原帖在ESET区:http://bbs.kafan.cn/thread-599565-1-1.html
ID为gh-satan的会员说到“xp在开机时为了快速让用户见到桌面,用个一个障眼法,就是将驱动和服务三六九等,0级和1级驱动在滚动条时就加载,2级以后的低级别驱动到登陆时才加载,从而可以大大减少用户在滚动条的等待时间,快速看到桌面(实际上看到桌面不代表启动成功,还有N多东西需要继续加载)。而病毒、恶软这类流氓也是分三六九等的,通常三流流氓通过启动项来启动,二流的通过服务来启动,一流的则通过高级别驱动加载,其启动级别通常是0。这就有一个问题,如果杀软启动级别低于流氓,那结果势必是杀软虽然可以监控到病毒,但总要提醒你重启后再删除,但重启后病毒依然先于杀软加载,杀软还是不能清除,就不断提醒你重启。我研究过NOD的几个启动项,eamon启动级别2,ekrn也是2,ehdrv级别1,还有一个ehttpsrv是3,就是说他所有的启动项里级别最高就是1。最近遭遇过一个奇怪的驱动级病毒,他启动级别是0,很多安软(包括NOD)都能发现他,都提示重启后删除,但无论怎么重启都删除不掉,因为他总是先于杀软载入内存。
我想问的是,杀软为什么不将其重要的启动项级别设为0,从理论上说不该是更安全么?”
其实,我发现,很多杀软的启动级别都在2、3级左右,包括红伞和NOD32 在内的很多杀软,在进入桌面后,启动主进程及监控都需要一定的时间。
ID为lllusionWing的会员这样说到“那个启动级别仅对驱动有效。对于R3服务那个Start键值的值毫无意义。
对于驱动,最重要的也是 type 那个键值,而不是start。
start键值无非就一下几种取值,boot|system|auto|demand|disabled|delayed-auto
其中,驱动只能取前两个值,BOOT 和 SYSTEM ,关键原因在于,在BOOT驱动加载的时候,系统内核许多函数还没有初始化,所以BOOT级驱动能干的事情是非常少的。希望LZ能去多看看SCM方面的资料。”
这些问题,我有考虑过,因为我发现红伞的托盘出现后,伞由合上到撑开(即监控启动)大约需要3-5秒时间,我就想过,如果有毒在启动时,比杀软先运行那么不是拦截不到了?
所以我有几个问题问问各位,大家讨论下:
1.在进入桌面后有的托盘先出现,有的后出现,是因为启动级的原因吗?
2.为什么有的病毒要重启杀毒?
3.如果有病毒比杀软先运行,比如能使杀软打不开的病毒,机器不是就中招了?什么技术能让杀软进入桌面后比较先运行?如果有这个技术,杀软公司为什么不采用?
4.360安全卫士的“主动防御”有个功能,就是测量开机时间,那是不是意味着,这个进程驱动是所谓的0级?
学习各位
[ 本帖最后由 strawman0719 于 2009-11-27 21:31 编辑 ] | 
发表于 2009-11-27 15:46:27
楼主
发表于 2009-11-27 15:56:56
菜鸟过来学习一下