谁知道杀毒软件是靠什么机理实现监控的？

红魔

rt
不是要实时扫描嘛，是怎么实现的

Ayer

貌似是驻守在系统底层监视注册表和文件的更改

sd274994

不知道

雪拥蓝关

请高手回答 。

悠柚

挂系统钩子，ssdt hook

红魔

回复 5# 悠柚

不是吧。。。实时扫描也用挂钩native API。。。。

白羊座

文件过滤驱动

hu3167343

钩子应该也有的吧

chabosh

监控对系统函数的调用和对文件的更改吧

xmiangui

具体实现细节一般不会公开的。

简单的道理，如果过于深入核心，从底层入手，比如直接接管文件系统的一部分功能，那么兼容性就会是个大问题。三天两头蓝屏，没有用户受得了的吧。

但是反过来，虽然一般监控不会特别底层，兼容性是OK了。但要公布具体怎么怎么实现的，Sweet～，马上有人会写病毒木马对监控不够底层的地方着手，写代码侵入底层绕过杀软。虽然因此也会让更多的电脑蓝屏，但是对大多数病毒木马来说，有谁觉得他们需要用户口碑吗？

10台机器1台蓝屏，这可以让一个杀软名誉扫地。
但对病毒木马来说，只要能传播，有时候8台会蓝屏都无所谓，只要能绕过杀软。

CIH当年据说能写进CMOS，因此有可能连机器都点不亮，好处是躲掉了很多贫弱的杀软。我还记得当初CIH免疫器的原理就是在内存中的特定位置置值，这样CIH代码会以为已经入驻内存了，不会再次加载，写的真够“牛”的。

但要是一个杀软只要让1000台电脑里有1台连机器点不亮。那么明天就可以看到写XX杀软损坏主板的新闻了。这可比杀掉几个系统文件严重多了。