MSE所采用的监控技术初探讨

wowowo

MSE作为microsoft自家的东西，肯定是不错的.由于windows本身是microsoft写的，所以开发杀毒软件来说很有优势.对系统兼容性也很好.
作为微软的杀毒文件实时监控并不是采用传统杀毒软件通过hook openfileEX,copyfileEX API来实现的.而是采用的全新的微驱动技术.

下面截图可以看出MSE并没有hook API




至于监控注册表，同样是通过微驱动技术实现的.因为注册表本质就是一个数据库文件.

个人见解，欢迎轻拍.
关于微驱动的更多技术细节，可以参考

七、金山隐私保护器的技术原理
金山隐私保护器利用微软Windows提供的标准文件过滤驱动接口，监控应用程序对用户电脑内隐私文件的操作。当某个应用程序访问用户的隐私文件时，金山隐私保护器会向用户报告这类访问行为，由用户自己判断该软件是否在偷窥隐私。


金山隐私保护器只监控第三方应用程序对隐私文件的访问，本身并不会访问用户的隐私文件。因为利用了微软官方的驱动级接口，并且只对访问进行记录，不会阻塞操作，所以对系统的速度不会有任何影响，也不会引发任何兼容问题。

金山技术方案的优势：(也就是MSE的优势)
1、利用微软官方的驱动级接口，更加稳定，并且更加高效，几乎对性能没有影响。
2、相比利用CreateFile等应用层API实现的方案，监控级别更高，监控范围更广。
3、更加通用，用户可以自定义哪些隐私文件需要被保护。
4、由于使用系统驱动层的接口，对所有的应用程序都能进行监控，而不是指定监控某种软件。

shz6110592

学习啦

飞霜流华

这么快就来啦，欢迎啊！很精彩啊！
PS：楼上楼下的都注意啊，这个MM可是我找来的哦

whanlt

回复 3楼 wy1091727248 的帖子

俺没看出来是MM

wowowo

回复 4楼 whanlt 的帖子

乃是不是不想混老？

あ掵㊣峫淰℡

作为微软的杀毒文件实时监控并不是采用传统杀毒软件通过hook openfileEX,copyfileEX API来实现的.而是采用的全新的微驱动技术.

两者有没有差别

飞霜流华

あ掵㊣峫淰℡ 发表于 2011-5-13 19:18
两者有没有差别

至今感觉出的差别是，传统监控一山不容二虎，MSE的监控技术可以一公一母

wowowo

回复 7楼 wy1091727248 的帖子

一语道破天机，因为MSE用的不是一般杀毒采用的技术，所以就没有冲突了.

symantec001

那可以在装了MSE的机子上装别的杀软而不担心监控冲突了？

hx1997

作为微软的杀毒文件实时监控并不是采用传统杀毒软件通过hook openfileEX,copyfileEX API来实现的.而是采用的全新的微驱动技术.

传统杀毒软件也不是用hook openfileEX,copyfileEX API的...基本是用文件过滤驱动的
当然hook文件函数的也还是有的，据说MD就是（不过那是HIPS）