Windows防病毒如何钩入文件访问过程?

主题说这一切。一般的杀毒软件必须拦截所有文件访问,扫描文件,然后可选地拒绝对文件的访问(甚至可能向用户显示提示)。如何才能做到这一点?

我知道一个叫做API钩子的方法,但是这是一个非常脏的无证件的黑客 – 因此并不真正可靠。这样做的“官方”方式是什么?

或者,我有兴趣拦截可执行模块(.DLL,.EXE等)的加载,而不仅仅是任意文件读取。

在最新版本的Windows(至少XP以上)中有一个概念’过滤器’,可以使用MS Filter Manager查看(fltmc.exe从命令提示符)

这提供了一个低级I / O钩子,AV程序可以访问并自动注册以将所有I / O请求传递给文件系统。它是一个工具包,您可以获得驱动程序开发自己的过滤器。

http://www.microsoft.com/whdc/driver/filterdrv/default.mspx是深入了解信息的起点。

http://stackoverflow.com/questions/1531800/how-does-a-windows-antivirus-hook-into-the-file-access-process

本站文章除注明转载外,均为本站原创或编译
转载请明显位置注明出处:Windows防病毒如何钩入文件访问过程?