本菜鸟对微点自主开发的扫描引擎的原理的推测

ALEXBLAIR

tiny老当益壮阿
就是被 ca 收购后改的没味道了

Oceanzd

我喜欢UAC，可以当做半个HIPS用了，而且一个行为你哪怕按了一个允许，还会再弹出以便确认的，所以稍微聪明的用户以以前的U盘病毒的感染方式要成功的几率很少……

不过感觉Vista的UAC外那个证书不是很放心……

ly250094040

又看了看你写的文章

杀软的APIHOOK方式不见得是固定的吧，那样容易被破，如果真是固定的，那多杀软对控制权的抢夺的现象应该就不存在了，大家彼此认识嘛，都是一家

我觉得你没有解答这个问题呢

争夺的是权利而非地址，这个和我说的病毒对杀软APIHOOK方式的识别来判断杀软类型好像不是有一个问题？

ly250094040

UAC现在好多用户都手动取消了。。。

受不了那个一直弹


个人觉得那个似乎作用不大。。。

ly250094040

看2位论战是一种学习啊~~

ly250094040

其实还有一种情况

学校里的练手的人。。。

我们经常被攻击
然后看地址，，，就是我们学校里的人。。。。

居然还真有被攻破了的。。。。

传说中的怪物在学校里还是有的

卧龙藏虎啊

ly250094040

简单的比如说KIS

很多人在用

理论上也相当安全了。。。

但事实上。。。

ly250094040

为什么一定要访问R0？

感觉是徒劳的传统思维。。。

Oceanzd

Windows是那样设计的，安全软件不访问Ring0，部分木马就会访问，你说这个是没有办法的事情

ALEXBLAIR

windows 对于代码的定义是这样的
ring0-3分别为4个等级，windows只用0，3两个等级
一般情况下，所有的软件都运行在ring3 上，受到windows的各种限制和保护。
对于ring0级别的代码，windows定义为：safe code(安全代码),不对其进行核实和保护，直接无条件执行，如果那些代码出现问题，轻者蓝屏；严重的物理烧毁硬件（之间的CIH就是典型的例子。）
目前可以跳跃到ring0的方法还是很有限的，但是除了驱动，漏洞之外，有些畸形代码，超长代码还是可以达到这个目的的。
所以保护ring0还是很有必要的