标签:style 使用 sp 问题 ad bs line 管理 window
监控是针对行为管理
保护是针对权限管理
几乎所有的安全软件都离不开监控和保护。
而监控和保护都利用了过滤技术,或者所谓的钩子技术。
过滤(钩子)技术一共有三种:
1. 系统自带过滤框架,回调接口,比如:
Ring3:
SetWindowsHookEx
File|Regisgry ChangeNotify
Ring0
Ps*Callback
miniFilter
CmCallback
这种过滤框架优选选择,因为稳定文档化;兼容性也好
2. 基于表驱动的钩子技术,比如
导入表
导出表
系统调用表SSDT SSDTShadow
IRP表
内核对象函数表OBJECT TYPE
Win32 Callback
虚函数表
系统内有大量的表驱动实现的功能,因此也是过滤的最佳选择,只要简单替换函数地址,便能达到过滤功能。
当这种过滤方式存在一定冲突,因为没有约定,不同的人都可以进行修改。
3. 最牛叉最无脑却无所不能的技术:内联钩子
能不用就别用!
如果使用,
a. 建议优先使用Windows提供的Patch技巧。
b. 寻找jmp call 等修改函数地址的位置
所有安全问题都可以添加一个分层来解决,
未完没续
标签:style 使用 sp 问题 ad bs line 管理 window
原文地址:http://www.cnblogs.com/Yvanlin/p/4049855.html
