查看: 5050|回复: 1
收起左侧

[新闻资讯] 关于卡巴的兼容模式的探讨!

[复制链接]
wangjay1980
发表于 2007-2-24 09:10:21 | 显示全部楼层 |阅读模式
        其实用了这么久卡巴,但是一直不知道卡巴的兼容模式到底是怎么回事,也是一个偶然的事

情,我终于发现了兼容模式到底是做了些什么。如果你既安装了卡巴又装了SRE的话,你会发现,

每次打开SRE都会有个警告,有四个函数的值与预期值不符LoadLibraryA  LoadLibraryW  LoadLibra

ryExA  LoadLibraryExW。其实这四个函数是被卡巴HOOK了,我也不懂编程,所以不知道HOOK这

四个函数有什么作用,上网查了下,LoadLibrary - 目标进程可以通过调用此函数来加载病毒DLL。

如果HOOK了这四个函数,就可以知道某个进程启动调用了那些DLL,也就是可以监控某些木马病

毒通过调用这四个函数来加载和启动自己的程序。我想卡巴提示某个进程被某个DLL注入就是因为

HOOK了这几个函数而得知的。那么如果你选取了卡巴的兼容模式,那么卡巴将不会在HOOK这四

函数,(如果你选了兼容模式,重启后再打开SRE,就会发现那个警告没有了)所以,选了兼容

式后,卡巴对此的监控就没有了,我认为是不安全的。所以建议不要选择兼容模式


PS:由于本人不懂编程,所以如果有错误的地方希望高手指正

评分

参与人数 1经验 +5 收起 理由
风之语 + 5 原创内容

查看全部评分

diketaozi
发表于 2007-2-24 09:22:05 | 显示全部楼层
正是如此,所以上次我在回帖中帖出来了,会进行API HOOK的正常软件名单:包括Kaspersky Antivirus,Outpost Firewall Pro 4.0
会进行API HOOK的正常软件名单:
Kaspersky Antivirus
Kaspersky Antivirus 对下列 Win32 API 进行了HOOK操作:

LoadLibraryA
LoadLibraryW
LoadLibraryExA
LoadLibraryExW
如果你安装了Kaspersky Antivirus,那么看到的警告提示信息是正常的。可以忽略。

Agnitum Outpost Firewall Pro 4.0
Agnitum's Outpost Firewall Pro 4.0 对下列 Win32 API 进行了HOOK操作:

NtCreateThread
NtRestoreKey
NtSetValueKey
NtTerminateProcess
ZwCreateThread
ZwRestoreKey
ZwSetValueKey
ZwTerminateProcess
CreateProcessA
CreateProcessW
CreateRemoteThread
如果你安装了Agnitum's Outpost Firewall Pro 4.0,那么看到的警告提示信息是正常的。可以忽略。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 08:32 , Processed in 0.207792 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表