今天我下载的瑞星的新版本23.00.24.98,分析一下瑞星在免费之后内核当中的Hook有没有什么变化!

1. SSDT 和 Shadow SSDT Hook

瑞星Hook了一大堆的SSDT,我就直接在内核里面把它们都恢复了!

2. inline Hook

瑞星Hook了ObReferenceObjectByHandle前面的5个字节

Hook前:

kd> u nt!ObReferenceObjectByHandle
nt!ObReferenceObjectByHandle:
805b1ab6 8bff            mov     edi,edi
805b1ab8 55              push    ebp
805b1ab9 8bec            mov     ebp,esp
805b1abb 51              push    ecx
805b1abc 51              push    ecx
805b1abd 53              push    ebx
805b1abe 56              push    esi
805b1abf 57              push    edi

Hook后:

kd> u 805b1ab6
nt!ObReferenceObjectByHandle:
*** ERROR: Symbol file could not be found.  Defaulted to export symbols for HOOKHELP.sys -
805b1ab6 e93d654378      jmp     HOOKHELP!RisingInlineUnHook+0x4d98 (f89e7ff8)
805b1abb 51              push    ecx
805b1abc 51              push    ecx
805b1abd 53              push    ebx
805b1abe 56              push    esi
805b1abf 57              push    edi

这个地方的Hook与以前一样还是没有保护,直接恢复就完了,这点比360要差一些!

内核的Hook全部被恢复之后发现瑞星居然没有发现自已的内核钩子已经被卸载了,而360却可以发现自已的内核钩子被卸载,从这儿可以看出360还是强于瑞星的。

让我们看看内核钩子被卸载掉之后瑞星在UI上的表现:

瑞星感觉自身工作的很正常,呵呵!

说句实话瑞星做为杀毒软件功能与其它杀软相比还是要差一些的!

转载于:https://www.cnblogs.com/russinovich/archive/2011/04/19/2020901.html

瑞星的内核Hook分析相关推荐

  1. 重载内核全程分析笔记

    标 题: [原创]重载内核全程分析笔记 作 者: Speeday 时 间: 2013-08-20,20:19:46 链 接: http://bbs.pediy.com/showthread.php?t ...

  2. windows 内核情景分析

    原文很长:先转部分过来,有时间看一下: 一 windows 内核情景分析---说明 说明 本文结合<Windows内核情景分析>(毛德操著).<软件调试>(张银奎著).< ...

  3. 《LINUX3.0内核源代码分析》第一章:内存寻址

    https://blog.csdn.net/ekenlinbing/article/details/7613334 摘要:本章主要介绍了LINUX3.0内存寻址方面的内容,重点对follow_page ...

  4. 从源码和内核角度分析redis和nginx以及java NIO可以支持多大的并发

    有人询问我网上一篇关于"redis为什么单线程这么快"的文章,我建议他不要看了,因为redis是单进程不是单线程,后面的意见不用看了,文章质量肯定不会很好,他也说了自己看了很久源码 ...

  5. linux内核自解压,Linux的初始内核自解压分析

    Linux的初始内核自解压分析 (2009-03-27 19:46:46) 标签: it Linux的初始内核解压 2007-09-19 15:02 来源:论坛整理 作者:lucian_yao [网友 ...

  6. Linux2.6 内核进程调度分析

    Linux2.6 内核进程调度分析    进程的调度时机与引起进程调度的原因和进程调度的方式有关.在 2.6 中,除核心应用     主动调用调度器之外, 核心还在应用不完全感知的情况下在以下三种时机 ...

  7. Windows内核系统调用分析

    系统调用 进程 --> 调用OS API:OS进程管理 --> 调配进程. 仅从用户进程角度,OS就像是一个被动响应的运行时库.Windows提供了一个系统调用界面作为外层,即Win32A ...

  8. Gloomy对Windows内核的分析

    /Files/ddlzq/Gloomy对Windows内核的分析.pdf 转载于:https://www.cnblogs.com/ddlzq/archive/2010/09/03/1817244.ht ...

  9. 《LINUX3.0内核源代码分析》第二章:中断和异常 【转】

    转自:http://blog.chinaunix.net/uid-25845340-id-2982887.html 摘要:第二章主要讲述linux如何处理ARM cortex A9多核处理器的中断.异 ...

最新文章

  1. Java中的线程和同步
  2. 【需求】手机无线投屏到电视需求整理,Miracast无线投屏功能应用及需求
  3. 独家解析英伟达最新GPU-A100对AI行业带来的影响
  4. BIEE建模参考规范
  5. 信息系统项目管理师:第1章:信息化与信息系统(3)-重点汇总
  6. 4g模块注册上网 移远_Openwrt支持移远4G模块过程记录
  7. 第四章信息系统安全基础考试要点及真题分布
  8. 董明珠今晚开启抖音直播首秀;传苹果将去掉 iPhone 闪电接口;PyTorch 1.5 发布 | 极客头条...
  9. OFFICE技术讲座:关于坐标、位置的术语说明
  10. UCOS操作系统——消息传递(十二)
  11. autojs读取文字_Auto.js 获取识别图片文本
  12. 多益网络社招iq_18年多益秋招iq测试题
  13. 苹果iOS开发者账号从零开始申请
  14. 用java编译实现计算个人所得税(工资)
  15. 示波器表笔旁边的夹子是什么_示波器探头容易忽略的几个问题
  16. linux服务器下数学软件下载,Linux下数学(科学)软件简介(一)
  17. 【无代码体验】使用鲸智搭开发《招聘管理系统》
  18. OSG智能指针:osg::ref_ptr
  19. Android AlertDialog对话框自定义风格的另类实现
  20. 放弃谷歌实习转投ICC,我是如何曲线上岸G家的?

热门文章

  1. 理解BPDU Filtering的意义(BPDU Filtering在全局配置与接口配置上的区别)
  2. 电子商务运营数据分析
  3. 自己总结的linux命令
  4. miniGui交叉编译
  5. 嵌入式编程与PC编程有何区别
  6. 教程篇(7.0) 07. FortiGate基础架构 高可用性(HA) ❀ Fortinet 网络安全专家 NSE 4
  7. Windows和Linux双系统时间误差8小时解决方案
  8. 手写中文文章识别(1)——问题描述
  9. R语言Fisher检验的workspace问题
  10. hadoop系列四:mapreduce的使用(二)