SD325被小红伞穿透???奇怪

nazisoft

不知道你退出过影子模式过没有？SD的保护状态是否正常？小红伞的目录是否被排除？杀软虽然会直接访问硬盘，但是从来没听说过能穿还原的。还原精灵、雨过天晴、时光机、硬件还原卡能在系统启动以前就对磁盘读写较早的监视，但是影子类还原说白了就是一个磁盘过滤驱动，在内核加载以后才具有保护作用。从加载优先级来看，磁盘保护要比杀软的模块早得多，只要磁盘保护正常运行，杀软对系统的修改是不会真实的记录在磁盘中的，除非你使用了排除和转存功能。

eubyo

sd被穿不奇怪 ，它又不是虚拟机
小红伞的事件记录功能可能是在驱动中进行的

lovehhy

nazisoft 发表于 2011-1-23 13:55
不知道你退出过影子模式过没有？SD的保护状态是否正常？小红伞的目录是否被排除？杀软虽然会直接访问硬盘， ...

SD在内核中还有一个接口，这个接口能访问真实的分区，其实当SD开始保护C时，在内核中还有一个真实的磁盘，你只需要知道这个设备的名字：类似\Device\HarddiskVolumeX,就可以直接通过ZwCreateFile来访问这个未保护的C。

fanyu919

sd对于小红伞根本不保护 。。。你们自己看看就知道了

asdlxy

你开启SD的时候是不是提示一下有些文件正在被系统调用中，大不大最好的保护效果，欲继续请按确定！就是因为你的杀毒软件调用造成的，你关闭了杀毒软件在启动就不会记录了

fanyu919

不是的开启sd直接就进到影子模式了 不是什么in use

北方星空

回复 16楼 fanyu919 的帖子

sd开启，你怎么开启的，要点击“模式设置-进入影子模式”


如果你真的开启sd，我都不知道楼主怎么能安装成功小红伞，神人。

雨い打湿了泪

我只用伞。。。。SD按过但是不久就卸了。。。

nazisoft

lovehhy 发表于 2011-1-23 14:57
SD在内核中还有一个接口，这个接口能访问真实的分区，其实当SD开始保护C时，在内核中还有一个真实的磁盘， ...

假设我楼上3位同志说法属实的话，那么使用SD的用户就大受打击了。一旦小红伞的这种“穿透”方法被病毒使用，后果将不堪设想。个人认为SD、RVS的防御体系是比较坚固的，是否能利用程序接口进行穿透还有待验证。

lovehhy

nazisoft 发表于 2011-1-23 21:54
假设我楼上3位同志说法属实的话，那么使用SD的用户就大受打击了。一旦小红伞的这种“穿透”方法被病毒使用 ...

逆向一下驱动代码就能看到了。