部分主流杀软驱动挂钩分析

本帖最后由 shulun743 于 2014-1-24 12:27 编辑

主要说32位系统:
挂钩方式,现在常用的就是挂钩ssdt,shadown ssdt,inline hook
挂钩文件系统过滤驱动和HOOK NT!KiFastCallEntry!

不具体讨论HOOK和INLINE HOOK的区别了!就是蓝屏不蓝屏的问题!

主要讨论挂钩位置的问题:
分为两大阵营:
1、挂钩SSDT
最成熟,最常用的挂钩!代表是卡巴等绝大多数杀软就是采用这种位置挂钩!

2、HOOK NT!KiFastCallEntry!

代表是360和金山,目前为止唯一使用这个位置的就是上述两款!
posted @ 2014-02-24 15:08  vcerror  阅读(232)  评论(0编辑  收藏  举报