关于windows采用patchguard后的疑问？？？？-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 关于windows采用patchguard后的疑问？？？？ 0.00雪花

发表于: 2012-9-6 11:26 2939

[旧帖] 关于windows采用patchguard后的疑问？？？？ 0.00雪花

lmmir

2012-9-6 11:26

2939

微软采用patchguatd后进行了内核保护
我想问一下 360 等安全软件是怎么进行进程监控的，如果是hook的话，那送到微软验证能pass？

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

免费・0

支持

最新回复 (1)
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 2 楼难道监控一定要HOOK么？进程创建终止PsSetCreateProcessNotifyRoutine，注册表监控CmRegisterCallback，DLL加载：PsSetLoadImageNotifyRoutine，文件监控:minifilter,sfilter，网络监控ndis,tdi,wfp,spi。磁盘数据监控:diskperf，进程防护：ObRegisterCallbacks。至于某些没有提供接口的，想办法迂回处理。微软不让HOOK，不是需要验证！！！ 2012-9-6 11:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (1)

ITSailor

雪币： 4817

活跃值： (23)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

206

粉丝

关注

私信

ITSailor: 2 楼

难道监控一定要HOOK么？
进程创建终止PsSetCreateProcessNotifyRoutine，注册表监控CmRegisterCallback，DLL加载：PsSetLoadImageNotifyRoutine，文件监控:minifilter,sfilter，网络监控ndis,tdi,wfp,spi。磁盘数据监控:diskperf，进程防护：ObRegisterCallbacks。至于某些没有提供接口的，想办法迂回处理。

微软不让HOOK，不是需要验证！！！

2012-9-6 11:56

lmmir

发帖

回帖

RANK

关注

私信

他的文章

实模式 int 13h 问题~~~~~~~~~~~ 4538

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区