微点交流论坛

标题: 问个问题。 [打印本页]

作者: flo 时间: 2006-8-17 14:26 标题: 问个问题。

我还没有用这个软件。但是猜想它主要是拦截API的吧，最有可能的就是HOOK SSDT。
我想问，微点的这个软件能够应对SSDT的还原吗？
在微点启动的情况下，如果我尝试把SSDT还原会发生什么事情？

作者: Legend 时间: 2006-8-17 16:27
微点是依据行为判断病毒的，楼主可以仔细阅读下置顶的帖子；
微点会阻止这种还原的

作者: flo 时间: 2006-8-17 19:20
哪个帖子？（好像宣传虚了点，摸不着边际）
作为Hook SSDT实现的APIHook，改SSDT这一行为本身应该不可能拦截得到。
充其量拦截到加载驱动或访问Device\PhysicalMemory等尝试进Ring0的行为。
或者微点是定时检查SSDT是否被还原？

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn