为什么你们这些做安全软件的.卸载的时候不把驱动也卸载掉？

myzuzong

332740631 发表于 2013-2-18 15:29
是的   之前因为设备管理器看不出数字签名.也不知道这些驱动是干什么的.今天用win64ast发现了有莫安全软件 ...

那个选项卡下看到的应该是活体驱动。

不过国内杀软卸载后正常情况会删除驱动的。卸载后要重启电脑。你的情况不见得是普遍现象。

shucaiAiz

额...驱动这个问题

如果是安装包自带的卸载程序的话,卸载的时候我最多也就见过停止服务,结束进程,删除注册表+文件,解除注册等等等等,没有个卸载驱动吧?
当然了,停止服务的哈,就应该停止了驱动的服务(加载驱动的前提是创建服务),但是可能没有删除掉服务,所以诸如Win64ast的驱动列表里还是能枚举到这个驱动(如果枚举是依靠注册表的话)...

但是你说的,为什么我们这些做安全软件的为什么不卸载驱动?
有几个原因,我先说我的原因...
我的驱动是调用的别人的驱动(自己没技术写驱动...)
但我不知道这个驱动是否能够重复加载?
也就是说,假如这个驱动的原作者写的驱动,并不是很完美,而我的软件调用了
为了防止第一次加载成功,退出软件就卸载驱动,导致第二次打开软件加载驱动蓝屏咋办?
说简单点,退出的时候不卸载,是因为担心第二次加载驱动无法加载成功(这样的情况下,可能蓝屏啥的)

第二个可能的原因
如果这个软件不是那种用一次就删掉的软件,一般是不会卸载驱动的...
比如360,你不可能用一次就卸载了吧(奇葩,试用除外),所以他不一定会卸载掉驱动...

好吧以上观点都是我自己对于驱动的研究(我不会写,但还是研究了一下下,高手无视掉)

shucaiAiz

332740631 发表于 2013-2-18 15:14
我担心会不会影响电脑性能....

性能不会影响,比如我现在,接触的驱动太多了,导致现在没事就蓝我一下,没事就蓝我一下...原因又看不出来...

shucaiAiz

CiInitialize 发表于 2013-2-18 15:04
设备管理器里那个是假的，驱动早没了，不懂就别拿个破工具装懂

必须有残留哒...

比如没删除的服务,没删除的驱动文件..
而且Win64ast可不是什么破工具...
作者的强大和工具在64位平台的实用性你见识过?

大金鱼先生

有残留正常的，应该服务停止了不会加载的

myzuzong

shucaiAiz 发表于 2013-2-18 16:00
额...驱动这个问题

如果是安装包自带的卸载程序的话,卸载的时候我最多也就见过停止服务,结束进程,删除注 ...

win64ast貌似不是枚举注册表。看得到基址。

Flameocean

CiInitialize 发表于 2013-2-18 15:04
设备管理器里那个是假的，驱动早没了，不懂就别拿个破工具装懂

MJ最近玩了鬼泣5吗，我觉得不咋样的，关注了你微博的

shucaiAiz

myzuzong 发表于 2013-2-18 17:58
win64ast貌似不是枚举注册表。看得到基址。

额...看得到基址的...

那应该就是ring0或者ring3下调用了内核函数,加个结构获取的吧...

一般来说,基址,大小,对象,都能获取到...

myzuzong

shucaiAiz 发表于 2013-2-18 18:07
额...看得到基址的...

那应该就是ring0或者ring3下调用了内核函数,加个结构获取的吧...

说明楼主确实残留了活体驱动。这显然不应该发生。

332740631

shucaiAiz 发表于 2013-2-18 16:04
必须有残留哒...

比如没删除的服务,没删除的驱动文件..

win64ast...界面堪比wsyscheck的增强版....第一次看上去是蛮强大