【2011年12月20日】动态编译 加快速度 ZMPI自学习反病毒 高级启发式 钓鱼启发式

zhq445078388

BHHZDQL 发表于 2011-10-15 15:41
你的引擎我不跟进了
大更新再跟进

嗯 先别跟了 指不定出啥毛病
我先研究会
这动不动就崩溃啊

zhq445078388

BHHZDQL 发表于 2011-10-15 15:41
你的引擎我不跟进了
大更新再跟进

杀毒的监控问题：
1、启动项 点了允许 继续弹
2、进程 点阻止 会把另外一个同名进程干掉
3、进程路径 和进程名应该分开 不然看不到是什么
4、弹窗进程启动时候 应该用api把目标进程暂停

问题补充
扫描过程中 时间靠近的时候发现多个未知
鉴定会冲突
建议在开启自动寻鉴定时放弃1扫出结果 未知的结果放在2扫
或者把进行云鉴定的文件列表放在单独的编辑框里面

BHHZDQL

zhq445078388 发表于 2011-10-15 16:53
嗯 先别跟了 指不定出啥毛病
我先研究会
这动不动就崩溃啊

还是老版本引擎稳定

BHHZDQL

zhq445078388 发表于 2011-10-15 17:01
杀毒的监控问题：
1、启动项 点了允许 继续弹
2、进程 点阻止 会把另外一个同名进程干掉

1.貌似判断逻辑问题- -
2.这是那个取进程真实名搞得。。。目前木有解决办法
4.可以有
另外鉴定时扫描会暂停的呀
PS：我提供免费的Z+整合服务

zhq445078388

BHHZDQL 发表于 2011-10-15 17:48
1.貌似判断逻辑问题- -
2.这是那个取进程真实名搞得。。。目前木有解决办法
4.可以有

先不用了。。现在我专注把扫描加速做好。。

BHHZDQL

zhq445078388 发表于 2011-10-15 18:16
先不用了。。现在我专注把扫描加速做好。。

那你自己摆弄实时监控把
挂起进程代码在寻找中,要不你写个?

zhq445078388

BHHZDQL 发表于 2011-10-15 18:54
那你自己摆弄实时监控把
挂起进程代码在寻找中,要不你写个?

.DLL命令 进程暂停, , "NTDLL.DLL", "ZwSuspendProcess", , 暂停
    .参数 进程句柄
.DLL命令 进程恢复, , "NTDLL.DLL", "ZwResumeProcess", , 恢复
    .参数 进程句柄

OK不？

BHHZDQL

zhq445078388 发表于 2011-10-15 19:24
.DLL命令 进程暂停, , "NTDLL.DLL", "ZwSuspendProcess", , 暂停
    .参数 进程句柄
.DLL命令 进程恢复 ...

是直接ZwSuspendProcess（进程名）？

zhq445078388

BHHZDQL 发表于 2011-10-15 19:34
是直接ZwSuspendProcess（进程名）？

老大。。进程句柄要用打开进程来取  打开进程的参数是进程pid

BHHZDQL

zhq445078388 发表于 2011-10-15 19:49
老大。。进程句柄要用打开进程来取  打开进程的参数是进程pid

.版本 2

.子程序 _按钮1_被单击
.局部变量 进程ID, 整数型
.局部变量 进程句柄, 整数型

进程ID ＝ 到数值 (编辑框1.内容)
进程句柄 ＝ OpenProcess (2035711, 0, 进程ID)
输出调试文本 (进程句柄)
ZwSuspendProcess (进程句柄)
CloseHandle (进程句柄)

.子程序 _按钮2_被单击
.局部变量 进程ID, 整数型
.局部变量 进程句柄, 整数型

进程ID ＝ 到数值 (编辑框1.内容)
进程句柄 ＝ OpenProcess (2035711, 0, 进程ID)
ZwResumeProcess (进程句柄)
CloseHandle (进程句柄)