【腾讯电脑管家7.0卡饭独家测评】管家V7驾驭群龙之作-720度双层全方位立体-深度测评

余热

技术探秘楼 终于来了，不是很懂，但感觉很牛B。

还有dopod2009评测里说管家没有 ShadowSSDT HOOK，但LZ这里怎么又有了？
http://bbs.kafan.cn/forum.php?mo ... ;page=1#pid25011568

驭龙

余热 发表于 2012-6-25 21:24
技术探秘楼 终于来了，不是很懂，但感觉很牛B。

还有dopod2009评测里说管家没有 ShadowSSDT HOOK， ...

他那个帖子我之前看过了，怎么说呢，或许是他分析的不够透彻，或者说他选择的工具有一点弱吧，所以没发现QQ电脑管家的Shadow SSDT HOOK钩子。

在我这里我就不再多说什么了，抱歉

乐活

哥们你太强悍了，看你的帖子花了俺大概30多分钟，呵呵
强力支持！

ymcyyf

Mini Driver？从何处得知？

驭龙

ymcyyf 发表于 2012-6-26 11:23
Mini Driver？从何处得知？

关于mini 驱动问题，可以看看我之前写的MSE监控机制帖子

http://bbs.kafan.cn/thread-1102192-1-1.html

自从微软的反恶意软件客户端1.0（Forefront Client Security v1.0）开始，就已经拥有利用Windows 系统的文件系统筛选器管理器驱动，进行实时监控的功能。

那么史蒂文·辛诺夫斯基，为什么这么说呢？答案是：Windows 7当中内置的Windows Defender没有调用Windows 系统的文件系统筛选器管理器驱动的Mpfilter驱动，而在Windows 8的WD里加入了Mpfilter驱动，名称为WDfilter。

正是由于Windows 7里的Windows Defender没有mpfilter驱动，使用Z龙大胆的确定，MSE在没有利用mpfilter驱动监控文件时，就是通过对其它进程的监控，来达到监控效果的。大家可以找几个Windows 7里WD可杀的间谍软件，放在一个文件夹，访问文件夹，看看什么反应，在双击间谍软件是什么反应（不要实机试验哦），就还明白了。（关于WD的测试，Z龙以后有机会再录制视频）

通过查看MSE的文件，可以发现WD的监控方式已经被mpfilter取代，这就是第二阶段里，中断实时监控以后，只有双击病毒，才会报毒的原因。（由于MSE需要加载mpfilter驱动才能启动实时监控，一旦删除mpfilter驱动，MSE将彻底无法启动访问保护和行为监控）。

大家可以放心，在百分之九十九的情况下，MSE是通过Mpfilter驱动调用Windows 系统的文件系统筛选器管理器驱动，进行实时监控！

驭龙

乐活 发表于 2012-6-26 11:00
哥们你太强悍了，看你的帖子花了俺大概30多分钟，呵呵
强力支持！

感谢乐叔的支持，谢谢啊

乐活

驭龙 发表于 2012-6-26 11:32
感谢乐叔的支持，谢谢啊

真的是很棒的，力作啊！看得出来很用心！

驭龙

乐活 发表于 2012-6-26 12:05
真的是很棒的，力作啊！看得出来很用心！

多谢夸奖，其实这是初稿，等下个月更新完成以后，会系统的整理一下，到时候，效果会比现在好一点，呵呵

乐活

驭龙 发表于 2012-6-26 12:32
多谢夸奖，其实这是初稿，等下个月更新完成以后，会系统的整理一下，到时候，效果会比现在好一点，呵呵

现在看着就很不错了，有条有理，有理有据的。祝你取得好成绩！

驭龙

乐活 发表于 2012-6-26 13:58
现在看着就很不错了，有条有理，有理有据的。祝你取得好成绩！

感谢祝福，我现在正在努力，希望拿一个二等奖iPad，哈哈