-
-
[原创]Symbian 杀毒软件文件监控核心代码
-
发表于:
2007-8-23 00:06
8883
-
最近很忙,有工作上的也有生活上的。
无聊的时候忽然想学习一下 Symbian 杀毒软件的原理,于是便有了这篇帖子。
大家知道,Symbian 上实现杀毒软件说容易不容易,说难不难。
最大的困难有两点:
1. 病毒样本收集,到目前为止 Symbian 病毒已经超过300种(接近 400);
2. 文件的实时监控;
实现文件监控方法很多,国内的网秦我就不做评论了,当然,如果那个也叫实时监控的话:)
至于光华的那个,怎么说呢,如果仅仅从 Nokia 公开的 SDK 来说,能做到那样也实属不易,但是,远远不能称得上是实时监控,至于另外的几家国内公司的,有的甚至不提供实时监控(看得很粗糙,如果有误,请大家见谅或者来信指正)。
所以,手痒的时候分析了一个国外的比较著名的杀毒软件的监控引擎。鉴于不能公开分析的结果,所以,我把分析后得到的代码重新整理了一遍,并作了适当的修改,删除节略部分,把一个可以正确编译和运用的代码框架贴出来。
需要说明的是,该方法使用了很多不公开的东西,有兴趣的朋友可以看看。
最后要感谢那些帮助我理解 Symbian 的朋友!
注:从 Symbian 8.0a+ 开始,支持病毒过滤接口,但是,之前的版本不通用。本文所附的方法通用于几乎所有的 S60 2nd 版本,Symbian 9.0 未作测试,估计不能用。嘿嘿!
附件密码: codez
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)