★★★请问大多数杀软是工作在Ring0吗？？还有自己做的程序如何进入Ring0...

显示全部楼层 · 发表于 2010-6-16 16:24:12

回复

你这话让金山卫士情何以堪，让可牛的轻巧模式（是不是这个名字啊）泪奔了
zyh6036 发表于 2010-6-16 16:10

哈哈我知道你也是白羊吧

显示全部楼层 · 发表于 2010-6-16 16:25:08

回复

Ring3拦截？别做梦了 Ring3能拦截什么？写个DLL 全局HOOK？
liangfangCN 发表于 2010-6-16 15:42

别激动啊我哪里说ring3拦截啊
我是问在ring3那底层行为如何拦截
意思不一样别激动别激动

显示全部楼层 · 发表于 2010-6-16 16:25:27

回复

没代码贴出来我怎么知道
liangfangCN 发表于 2010-6-16 15:39

我想要的是普遍思路

显示全部楼层 · 发表于 2010-6-16 16:27:05

回复

杀毒软件的驱动SYS 是Ring0 EXE程序是在Ring3上
Ring0拦截到消息-->传给ring3 的EXE程序 ...
liangfangCN 发表于 2010-6-16 15:38

哦哦我明白了
因为大多数无法进驻ring0
所以就弄一个驱动（因为驱动可以入驻）
把他弄成一个中间层来协助
哈哈这个办法好就这样就这样啊 3Q

显示全部楼层 · 发表于 2010-6-16 16:28:03

自己程序进Ring0？就一个EXE？那就是无驱动进Ring0了
liangfangCN 发表于 2010-6-16 15:35

对啊无驱动我就不知道怎么进了
exe进不了啊
还有如果纯驱动如何让它处理结果而不用像传回ring3

显示全部楼层 · 发表于 2010-6-16 16:29:49

回复 李白vs苏轼 的帖子

不可以,再说EXE进Ring0了有什么用啊.

显示全部楼层 · 发表于 2010-6-16 16:33:03

回复

不可以,再说EXE进Ring0了有什么用啊.
liangfangCN 发表于 2010-6-16 16:29

我就想尝试啊没有目的
我目的很单纯很单纯啊

显示全部楼层 · 发表于 2010-6-16 16:33:37

回复 李白vs苏轼 的帖子

在ring3那底层行为如何拦截？
Ring3不用拦截了可以告诉你什么也拦不到拦到了也没什么用
要么做个DLL HOOK 这样更不稳定了兼容也不好

显示全部楼层 · 发表于 2010-6-16 16:35:48

回复

在ring3那底层行为如何拦截？
Ring3不用拦截了可以告诉你什么也拦不到拦到了也没什么用
要 ...
liangfangCN 发表于 2010-6-16 16:33

说来说去还是用驱动那种方法最方便啊
卡巴那两个烦人的驱动的作用就是起这个作用是不是啊
不过貌似有时也不稳定

显示全部楼层 · 发表于 2010-6-16 16:36:14

Ring3例如要拦截进程启动的话用 WMI 吧拦截到进程启动信息后挂起进程

[已解决] ★★★请问大多数杀软是工作在Ring0吗？？还有自己做的程序如何进入Ring0...