown ssdt和ssdt的,所以还是inline稳妥点!

NtUserNotifyIMEStatus(shadown ssdt)  请挂钩此函数 实现保护瑞星不被枚举窗口和复制句柄

NtOpenProcess瑞星虽然挂钩了此函数(ssdt),但是在ring0层,函数的调用---可不通过ssdt 啊,建议inline 之!

NtDuplicateObject 建议同上(ssdt)

NtOpenThread  如此重要的函数(ssdt),瑞星居然没有勾上,更不用说inline了!瑞星线程不就被打开了呢?

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)