难到SD 是工作在ring3模式下，禁止ring0模式后SD 无法进入影子模式。

224041358

听某人说想防止病毒，就要禁止ring0模式。今天测试了一下，禁止ring0后 SD 死活进入不了影子模式。当场晕菜。难道SD 真的是在ring3 下运行。请宋版解释下。欢迎大家探讨。

不过禁止ring0 后真的能防现在所有的病毒，我用冰点测试的。

醉一生爱妍

。。。。

晕啊，一个shadow system 如果不工作在ring0的话那么还能起什么作用？

你都封死了所有进去ring0的路径。。SD进不去RING0当然是进不去shadow system模式了。。。

224041358

用冰点还原就可以呢。其他还原也可以。惟独SD 进不去。

224041358

如果真象楼上说的，SD 是否也可以只允许自己RING0，那样不就可以防毒了么。

醉一生爱妍

抱歉，我对SD了解也不深。。呵呵

一般来说能穿SD的也只是少数。。通常都是使用恶意磁盘驱动过滤技术来穿的，现在SD正在努力修补中

spiha

SD控制程序本身工作在ring3下 但是进入影子时有磁盘底层操作（不算进ring0） 也会修改根目录的diskpt0.sys 如果失败就无法进入影子

至于SD控制程序可以跟ring0下的SD驱动程序进行通信

我不知道楼主是拦了哪些东西。。

不过全局阻止ring0进入会导致部分软件无法使用 （杀毒、防火墙、游戏的反外挂（游戏本身也进不去了）、外部设备等等）

所以不能这样全局阻止 最多让用户自己去手动排除。。

andyto202

原帖由 224041358 于 2008-6-18 10:07 发表
听某人说想防止病毒，就要禁止ring0模式。今天测试了一下，禁止ring0后 SD 死活进入不了影子模式。当场晕菜。难道SD 真的是在ring3 下运行。请宋版解释下。欢迎大家探讨。

不过禁止ring0 后真的能防现在所有的病毒 ...

可以請問你是怎麼測試的嗎
(如何禁止ring0)

ssyknuwyg

估计是高级危险行为全禁止了

Devy

1、不知道楼主是通过什么软件禁R0的？
2、一些（很多）软件会有两个工作层（驱动在R0，控制台在R3），之间需要互相通讯，部分功能依赖R3层的控制台完成。如果禁R0而不进行对应的排除设置，这些软件可能因进程通讯失败而无法正常工作。估计楼主所说的是这种情况，这并不代表SD不是工作在R0层的。

SONGBOWEN

试问，在Ring3下，如何挂载磁盘过滤驱动？
由此可知，任何一款影子类程序，都是工作在Ring0下的。
但任何一款软件的用户界面，都是工作在Ring3下的。

PS：只考虑Windows操作系统