实时监控技术
Real-time monitoring technique
大多数已知的防病毒软件都具有实时监控功能,这意味着它可以在文件被访问或执行之前扫描文件。如何实现这样的技术?在。net中有一种叫做filewatcher的东西,我不知道这是否与反病毒中使用的想法相同。
通常,杀毒软件将安装一个过滤器驱动程序,该驱动程序连接到Windows内核中的文件系统驱动程序。因此,所有对文件系统驱动程序的请求都首先传递给过滤器,然后由过滤器决定是否转发或拒绝请求。
请注意,在用户模式下挂接Windows API或任何其他API通常是不够的,因为恶意软件总是可以直接向内核发出调用,绕过挂接的API。
hook a (Win)API函数是此类任务的通用解决方案,但我认为这只是冰山一角。在wiki (Detection小节)中很少有关于它的注释。因此,您需要了解如何挂钩API函数和一般的Windows内部。我建议使用c++的Windows作为解决这个全球性问题的一个很好的起点。
相关文章:
- 如何监控QThread
- 在C++中样板"冷/never_inline"错误处理技术的最佳方法是什么?
- 在 Windows 8/10 技术中完全实时的屏幕捕获,没有延迟
- C++ 关于指针取消引用的技术问题
- 是否有技术原因阻止 Java 中的 final C++ 像 const 一样严格?
- 如何在 SEAL 3.1 中使用 CRT 批处理技术Microsoft?
- 暴力破解技术解决以下问题
- std::complex<> in C++ 数学特殊函数:技术规范或提案
- 将一种类型的比特重新解释为不同类型的比特的技术
- 如何监控ZeroMQ服务器是否存在
- 如何在不同的平台/技术中使用经过训练的神经网络?
- 英特尔C++编译器 19.0 测试版中删除了对英特尔®图形技术的卸载支持
- 如何监控Android和iOS上的所有击键操作,如Windows键盘记录器
- 如何在两组上做两指针技术
- open62541:同时获取订阅的所有已更改监控项
- 反调试器技术:如何使用 VB.NET 对调试器隐藏线程?
- 使用元编程技术找到最佳匹配
- 如何监控Qt信号事件队列深度
- C 类扩展技术
- 实时监控技术
