研究江民2013的监控

本次更新的内容是江民2013实时监控机制。


这次的内测版，监控机制没有使用SSDT钩子和SSDT HOOK钩子技术，而是采用了最通用的FSFilter（文件系统筛选）技术，也就是mini Filter驱动调用fltMgr.sys（文件系统筛选管理器）进行实时监控文件的技术。


但是，江民2013的实时监控机制，并没有那么简单，我们在mini Filter 驱动之中是看不到江民的FSFilter驱动文件KVFileGuard




我们之所以在mini Filter之中看不到KVFileGuard.sys，是因为江民2013好像是采用了更先进的技术，直接把KVFileGuard.sys引入fltMgr.sys过滤驱动的附加驱动。





http://bbs.kafan.cn/thread-1343414-1-1.html

用户系统信息：Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.137 Safari/537.36 LBBROWSER