辛巴影子卫士1.5.6技术预览版

SONGBOWEN

另外，不能加载驱动的这个设计也非常不好，连VMTools都出现了问题，没办法让鼠标从主机到虚拟机拖动文件……

simbatek

原帖由 SONGBOWEN 于 2008-11-7 13:23 发表

驱动不让加载，物理磁盘不能访问……

嗯，间接带来一个问题，不能访问物理硬盘的话，有些需要硬盘SN做注册码的软件，是否可以正常注册？

据我所知大多数，用硬盘做注册码条件的，是
CreateFile打开"C:\\", DeviceIoControl调用IOCTL_DISK_GET_DRIVE_GEOMETRY取得磁盘信息的

这是不受影响的，因为C:这个卷设备是允许被打开的。

驱动不让加载，具体说是不随系统自动启动的驱动不让加载，如果用户需要加载，我会提供一种方式，在正式版中可能会体现出来。

simbatek

原帖由 SONGBOWEN 于 2008-11-7 13:28 发表
另外，不能加载驱动的这个设计也非常不好，连VMTools都出现了问题，没办法让鼠标从主机到虚拟机拖动文件……

很想做一个自动判断危害的模块，想WinHex和VMTools这些可以信任的都自动过

肉包子

搞白名单或者排除？

simbatek

原帖由 肉包子 于 2008-11-7 14:45 发表
搞白名单或者排除？

可以。
原来我在驱动里面用黑名单拒绝加载的方法，但黑名单永远是滞后的，所以暂时抛弃。

jmzz

原帖由 simbatek 于 2008-11-7 14:49 发表


可以。
原来我在驱动里面用黑名单拒绝加载的方法，但黑名单永远是滞后的，所以暂时抛弃。

驱动里面还存在吧？

jmzz

驱动不让加载，具体说是不随系统自动启动的驱动不让加载

这种方式是错误的，开始没有注意这个问题，以为做了驱动防火墙之类的东西，后来一看，只要有驱动加载的全不能干活了，这个可不行的

jmzz

太厉害了，呵呵，只要进入保护模式，ZwLoadDriver，ZwSetSystemInformation(26)都不能干活，强

simbatek

原帖由 jmzz 于 2008-11-7 14:58 发表


驱动里面还存在吧？

嗯。像360学习的。还留着，在辛巴的驱动启动和到辛巴的服务启动前这个时间区间内起作用。
辛巴的服务启动后这个功能就没机会执行力

simbatek

原帖由 jmzz 于 2008-11-7 15:11 发表
太厉害了，呵呵，只要进入保护模式，ZwLoadDriver，ZwSetSystemInformation(26)都不能干活，强

SSDT hook的时机不是进入保护模式，如果驱动检测到本次要进入保护模式，在文件系统可以工作后，就进入了保护模式，这个时候还没有SSDT hook，如果这个时候hook后面的很多驱动就启动不了了

ZwSetSystemInformation加载驱动是一种undocument的方式，理应封杀掉
我会想办法把ZwLoadDriver放得松一点。