关于内核级对抗问题

显示全部楼层 · 发表于 2010-6-28 17:08:51

本帖最后由 CF_Chen 于 2010.6.28 17:39 编辑

在安装卡巴"未认识"的驱动,会报警说是安装后卡巴无能为力,安防软件对已活动的内核级恶意驱动应该都比较头疼,问题是这个时候像卡巴这样的安防软件还能完美去除已感染内核的恶意代码吗.

既然理论上可以手工移除,为何安防软件很多时候不能自动移除,,非得只能手工移除或用所谓的专杀,甚至只能重装系统.

内核级恶意驱动活动以后可能有三种情况:
1.恶意驱动被安防软件干掉
2.安防软件被恶意驱动干掉
3.大家都干不掉对方,大眼对小眼,各干各的事.
以上可能都会引起蓝屏死机.

显示全部楼层 · 发表于 2010-6-28 18:39:05

我叶想知道啊

显示全部楼层 · 发表于 2010-6-28 19:55:38

我也不知道,楼下

显示全部楼层 · 发表于 2010-6-28 21:01:39

这个也想知道啊

显示全部楼层 · 发表于 2010-6-28 21:04:32

R0一般就是谁后出手谁必胜，没什么意思

显示全部楼层 · 发表于 2010-6-28 23:37:57

学习了

显示全部楼层 · 发表于 2010-6-29 01:20:54

ring0层的驱动，谁先进入系统谁就有掌控权，一旦同时加载，优先级就相同，而不是ring0和ring3有优先级的区别了。这也是为什么卡巴提示你加载后无法继续拦截的原因。