國內殺軟都不用 SSDT hooks ？

显示全部楼层 · 发表于 2011-6-30 18:11:33

z13667152750 发表于 2011-6-30 18:06
因为大家都挂的ssdt......

也就是说，单就某个杀毒来说，挂哪个都一样（防御效果来说），但为了与其它配合不冲突才有的改了？

显示全部楼层 · 发表于 2011-6-30 18:14:48

本帖最后由 z13667152750 于 2011-6-30 18:19 编辑

seehere 发表于 2011-6-30 18:11
也就是说，单就某个杀毒来说，挂哪个都一样（防御效果来说），但为了与其它配合不冲突才有的改了？

ssdt钩子的拦截晚一些

360的kifastcallentry直接在ssdt钩子处理内存之前把内存模块拿走了，360自己分析并且处理完后再返回，

也就是说360拦截后ssdt就检测不到东西，但是如果360放行了ssdt hook仍然可以拦截

显示全部楼层 · 发表于 2011-6-30 18:21:50

李白vs苏轼发表于 2011-6-30 15:43
360挂的 Iat 的优点除了简单,稳定还有其他优点吗?

人家挂的是系统调用的入口, IAT都来了

显示全部楼层 · 发表于 2011-6-30 18:26:41

z13667152750 发表于 2011-6-30 18:14
ssdt钩子的拦截晚一些

360的kifastcallentry直接在ssdt钩子处理内存之前把内存模块拿走了，360自己分 ...

感谢解答。

显示全部楼层 · 发表于 2011-6-30 18:33:57

嘿嘿，反正就用一个，管他挂什么

貌似，我以前用XT也可以看到360挂的钩子！

显示全部楼层 · 发表于 2011-6-30 19:24:25

同时装的话就不止一个钩子了

显示全部楼层 · 发表于 2011-6-30 19:27:50

SSDT什么东西？求科普

显示全部楼层 · 发表于 2011-6-30 22:32:54

小紫英发表于 2011-6-30 15:35
金山明明有一个ssdt啊

SSDT其实是一种比较弱的技术，很容易被木马发现并且给修改掉。而且兼容性不好。
金山采用的技术是在进入SSDT hooks之前就进行拦截，就是刚刚系统内核还没有进入SSDT之前进行拦截，是通过内存热补丁的方式来做的，这样拦截又隐蔽，兼容性又好。大家可以用XueTr看到金山的钩子。

显示全部楼层 · 发表于 2011-6-30 22:49:37

cutemole 发表于 2011-6-30 22:32
SSDT其实是一种比较弱的技术，很容易被木马发现并且给修改掉。而且兼容性不好。
金山采用的技术是在进入 ...

在进入SSDT hooks之前就进行拦截，内存热补丁

听着怎么这么像kifastcallentry

显示全部楼层 · 发表于 2011-6-30 23:14:36

cutemole 发表于 2011-6-30 22:32
SSDT其实是一种比较弱的技术，很容易被木马发现并且给修改掉。而且兼容性不好。
金山采用的技术是在进入 ...

金山官方的吗？

[讨论] 國內殺軟都不用 SSDT hooks ？