实时监控技术
实时监控技术
提问于 2011-11-05 17:12:41
大多数已知的AntiVirus软件都具有实时监控功能,这意味着它可以在文件被访问或执行之前扫描文件。像这样的技术如何实现呢?在.NET中有一个叫做filewatcher的东西,我不知道这是不是和AntiVirus中使用的东西是一样的。
回答 2
Stack Overflow用户
回答已采纳
发布于 2011-11-05 17:54:53
通常,防病毒软件将安装一个过滤器驱动程序,该驱动程序连接到Windows内核中的文件系统驱动程序。因此,所有指向文件系统驱动程序的请求都首先被传递给过滤器,然后过滤器决定是转发还是拒绝该请求。
请注意,在用户模式下挂钩Windows API或任何其他API通常是不够的,因为恶意软件总是可以绕过挂钩的API直接向内核发出调用。
Stack Overflow用户
发布于 2011-11-05 17:31:49
挂接(Win)API函数是此类任务的一般解决方案,但我认为这只是冰山一角。在wiki (Detection小节)中几乎没有关于它的注释。因此,您需要了解如何挂接API函数以及Windows内部的一般知识。我建议将Windows via C++作为解决这个全球性问题的一个很好的起点。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/8019225
复制相关文章
相似问题
腾讯云开发者
