智能主动防御系统(08-100)
——
下面是Shadow SSDT表中钩挂的函数:
本文引用地址:http://www.eepw.com.cn/article/91772.htmNtSetUserWindowsHookEx。
通过替换系统中的这些函数,来实现对一个程序的行为监控,并进行主动判断来检测病毒或者木马,其原理如图4所示。
图4 病毒主动防御原理
可以看到,应用层的软件都会经过我们拦截模块的过滤,然后把信息传给我们的用户接口。用户态程序主要用于显示程序执行时调用的函数,以及发现危险操作时进行告警。内核态的驱动程序主要用于信息的截获,以及分析处理,判断危险调用,然后通知用户。内核态程序和用户态程序采用了事件进行同步,因此可以实时的进行信息的传递,大大提高了效率,同时用一个缓冲区队列把实时信息传到用户态的程序。
用户态程序和内核态程序交互的示意图如图5所示。
评论