什么是系统级杀毒软件？看这里

医学家

　　王磊介绍，首先，“驱动级编程技术”主要体现在杀毒软件的“病毒实时监控”这一功能上。大家知道，电脑的所有操作指令是由其大脑CPU发出的，一般CPU指令分为四个优先层级， ring0、ring1、ring2、ring3， 应用程序运行在ring3，涉及到操作系统任务调度、内存管理、中断和I/O等等的特权指令只有在 Ring0才能执行。对于病毒的活动来说，由于反病毒软件必须保证其在内存阶段即被截获并作出处理，所以普通的用户级程序是无法监控的，只有工作于ring0层（也即系统核心层）的程序才能监控系统活动。江民杀毒软件 KV2005病毒实时监控使用了“驱动级编程技术”，将查病毒模块直接移植到ring0系统核心层直接监控病毒，让工作于系统核心态的驱动程序去拦截所有的文件访问。
　　简单地说，病毒在感染一个文件后，常常会对同类文件进行重复感染，如“新欢乐时光（VBS/KJ）”病毒，会感染所有.exe可执行文件，当病毒在被触发时，病毒会发出感染另一个文件的请求，此时通过“驱动级编程技术”编写的实时监控程序会第一时间根据用户的决定选择不同的处理方案，如清除病毒，禁止访问该文件，删除该文件或简单地忽略。这样就可以有效地阻止病毒的进一步在本机上的传播。
　　王磊进一步说明，与其它杀毒软件通过工作在RING0层（系统核心层）的程序监控到病毒后，再调用RING3层（用户层）的查杀病毒模块对病毒进行处理不同，江民杀毒软件KV2005直接在RING0层对病毒进行处理，真正与操作系统层工作在同一层级，解决了RING0与RING3层之间双向通信消耗问题。如果RING0层的程序监控到病毒再调用RING3层的查杀病毒模块的话（技术上通过异步过程调用APC来实现），可能面临着一些十分可怕的事情，用户可能会发现它会在一段时间内工作正常，但时间一长，系统就被挂起了。就连驱动编程大师Walter Oney在其著作《System Programming For Windows 95》的配套源码的说明中也声称，其APC例程在某些时候工作会不正常。而微软的工程师声称文件操作请求是不能被中断掉的，你不能在驱动中阻断文件操作并依赖于ring3的反馈来做出响应。这些问题的长期存在会使电脑存在打开杀毒软件病毒监控后病毒仍然发作的可能性。采用了“驱动级编程技术”的江民杀毒软件KV2005则解决了此类问题，其病毒监控十分灵敏，效率更高，系统更稳定。

weipengsmile

江民什么技术我不知道，就知道win32平台下，杀软是通过以释放驱动文件来进入ring0 的。也就是sys文件可让你达到和windows同样的优先级，可以访问ring3下不能访问的空间。
ring3下普通的程序不能访问4g线性地址空间属于操作系统核心代码的那一部分

至于无驱进入ring0,那就另当别论了。

嘁。不稀罕~

大部分杀软都加载驱动至ring0，单就抢先防毒，抢先杀毒而言，就算获得windows同样的优先级，也是有加载顺序之分的，至于监控，查杀，病毒库更加重要。。。

wlbol

ring0哦……要说说随着bios的容量增大，我看底层加载部分安装到BIOS中是个主意～～YY的……

wlbol

建议想彻底研究反windows病毒的兄弟们研习《Microsoft Windows Internals》一书～～
PS：想搞破坏的请略过……

taiw_1144

太专业了，看不懂，还是顶一下吧！
！

一介草民

江民被王同学说的那么猛，怎么我的江民会被秒杀呢，死前一点反应都没有 半小时后感觉机子越来越奇怪了才发现江民早已经被干掉了。

xyllryan

大哥，转帖也转新鲜点的帖子吧，这都2005年的老古董了

izual

王磊？王婆？

医学家

各位我只是普及概念，不是帮江民打广告