部分主流杀软驱动挂钩分析
本帖最后由 shulun743 于 2014-1-24 12:27 编辑 主要说32位系统: 挂钩方式,现在常用的就是挂钩ssdt,shadown ssdt,inline hook 挂钩文件系统过滤驱动和HOOK NT!KiFastCallEntry! 不具体讨论HOOK和INLINE HOOK的区别了!就是蓝屏不蓝屏的问题! 主要讨论挂钩位置的问题: 分为两大阵营: 1、挂钩SSDT 最成熟,最常用的挂钩!代表是卡巴等绝大多数杀软就是采用这种位置挂钩! 2、HOOK NT!KiFastCallEntry! 代表是360和金山,目前为止唯一使用这个位置的就是上述两款! |