想知道两个主防不冲突的原理？

chen月

想知道两个主防不冲突的原理？
bdis和360两个都有主防   官方说两个完全兼容   但是好奇的是两个都有主防   而且都属于底层的主防   如何能实现兼容呢？  元芳  你解释下？

bie201314

不是说一般要关一个主防吗

fen86

元芳太忙了，没时间解释

chen月

bie201314 发表于 2012-11-21 09:25
不是说一般要关一个主防吗

是这么说啊   但是官方说完全兼容   两个主防开了都木有问题   就是想知道怎么会不冲突   不是两个主防必冲突的么

小朱朱onlyAI

chen月 发表于 2012-11-21 09:40
是这么说啊   但是官方说完全兼容   两个主防开了都木有问题   就是想知道怎么会不冲突   不是两个主防必 ...

应该是优先制的问题。估计是360优先。360主防握有根权限，然后分类讨论：1、360报则BD不报。2、360不报，BD报则BD向360索取权限。这样可以完全兼容。

chen月

小朱朱onlyAI 发表于 2012-11-21 11:59
应该是优先制的问题。估计是360优先。360主防握有根权限，然后分类讨论：1、360报则BD不报。2、360不报， ...

我噻   你的解释很靠谱   感谢你

diayy

小朱朱onlyAI 发表于 2012-11-21 11:59
应该是优先制的问题。估计是360优先。360主防握有根权限，然后分类讨论：1、360报则BD不报。2、360不报， ...

从技术上来说我更加愿意相信是BD给360权限，何况360用BD引擎。

chen月

diayy 发表于 2012-11-21 14:40
从技术上来说我更加愿意相信是BD给360权限，何况360用BD引擎。

那为什么360和红伞不能兼容？360用红伞引擎更多些   卫士和杀毒都是

LisaLan

去掉某个或者全部内核属性

jefffire

上面几个都是什么跟什么呀

32位和64位系统的实现有区别。以32为为例，BD和360都对系统函数进行了hook，但是位置不同。360在系统入口点hook（hook KiFastCallEntry 实现对所有系统调用的过滤），而BD则是SSDT hook 和shadow SSDT hook。这样当其他程序调用系统函数时，首先会被360捕获（因为在入口），360过滤后，返回原位置。继续传递被BD捕获，BD进行过滤后，再转跳会原位置也就是原来的系统函数进行进一步处理。
以上的表述只是大概，并不准确，因为涉及比较复杂的概念。区区几百字根本说不清楚。
简而言之就是设想成水处理的方式，层层过滤。一般hook得当规范，且对hook后得到的信息过滤恰当的情况下不会冲突。

至于x64系统，微软的patch Guard不允许对内核的hook（其实还是可以的，但是比较繁琐），所以一般都是利用微软提供的call back和minifilter，更稳定，但是由于回调点有限，因此监控点大大受限。好像扯远了，总之X64下用标准接口就更稳定了。