shulun743 - 2014-2-16 21:07:00
附件:
您所在的用户组无法下载或查看附件因为 内核调用 这两个 函数时 不经过ssdt
希望 瑞星能inline 这两个函数
用户系统信息:Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.66 Safari/537.36 LBBROWSER
networkedition - 2014-2-18 13:11:00
详细说明一下,这两个函数的意思,及inline 的意义
shulun743 - 2014-2-18 20:29:00
这两个函数 是属于内核级的关闭进程 线程的 函数,挂接这两个函数保护瑞星自身进程和线程不被结束。inline是直接在以前的函数替里面修改指令,用一个跳转或者其他指令来达到挂钩的目的。杀毒软件会修改这类函数开头的几个字节使其变为一个跳转指令,跳到杀毒软件作者自己写的函数地址上,之后这个自定义函数开始分析传进来的参数,如果发现是自己进程,那么返回失败,如果是其他进程,那么不做任何反映直接跳回去执行原始函数以后的代码。这样杀毒软件的进程就不会被关闭。
内核 调用这两个函数时 是不通过ssdt的,若病毒加载驱动干掉 瑞星进程时,瑞星是不知道的,原因我也说了 ,因为内核间调用是不经过ssdt的,所以 请 inline 这两个函数,保护瑞星。
最好 要 挂上 KiInsertQueueApc这个函数,防止病毒通过异步过程调用结束瑞星进程。
networkedition - 2014-2-19 9:23:00
截图中的那两个函数瑞星已经挂接了。KiInsertQueueApc这个函数暂时不考虑。
shulun743 - 2014-2-19 18:17:00
.不是吧?瑞星 只在 ssdt 中挂接 了 这两个函数!!!
并没有 inline 之!!!
请确认!!!
昏晓 - 2014-2-19 19:04:00
:kaka1: "shulun743",谢谢您的建议,我一直关注您的帖子,大多数帖子都很好!我承认您有一定的电脑汇编语言的基础,想必您在您的电脑圈里小有名气吧!电脑专业知识学习的不怎么扎实,信息很乱,您没有从瑞星现阶段的需求出发,量很多,但都是肤浅的东西,没有实际价值,说句我不该说的话,很直白的,希望您多担待点儿。您需要了解瑞星企业的文化。例如,和其它安全公司相比较,为什么瑞星每个版本都CPU占有率都居高不下?为什么它有卡顿的现象出现?2014年主打的是4核杀毒引擎吧!它为什么要这样说呢?等等问题。
shulun743 - 2014-2-19 21:16:00
例如,和其它安全公司相比较,为什么瑞星每个版本都CPU占有率都居高不下?为什么它有卡顿的现象出现?2014年主打的是4核杀毒引擎吧!它为什么要这样说呢?等等问题。
为何 CPU 占用那么高呢?
为何有卡顿的现象呢?
你来说?
50hzq - 2014-2-19 21:53:00
大概是因为瑞星当初设计产品架构时过于重视功能忽略了用户体验,造成CPU 占用那么高,有卡顿的现象。
networkedition - 2014-2-20 9:28:00
确认过了:kaka6:
© 2000 - 2024 Rising Corp. Ltd.