智能主動防御系統(08-100)
——
加入技術交流群
下面是Shadow SSDT表中鉤掛的函數:
本文引用地址:http://www.104case.com/article/91772.htmNtSetUserWindowsHookEx。
通過替換系統中的這些函數,來實現對一個程序的行為監控,并進行主動判斷來檢測病毒或者木馬,其原理如圖4所示。
圖4 病毒主動防御原理
可以看到,應用層的軟件都會經過我們攔截模塊的過濾,然后把信息傳給我們的用戶接口。用戶態程序主要用于顯示程序執行時調用的函數,以及發現危險操作時進行告警。內核態的驅動程序主要用于信息的截獲,以及分析處理,判斷危險調用,然后通知用戶。內核態程序和用戶態程序采用了事件進行同步,因此可以實時的進行信息的傳遞,大大提高了效率,同時用一個緩沖區隊列把實時信息傳到用戶態的程序。
用戶態程序和內核態程序交互的示意圖如圖5所示。
評論