antispy检查函数钩子，这样是不是意味着kav2013和火绒存在冲突

ksss5566

首先说明，是求助，不懂这些内容，仅根据有些大仙的回帖下，自己检查的函数钩子，小白在所难免。
操作系统：windows xp sp3专业版（虚拟机下的）
检查工具：antispy1.7
检查后，我将结果导入到excel表格中进行对比，这里放上截图，左侧为仅安装kav2013后（红色为安装火绒后被取代的），右侧为同时安装了火绒后，
具体见附件Excel：
ssdt




shadow ssdt

问题：
这是不是说明kav2013的函数钩子在安装火绒后被取代了很多，哪位大仙能帮我解答下？
如果是，是否说明kav2013和火绒是存在冲突的？
如果是冲突，可能有多严重？
ps：同时安装后虚拟机挺卡的。
附：被取代的函数钩子列表：
SSDT
NtClose 关闭处理任何对象类型
NtConnectPort 连接一个端口到另一个端口,接受连接
NtCreateProcess 创建一个新的进程
NtCreateProcessEx 创建一个新的进程
NtCreateSection 创建了一系列的内存支持文件
NtCreateThread 创建一个新线程
NtDebugActiveProcess 使调试器附加到一个积极的过程和调试它
NtDeleteKey 删除注册表项.
NtDeleteValueKey 删除价值.
NtLoadDriver 服务控制管理器加载设备驱动
NtOpenProcess 打开的句柄指定的进程
NtQueryValueKey 资讯检索指定的值
NtQueueApcThread 程序呼叫到一个线程
NtReplaceKey 变化的支持文件的一个关键和其子项,用于备份/恢复
NtRequestWaitReplyPort 发送请求信息,并等待传入的回复邮件
NtRestoreKey 装载的内容主要从一个指定的文件
NtResumeThread 唤醒暂停线程
NtSecureConnectPort 创建一个安全的连接端口
NtSetContextThread 集硬件方面的线程
NtSetSystemInformation 各种行政程序使用此功能
NtSetValueKey 集相关的数据的价值
NtSuspendProcess 暂停一个进程
NtSuspendThread 暂停一个线程的执行
NtSystemDebugControl 实施了一系列的调试器支持的命令
NtTerminateProcess 删除进程
NtTerminateThread 删除线程
NtWriteVirtualMemory 写了一系列的虚拟内存从进程

Shadow SSDT
NtUserFindWindowEx 查找窗口获取句柄
NtUserPostMessage 发送消息到指定窗口
NtUserSetWindowsHookEx 安装HOOK
NtUserMessageCall发送消息

klinxun

有同类的功能本身就容易冲突，下钩子位置一样就更加冲突了。

ksss5566

klinxun 发表于 2013-6-25 17:42
有同类的功能本身就容易冲突，下钩子位置一样就更加冲突了。

也就是说从函数钩子分析，这两个软件一定是冲突的，冲突到什么程度能通过上面内容判断出来吗？或者还有什么方法能更准确的判断两个软件的冲突程度？
求科普，谢谢！

klinxun

ksss5566 发表于 2013-6-25 18:56
也就是说从函数钩子分析，这两个软件一定是冲突的，冲突到什么程度能通过上面内容判断出来吗？或者还有 ...

我没这水平，我唯有yd地at一下人@jefffire @dl123100  

ksss5566

klinxun 发表于 2013-6-25 19:16
我没这水平，我唯有yd地at一下人@jefffire @dl123100

哦，这玩意好像确实不好办，我连学的心都提不起来，耗费精神啊

jefffire

ARK只显示最后挂钩的软件，不代表之前的挂钩被覆盖了。ssdt hook不是一个萝卜一个坑。

klinxun

jefffire 发表于 2013-6-25 20:49
ARK只显示最后挂钩的软件，不代表之前的挂钩被覆盖了。ssdt hook不是一个萝卜一个坑。

不是被覆盖了，也就是同时存在？但这样会否导致严重冲突？

hu3167343

要看后来hook的那个软件的处理方式了
1.调用系统原始的函数，这样的话，先前hook的安全软件就失效了
2.调用先前函数挂钩的函数，安全软件一般都采用这种方式，因此两款软件无影响。

唯一一点是，此时，后一款软件先拦截到可疑行为，然后如果你点拦截的话，那么动作就不会下传到另一个安全软件了。

ksss5566

hu3167343 发表于 2013-6-25 21:42
要看后来hook的那个软件的处理方式了
1.调用系统原始的函数，这样的话，先前hook的安全软件就失效了
2.调 ...

哦，懂一点了。结论是不是还是和以前一样，不排除隐性冲突，但目前没看出有冲突。
这玩意再说深点我估计自己就听不懂了。

hu3167343

ksss5566 发表于 2013-6-26 11:16
哦，懂一点了。结论是不是还是和以前一样，不排除隐性冲突，但目前没看出有冲突。
这玩意再说深点 ...

应该说共存问题不大