国内杀软真的不能做到“深入系统底层”？

z13667152750

那个2楼真好笑

连扫描引擎和过滤驱动都没搞清楚

hx1997

... PG 只是监视内核结构异常改动的... 就是不准乱 Hook。
阻止进入内核层的是驱动签名强制验证，驱动必须要有有效数字签名才能加载。

独孤无语

hx1997 发表于 2012-12-16 22:11
... PG 只是监视内核结构异常改动的... 就是不准乱 Hook。
阻止进入内核层的是驱动签名强制验证，驱动必须 ...

谢谢解惑！那我前面的回复就错了。

以前看rootkit文献看得我一头雾水，只能参考OSI的结构，想象得出那么个东西。

计算机的还真不好理解

whf20

只知道电脑由硬件层、硬件抽象层（也称中间层）、系统软件层和应用软件层组成。记得以前360嘲笑过某杀软，是游离于表面应用层的东西。

独孤无语

whf20 发表于 2012-12-16 22:18
只知道电脑由硬件层、操作系统层和用户层组成，以前360嘲笑过某安软，是游离于用户层的东西。

那只能是玩具，还真没有听过360有过如此说法。

那3层拿来科普容易理解，在深入一点就不同了。

“深入系统底层”，还真是被广告神话的词

whf20

独孤无语 发表于 2012-12-16 22:24
那只能是玩具，还真没有听过360有过如此说法。

那3层拿来科普容易理解，在深入一点就不同了。

360肯定有过这种说法的，不过是比较久的了，权当拿来说笑。
一般用户根本无法理解什么是杀软的“深入系统底层”，一听就觉得是高科技。实际上任何安全软件都不是100%有效的，对病毒的制作者来说，无论你在胴体外套了多少件防护服，他们都会尝试着把你扒光然后笑嘻嘻地把邪恶的触手伸到最深处 ---嗯，是指系统的最深处。这就是病毒的各种免杀、加壳、加花等技术。

独孤无语

whf20 发表于 2012-12-16 22:35
360肯定有过这种说法的，不过是比较久的了，权当拿来说笑。
一般用户根本无法理解什么是杀软的 ...

现在谁会写那些只能拿来造成机子蓝屏的代码，深入系统底层，乱hook只会蓝屏重启。木马，盗取各种信息的才是主流。

现在他们一般想着怎么在杀软发现前尽快的“捞一笔”，搞些深入系统底层的有毛用？

现在木马和杀软的战争回到老路上来，你变种来我更新，没完没了

其实就是劫财不劫色，他不脱你衣服，就拿你钱包的钱

whf20

独孤无语 发表于 2012-12-16 22:47
现在谁会写那些只能拿来造成机子蓝屏的代码，深入系统底层，乱hook只会蓝屏重启。木马，盗取各种信 ...

所以嘛，用户无需理解太多什么技术，只要常来卡饭之类的论坛，知道什么样的杀软比较好就行了~
还是那句老话：没有绝对安全的软件，再强大的安全软件也仅能保证你的电脑相对安全。

独孤无语

whf20 发表于 2012-12-16 22:59
所以嘛，用户无需理解太多什么技术，只要常来卡饭之类的论坛，知道什么样的杀软比较好就行了~
还是 ...

这贴本来是“科普目的”的，弄着弄着跑去系统层次了。

主要科普大家莫被华丽的广告词弄迷糊了；
再者为国产杀软抱不平，为一些虚的流言弄得大家对国内杀软没信心多不值得

大漠X孤烟

我也一直搞不清楚，帖子看了我还是没弄明白……不知道国内杀软具体实现的方式是什么？和国外杀软有什么区别？另外那些所谓的云感觉很虚，还有诺顿据说可是有部分微软部分源代码，他们对系统底层的利用和防护和国内有什么不同？
还有那个帖子我也看了，不仅仅那个帖子上说国内杀软兼容快，要仅仅兼容快我可以理解为程序员日夜加班写代码，但是其实微软这种新系统出来时国内杀软（像360杀毒，金山毒霸等）其实不需要更新就可以使用，而国外的如诺顿，卡巴等等他们一般需要出新版本，做很大改变，以前的就算能装上去可能会导致蓝屏等等问题，这个又该怎么解释？而且基本上都出了新版本（貌似老板本推送更新也不好兼容），不要说国内杀软代码写的优秀，兼容性好，也不要说国外杀软调用了很多系统ring0层改动大的api（为什么系统改动对他们影响大而国内杀软影响小呢），感觉国外的主防也比一些国内的优秀……
同求解