卡巴的API HOOK问题

显示全部楼层 · 发表于 2007-6-3 07:41:02

SRE的扫描报告中通常都会提示API HOOK被卡巴修改，但为什么我在Vista下安装的KIS7.0.0.119没有提示修改呢？这几个函数又是被卡巴的什么组件修改的啊？

显示全部楼层 · 发表于 2007-6-3 12:08:48

为什么我提的问题都这么深奥...

显示全部楼层 · 发表于 2007-6-3 12:26:37

卡巴的正常修改
打开SREng后提醒“警告！下面的函数内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略，是你装杀软后的正常修改。
比如在安全模式下SREng不会提示，那是因为安全模式下卡巴不运行

显示全部楼层 · 发表于 2007-6-3 12:38:26

原帖由 yzt1004 于 2007-6-3 12:26 发表
卡巴的正常修改
打开SREng后提醒“警告！下面的函数内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略，是你装杀软后的正常修改。
比如在安全模式下SREng不会提示，那是因为安全模式下卡巴不运行

问题是现在没有被修改....是不是意味着某些功能不正常？

显示全部楼层 · 发表于 2007-6-4 09:11:36

你拿冰刃，超级巡警看看ssdt不就得了
应该都会改的
0x18       0xBC94DCB0       \??\C:\WINNT\system32\drivers\klif.sys       0x8044EAF4       NtClose
0x23       0xBC941540       \??\C:\WINNT\system32\drivers\klif.sys       0x80511E50       NtCreateMutant
0x29       0xBC94D9C0       \??\C:\WINNT\system32\drivers\klif.sys       0x804E2264       NtCreateSection
0x2B       0xBC94E5B0       \??\C:\WINNT\system32\drivers\klif.sys       0x804CB114       NtCreateSymbolicLinkObject
0x2D       0xBC94E230       \??\C:\WINNT\system32\drivers\klif.sys       0x804DA01E       NtCreateTimer
0x2E       0xBC94EF10       \??\C:\WINNT\system32\drivers\klif.sys       0x804E1628       NtCreateToken
0x35       0xBC941660       \??\C:\WINNT\system32\drivers\klif.sys       0x80512214       NtDeleteValueKey
0x37       0xBC9416E0       \??\C:\WINNT\system32\drivers\klif.sys       0x80512430       NtDisplayString
0x3A       0xBC94DE00       \??\C:\WINNT\system32\drivers\klif.sys       0x804D61A8       NtEnumerateBootEntries
0x3C       0xBC941770       \??\C:\WINNT\system32\drivers\klif.sys       0x8051263E       NtEnumerateValueKey
0x3D       0xBC941820       \??\C:\WINNT\system32\drivers\klif.sys       0x80512894       NtExtendSection
0x43       0xBC9418D0       \??\C:\WINNT\system32\drivers\klif.sys       0x80512AEA       NtFlushVirtualMemory
0x51       0xBC941950       \??\C:\WINNT\system32\drivers\klif.sys       0x80512C8A       NtInitiatePowerAction
0x56       0xBC9421F0       \??\C:\WINNT\system32\drivers\klif.sys       0x80514256       NtLoadKey2
0x57       0xBC941970       \??\C:\WINNT\system32\drivers\klif.sys       0x80462FBA       NtLockFile
0x5F       0xBC941A70       \??\C:\WINNT\system32\drivers\klif.sys       0x80512D3E       NtNotifyChangeMultipleKeys
0x64       0xBFED2000       kl1.sys       0x804A8416       NtOpenIoCompletion
0x67       0xBC941B50       \??\C:\WINNT\system32\drivers\klif.sys       0x805133F2       NtOpenMutant
0x6A       0xBC94D7B0       \??\C:\WINNT\system32\drivers\klif.sys       0x804DEB24       NtOpenProcessToken
0x6C       0xBC94E400       \??\C:\WINNT\system32\drivers\klif.sys       0x804CC7A0       NtOpenSection
0x8B       0xBC941C50       \??\C:\WINNT\system32\drivers\klif.sys       0x80513672       NtQueryKey
0x8C       0xBC941D00       \??\C:\WINNT\system32\drivers\klif.sys       0x805148DA       NtQueryMultipleValueKey
0x97       0xBC94EBC0       \??\C:\WINNT\system32\drivers\klif.sys       0x8049147E       NtQuerySystemInformation
0x9B       0xBC941DB0       \??\C:\WINNT\system32\drivers\klif.sys       0x80513908       NtQueryValueKey
0xA9       0xBC941E60       \??\C:\WINNT\system32\drivers\klif.sys       0x8051470A       NtReplaceKey
0xB4       0xBC941EF0       \??\C:\WINNT\system32\drivers\klif.sys       0x80513BFC       NtRestoreKey
0xB5       0xBC94EEC0       \??\C:\WINNT\system32\drivers\klif.sys       0x804E5500       NtResumeThread
0xB6       0xBC941F80       \??\C:\WINNT\system32\drivers\klif.sys       0x80513D24       NtSaveKey
0xC2       0xBC94FAE0       \??\C:\WINNT\system32\drivers\klif.sys       0x804A93BA       NtSetInformationFile
0xC4       0xBC942010       \??\C:\WINNT\system32\drivers\klif.sys       0x80514438       NtSetInformationKey
0xC6       0xBC9532A0       \??\C:\WINNT\system32\drivers\klif.sys       0x804DF958       NtSetInformationProcess
0xCE       0xBC94BA30       \??\C:\WINNT\system32\drivers\klif.sys       0x8044EF14       NtSetSecurityObject
0xD7       0xBC9420B0       \??\C:\WINNT\system32\drivers\klif.sys       0x80513F9A       NtSetValueKey
0xDD       0xBC94EE70       \??\C:\WINNT\system32\drivers\klif.sys       0x804E53D4       NtSuspendThread
0xE0       0xBC94EA10       \??\C:\WINNT\system32\drivers\klif.sys       0x804E32CC       NtTerminateProcess
0xE4       0xBC9421B0       \??\C:\WINNT\system32\drivers\klif.sys       0x80514268       NtUnloadKey
0xF0       0xBC94DC...       \??\C:\WINNT\system32\drivers\klif.sys       0x804D462A       NtWriteVirtualMemory
0xF8       0xBC94AD80       \??\C:\WINNT\system32\drivers\klif.sys       0x0
0xF9       0xBC94AD90       \??\C:\WINNT\system32\drivers\klif.sys       0x0
0xFA       0xBC94AD...       \??\C:\WINNT\system32\drivers\klif.sys       0x0
0xFB       0xBC94AD...       \??\C:\WINNT\system32\drivers\klif.sys       0x0
0xFC       0xBC94ADE0       \??\C:\WINNT\system32\drivers\klif.sys       0x0

[ 本帖最后由新饭于 2007-6-4 09:22 编辑 ]

显示全部楼层 · 发表于 2007-6-4 09:23:38

VISTA和XP不同，装DLL和HOOK都没那么容易。

估计是换别的方式了。

显示全部楼层 · 发表于 2007-6-4 10:30:06

是啊！估计在Vista下面，K7的工作原理不一样了！

显示全部楼层 · 发表于 2007-6-4 19:19:19

原帖由 jpzy 于 2007-6-4 10:30 发表
是啊！估计在Vista下面，K7的工作原理不一样了！

我现在怀疑卡巴对Vista的兼容能力，居然连个“程序完整性保护”都没有，猜想这几个HOCK应该也....