1   1  /  1  页   跳转

[建议] 增强自保

增强自保


 附件: 您所在的用户组无法下载或查看附件








因为 内核调用 这两个 函数时  不经过ssdt




希望 瑞星能inline  这两个函数

用户系统信息:Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.66 Safari/537.36 LBBROWSER
君素雅达,必不致令我徒劳往返也
分享到:
gototop
 

回复:增强自保

这两个函数 是属于内核级的关闭进程 线程的 函数,挂接这两个函数保护瑞星自身进程和线程不被结束。inline是直接在以前的函数替里面修改指令,用一个跳转或者其他指令来达到挂钩的目的。杀毒软件会修改这类函数开头的几个字节使其变为一个跳转指令,跳到杀毒软件作者自己写的函数地址上,之后这个自定义函数开始分析传进来的参数,如果发现是自己进程,那么返回失败,如果是其他进程,那么不做任何反映直接跳回去执行原始函数以后的代码。这样杀毒软件的进程就不会被关闭。

内核 调用这两个函数时 是不通过ssdt的,若病毒加载驱动干掉 瑞星进程时,瑞星是不知道的,原因我也说了 ,因为内核间调用是不经过ssdt的,所以 请 inline 这两个函数,保护瑞星。
最好 要 挂上 KiInsertQueueApc这个函数,防止病毒通过异步过程调用结束瑞星进程。
君素雅达,必不致令我徒劳往返也
gototop
 

回复: 增强自保

.不是吧?瑞星  只在 ssdt 中挂接 了 这两个函数!!!

并没有 inline 之!!!




请确认!!!
君素雅达,必不致令我徒劳往返也
gototop
 

回复: 增强自保

例如,和其它安全公司相比较,为什么瑞星每个版本都CPU占有率都居高不下?为什么它有卡顿的现象出现?2014年主打的是4核杀毒引擎吧!它为什么要这样说呢?等等问题。



为何 CPU 占用那么高呢?


为何有卡顿的现象呢?


你来说?
君素雅达,必不致令我徒劳往返也
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT