火绒这软件现在怎么样

Mouri_Naruto

驭龙 发表于 2016-6-22 18:19
火绒好像是FS Filter技术进行监控，是最通用的文件监控方式之一

首先我说碰到你的回复我很幸运（你的MSE系列文章我大致都看了）

但是既然火绒在ring0层采用文件系统过滤驱动实现了监控……为何还要在ring3的ntdll.dll的api再挂一层钩子（粗略看了看二进制，貌似火绒会监控exfat,fastfat,ntfs这三个文件系统驱动……但还没打开ida仔细研究）

我不是很理解，为何要重复两层同样的防护（貌似其他公司的杀软都不用hook都是过滤驱动）

朋友如果不是因为他写的工具在某些环境下有兼容性问题的话，他也不会去研究，也就不会发现火绒ring3层hook的坑爹了（更不可能说火绒和铁门塞克一样坑了）

以上仅供参考，有空我得研究下火绒的内核实现

驭龙

Mouri_Naruto 发表于 2016-6-22 23:17
首先我说碰到你的回复我很幸运（你的MSE系列文章我大致都看了）

但是既然火绒在ring0层采用文件系统 ...

我也奇怪的，明明有FS filter还用Ring3，但很多现在都有类似的方式双重API，现在如ESET的反隐身等功能模块都是DLL调用NTDLL.DLL的内核函数，之前WD的核心引擎也是调用NT函数的，现在取消了。

我发现很多安软的DLL都会调用NTDLL的API，所以并不是火绒的个例。

然而我不推崇火绒，我基本上没有实机安装过，没有具体研究过，看一下FS Filter的驱动监控点，就毫无兴趣了，或许Ring3的函数，就是弥补FS Filter么？当然我也是猜测而已，毕竟不是专业人士。

我怕火绒粉黑，所以我们就不要讨论了，下次有机会再聊吧

Mouri_Naruto

驭龙 发表于 2016-6-23 08:24
我也奇怪的，明明有FS filter还用Ring3，但很多现在都有类似的方式双重API，现在如ESET的反隐身等功能模 ...

嗯……你的回复有道理……谢谢（有空我真的得去看看）

ph202020

我只能说棒棒哒

skycai

忽然想到楼上某专家写的度娘5.0了。
那个评测可以说是花团锦簇。

问题在于和火绒相比，那个软件又如何呢？

顺便说个，我是度娘国际粉，度娘国内黑~~

qqddliu

不管黑猫白猫，能抓耗子就是好猫，不管什么杀软，能跟上更新杀毒就行。木剑一样可以杀人，锋利的宝剑也未必有用。

驭龙

skycai 发表于 2016-6-23 09:23
忽然想到楼上某专家写的度娘5.0了。
那个评测可以说是花团锦簇。

在说我吗？可我不是砖家

国际版已经不存在了，但说实话，如果非要火绒跟百度比的话，我不会选择火绒，仅是我的个人看法

skycai

驭龙 发表于 2016-6-23 10:54
在说我吗？可我不是砖家

国际版已经不存在了，但说实话，如果非要火绒跟百度比的话， ...

嘿嘿。如果评测度娘国际版能这样花团锦簇，我想我不说啥。

可国内版那些根本半成品的啥啥啥都能写的这样，表示佩服~~

当然，选择啥是个人喜好~~

88

驭龙

skycai 发表于 2016-6-23 10:59
嘿嘿。如果评测度娘国际版能这样花团锦簇，我想我不说啥。

可国内版那些根本半成品的啥啥啥都能写的这 ...

问题在于国际版的查杀引擎原因，所以我很少玩，但它的主防和功能，真的不错，因此我期待的是国际版进一步融入到国内版，那样确实是不错，现在国内版5确实是很多需要改进，但至少进步速度是比较好的，起码某些方面还是不错。

北极之上

单奔火绒