杀软监控问题

显示全部楼层 · 发表于 2009-7-1 17:58:05

杀软用来监控东西来进行挂钩是要用到SSDT表吗如果杀软SSDT表被恢复那么监控是否失灵

本人菜鸟还忘各路大虾指教

显示全部楼层 · 发表于 2009-7-1 19:35:21

不一定用到SSDT表，如果用到SSDT表，而SSDT表被恢复，那监控有可能失灵

显示全部楼层 · 发表于 2009-7-1 22:13:20

学习了。

显示全部楼层 · 发表于 2009-7-2 16:53:04

SSDT指的是什么病毒会用到这些地方吗

显示全部楼层 · 发表于 2009-7-2 17:06:23

个人认为不会，只是有可能被病毒干掉

显示全部楼层 · 发表于 2009-7-3 08:37:25

那ARK工具提供了那么多钩子给我们干什么

显示全部楼层 · 发表于 2009-7-3 11:19:52

ARK 工具不挂钩如何读取别人是否挂钩,如何将隐藏的进程显示出来
总之不占据底层,ARK工具什么都干不了,相当于任务管理器了
这是我肤浅的理解

显示全部楼层 · 发表于 2009-7-3 11:29:57

LS貌似你对钩子之类的很了解问你一个问题那提供那么多钩子检测是干什么用的呢

显示全部楼层 · 发表于 2009-7-3 11:45:42

原帖由 SONGLEI 于 2009-7-3 11:19 发表
ARK 工具不挂钩如何读取别人是否挂钩,如何将隐藏的进程显示出来
总之不占据底层,ARK工具什么都干不了,相当于任务管理器了
这是我肤浅的理解

ark的hook一般是用作自我保护的，当然像RKU那样检测stealth code确实用到了hook，但毕竟不多。
要检测rootkit，unhook或者直接绕过hook就可以了。
国外的很多ark只是一个scanner，为了稳定根本不会hook或者unhook。
总之，占据底层不一定需要hook的。

显示全部楼层 · 发表于 2009-7-3 11:46:43

SSDT的全称是System Services Descriptor Table，系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表，它还包含着一些其它有用的信息，诸如地址索引的基地址、服务函数个数等。通过修改此表的函数地址可以对常用windows函数及API进行hook，从而实现对一些关心的系统动作进行过滤、监控的目的。一些HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块
目前有些病毒确实会采用强力恢复SSTD表的方法来保护自己或者破坏防毒软件，但在这种病毒进入系统前如果防毒软件能够识别并清除它将没有机会发作.当然有些杀毒软件不是通过SSDT表来挂接系统来实现监控的。所以恢复SSTD的方法并不是对所有防毒软件都有效。

[ 本帖最后由 zq127 于 2009-7-4 23:33 编辑 ]

[求助] 杀软监控问题

评分

评分