火绒盾（断开网络失效）问题已经查明～～【问题已经解决】

-oAo-

哦------原来是冲突呀

BootMgr

zhq445078388 发表于 2012-7-31 13:42
很多时候需要挂的 事实上 当回调的函数向回jmp的时候 会略过后面的 当第一个被un hook后 第二个接收到参数  ...

技术分析参考9楼～  别人挂了IAT它就失效这纯属是代码质量不够及开发者经验不足啊～

BootMgr

-oAo- 发表于 2012-7-31 14:31
哦------原来是冲突呀

不是冲突，而是火绒代码没写好

zhq445078388

BootMgr 发表于 2012-7-31 14:33
技术分析参考9楼～  别人挂了IAT它就失效这纯属是代码质量不够及开发者经验不足啊～

额 我把inline的经验直接照搬看来有大问题...

-oAo-

BootMgr 发表于 2012-7-31 14:34
不是冲突，而是火绒代码没写好

我看见说“最终确认：火绒防火墙IAT挂接方式，现在360也在使用,导致挂接冲突”

BootMgr

-oAo- 发表于 2012-7-31 14:35
我看见说“最终确认：火绒防火墙IAT挂接方式，现在360也在使用,导致挂接冲突”

他说的不对嘛，本来这些挂接方式（尤其是对这个注册协议的）很多安全软件都在用，如果别人挂了他就失效，这不是什么挂接冲突，而是它的代码质量差，缺乏经验导致的BUG。

BootMgr

zhq445078388 发表于 2012-7-31 14:35
额 我把inline的经验直接照搬看来有大问题...

和inline是类似的，挂钩者要保证挂钩后，别的挂钩者的正确挂钩功能也正常，另外要考虑已经存在别的挂钩者的时候自身的挂钩也要正常
这属于安全软件挂钩的基本常识了。

火绒开发者闹的笑话一是把自己挂钩没挂好赖到别人头上，实际上是代码写得对几个人同时挂本来就不该有问题,稍有常识者都知道了

笑话二是用个钩子扫描器扫一下看到报几个IAT就以为别人挂钩了好几个，实际上是单个EAT挂钩的传递效果，稍有常识者都知道了

最好笑的是第三个笑话，看到扫了几个IAT就 产生”难怪有些卡哦“ 这种让人笑掉大牙的小白式解释。实际上卡不卡和挂几个实在关系不大，卡不卡取决于后面的处理和算法，稍有常识者都知道了，火绒觉得自己的处理和算法比360优秀？

zhq445078388

BootMgr 发表于 2012-7-31 14:37
和inline是类似的，挂钩者要保证挂钩后，别的挂钩者的正确挂钩功能也正常，另外要考虑已经存在别的挂钩 ...

EAT是修改导出表 所以别人引用几处就几个iat的显示是么?.我这么理解的

说道inline  我在想 保证兼容性嘛..我曾干过 通过开头的jmp定位到hook的回调 然后在这个回调里面hook

最后就莫名其妙的蓝了..原因死活找不到

china_killer

BootMgr 发表于 2012-7-31 14:37
和inline是类似的，挂钩者要保证挂钩后，别的挂钩者的正确挂钩功能也正常，另外要考虑已经存在别的挂钩 ...

MJ还是那个MJ

第一：我们说了，我们会在近期解决这个冲突
第二：我特在图里标红了，EAT---IAT，每个模块一个。。。我说别的吗？为什么要把事扯到传递～～
谁不知道EAT的值被引用到导入的模块内了？？？ 造成这些模块实际效果是你都挂了，为什么不精确挂你需要的模块呢？

BootMgr

zhq445078388 发表于 2012-7-31 14:46
EAT是修改导出表 所以别人引用几处就几个iat的显示是么?.我这么理解的

说道inline  我在想 保证 ...

你对EAT理解得没错，看来你的水平已经超越楼主这个瑞星前CTO了，值得鼓励啊