一个关于病毒和杀软启动级别的问题。

gh-satan

xp在开机时为了快速让用户见到桌面，用个一个障眼法，就是将驱动和服务三六九等，0级和1级驱动在滚动条时就加载，2级以后的低级别驱动到登陆时才加载，从而可以大大减少用户在滚动条的等待时间，快速看到桌面（实际上看到桌面不代表启动成功，还有N多东西需要继续加载）。而病毒、恶软这类流氓也是分三六九等的，通常三流流氓通过启动项来启动，二流的通过服务来启动，一流的则通过高级别驱动加载，其启动级别通常是0。这就有一个问题，如果杀软启动级别低于流氓，那结果势必是杀软虽然可以监控到病毒，但总要提醒你重启后再删除，但重启后病毒依然先于杀软加载，杀软还是不能清除，就不断提醒你重启。我研究过NOD的几个启动项，eamon启动级别2，ekrn也是2，ehdrv级别1，还有一个ehttpsrv是3，就是说他所有的启动项里级别最高就是1。最近遭遇过一个奇怪的驱动级病毒，他启动级别是0，很多安软（包括NOD）都能发现他，都提示重启后删除，但无论怎么重启都删除不掉，因为他总是先于杀软载入内存。
我想问的是，杀软为什么不将其重要的启动项级别设为0，从理论上说不该是更安全么？
PS：请不要跟我说“上传样本，无图无真相”，我讨论的是一种现象，而不是一个个案。

[ 本帖最后由 gh-satan 于 2009-11-27 09:04 编辑 ]

不是人

NOD32的没在意过，很早以前杀软刚开始鼓吹先于系统启动的时候，国内3大杀软我进行了测试，只有江民做到了

huangdan811

问题有点高深。
理论上是这样的，但是搞级别加驱可能会有弊端。
貌似微点是Ring 0的。

strawman0719

这个问题我也有考虑到，问题是可以说绝大多数杀软都是1、2的驱动，江民我不知道，瑞星能有开机查杀并在欢迎界面就有瑞星的图标不知道它的启动级是什么

chen月

好强呀   看不懂啊

wang20503

这个问题问得好  不知道红伞是什么级别

gh-satan

原帖由 strawman0719 于 2009-11-27 09:19 发表
这个问题我也有考虑到，问题是可以说绝大多数杀软都是1、2的驱动，江民我不知道，瑞星能有开机查杀并在欢迎界面就有瑞星的图标不知道它的启动级是什么

欢迎界面时所有的0、1级驱动都已经加载完了。瑞星的开机查杀也是在滚动条之后才有。

WEI.ER

可以这么说吧，不可能会有软件凌驾于微软之上的，意思就是说，所有的启动项目必须等到微软自身的文件启动完毕才能其他其他软件以及驱动的加载，你想让杀软启动级别改成0，除非经过微软同意，所谓的什么狗屁认证，不然还是老老实实等吧。

strawman0719

原帖由gh-satan于 2009-11-27 09:33 发表欢迎界面时所有的0、1级驱动都已经加载完了。瑞星的开机查杀也是在滚动条之后才有。

原来如此…那么大多数杀软都没达到0级了，360安全卫士的主动防御测量开机时间的服务项是0级了？

strawman0719

红伞绝对是2级甚至3级的，红伞任务栏图标出现之后开启监控还需要3—5秒的时间
这帖子应该发到国外大区，让大家讨论