2012 是不是不採用 SSDT hooks 呢？

显示全部楼层 · 发表于 2011-6-26 18:56:25

如題，我用 ARK 工具看，沒看到有 hooks

显示全部楼层 · 发表于 2011-6-26 18:57:21

不懂技术来学习

显示全部楼层 · 发表于 2011-6-26 18:59:37

本帖最后由李白vs苏轼于 2011-6-26 19:21 编辑

是

恢复ssdt 对于病毒都无代价了

显示全部楼层 · 发表于 2011-6-26 19:01:34

饶了小白吧

显示全部楼层 · 发表于 2011-6-26 19:16:33

李白vs苏轼发表于 2011-6-26 18:59
是

恢复ssdt 对于病毒都无代价了，那么有的话，是不是找抽呢

自保就可以防止被恢復SSDT hooks 呀

显示全部楼层 · 发表于 2011-6-26 19:19:35

本帖最后由李白vs苏轼于 2011-6-26 19:30 编辑

a256886572008 发表于 2011-6-26 19:16
自保就可以防止被恢復SSDT hooks 呀

可是已经没必要这样挂了、
毒霸2012在r3下是inline hook

显示全部楼层 · 发表于 2011-6-26 19:20:20

李白vs苏轼发表于 2011-6-26 18:59
是

恢复ssdt 对于病毒都无代价了，那么有的话，是不是找抽呢

SSDT Hook 又不是一定是自保.
要恢复的话inline hook 也不难啊.

显示全部楼层 · 发表于 2011-6-26 19:32:35

金山也没有这个了啊，和MSE一样了啊

不过这样对于毒霸的兼容模式好处~

显示全部楼层 · 发表于 2011-6-26 19:32:46

本帖最后由李白vs苏轼于 2011-6-26 19:33 编辑

hu3167343 发表于 2011-6-26 19:20
SSDT Hook 又不是一定是自保.
要恢复的话inline hook 也不难啊.

这个点难以恢复的就是有一个判断的过程，需要搜索特征一样的匹配，若有一点没有操作好，就是蓝屏
不像ssdt，可以直接全搞

显示全部楼层 · 发表于 2011-6-26 19:36:38

李白vs苏轼发表于 2011-6-26 19:32
这个点难以恢复的就是有一个判断的过程，需要搜索特征一样的匹配，若有一点没有操作好，就是蓝屏
不像 ...

兄弟 SSDT HOOK 也不一定恢复就简单滴.
看下我的这篇博文下面的评论再说吧. http://hi.baidu.com/hu3167343/bl ... 3e9fd238db49f5.html

[金山] 2012 是不是 不採用 SSDT hooks 呢？