Здраствуйте все. Как проактивная защита АнтиВирусов может перехватывать запуск исполняемыз приложений и припятствовать их запуску если они вредоносные (т.е. уже проверяя содержимое). Если подобная или похожая тема уже была просьба скинуть ссылку на нее. Также хотелось бы услышать как реализуется подобная защита.
Использую метод с нотификаторами (1), но знаю еще два, правда на счет последнего (3) не уверен и незнаю о нем ничего, возможно с помощью него контролировать доступ к исполняемым приложениям? 1. PsSetCreateProcessNotify, PsSetLoadProcessNotify 2. SSDT хуки 3. driver filter
TSS Проблема заключалась как раз в том что какой метод выбрать, а не найти описание, имеет ли смысл использовать драйвер фильтр + (1) и (2) метод одновременно? используют ли существующие АнтиВирусы такие методы?
JCronuz В системах где есть патч-гвард естественно хуки ssdt не используют. x64 Driver KIS2010(под висту смотрел) к примеру является минифильтром и использует MmSecureVirtualMemory, CmRegisterCallbackEx, PsSetCreateProcessNotifyRoutine + PsSetCreateThreadNotifyRoutine + PsSetLoadImageNotifyRoutine.
3-й способ является наиболее низкоуровневым, поэтому, если грамотно его реализовать, то надобность в остальных отпадет. Это же очевидно, разве нет?
