建议瑞星改进 驱动的 挂钩方式
发现 金山 、360 都是采用了 hook KiFastCallEntry实现以所有系统调用的过滤。
似乎 江民 也是采用了 此种方法!!!
瑞星 摒弃 ssdt / shadown hook 方式吧!!!
这种挂钩方式 ,容易被绕过
特别是 程序 进入 ring0 的 情况下 ,采用ssdt 或 shadown hook 方式 ,如何监控呢???
国内 主流 几乎 都采用了 hook KiFastCallEntry实现以所有系统调用的过滤!!!
就剩下 瑞星 还是 抱着 ssdt 不松手 !!!
而x 都 inline 了 , inline 了 很多 函数
请改进!!!
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
