哪种方式更好？ HOOK VS Filter Driver on FSD

显示全部楼层 · 发表于 2012-7-11 21:51:51

本帖最后由 chujunci 于 2012-7-11 21:57 编辑

在恶意行为监控中有两种常见的方法：

1.可能很多人都会想到用放各种HOOK的方法解决

2.可能还有一些人会想到用文件过滤驱动来解决

在网上大致分为两派：

一派认为：用HOOK的方式才是正道

另一派认为：用文件过滤驱动同样可以解决问题

一派认为：用文件过滤驱动比较麻烦，放HOOK比较省事

另一派认为：用文件过滤驱动安全性，效率更高，用HOOK容易出现各种问题。

显示全部楼层 · 发表于 2012-7-11 22:00:35

微软向来推荐filter，而不是hook，稳定性两则无法对比

显示全部楼层 · 发表于 2012-7-11 22:03:41

MagicFuzzX 发表于 2012-7-11 22:00
微软向来推荐filter，而不是hook，稳定性两则无法对比

哈哈！现在很多还是喜欢用HOOK来解决问题啊！

显示全部楼层 · 发表于 2012-7-11 22:11:05

HOOK 太多会影响系统性能

显示全部楼层 · 发表于 2012-7-11 22:29:12

chujunci 发表于 2012-7-11 22:03
哈哈！现在很多还是喜欢用HOOK来解决问题啊！

文件过滤驱动没几个不用filter，而是fsd hook的

显示全部楼层 · 发表于 2012-7-11 22:32:19

这几天在思考第四代杀软，等我有头续再告你哈，，。。。。。。。。。

反正指定不是hook或驱动。。。。。。。

显示全部楼层 · 发表于 2012-7-11 23:34:40

每个公司每个程序员都有个自的喜好，不管用什么方法能达到目的就ok

显示全部楼层 · 发表于 2012-7-12 10:51:01

过滤驱动比较省事 hook的话各种漏很蛋疼

显示全部楼层 · 发表于 2012-7-12 10:53:04

过滤驱动好

显示全部楼层 · 发表于 2012-7-12 11:44:48

FSD hook 各种不稳定现在除了急救箱专杀可能还有几乎没人用了

[讨论] 哪种方式更好？ HOOK VS Filter Driver on FSD