邪恶八进制信息安全团队技术讨论组 » 技术讨论{ Technique Discussions } » [讨论]请问MACFEE如何实现文件监控的？

打印

[讨论]请问MACFEE如何实现文件监控的？

dream2fly

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 593
精华: 41
积分: 4641
阅读权限: 100
性别: 男
在线时间: 478 小时
注册时间: 2004-11-20
最后登录: 2008-8-30

原创技术奖软件研发奖

发短消息
加为好友
当前离线

楼主大中小发表于 2008-5-23 17:35 只看该作者

[讨论]请问MACFEE如何实现文件监控的？

信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
文章作者：dream2fly

发现如果我在系统目录创建文件，macfee会监控到，用ICESWORD看了下，macfee没有hook ssdt, 那么macfee是怎么监控到的呢？
请各位大侠帮解惑一下。

QQ:838468959

TOP

寂寞宝贝

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 441
精华: 12
积分: 4729
阅读权限: 100
性别: 男
来自: 云南
在线时间: 173 小时
注册时间: 2006-2-7
最后登录: 2008-8-29

发短消息
加为好友
当前离线

沙发大中小发表于 2008-5-24 11:35 只看该作者

其实有的时候出名的东西用的技术并不一定用的技术都是那么高级。。。。搞不好他就是简单的Hook Api 或者直接就是文件目录监视。。

成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。

TOP

dream2fly

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 593
精华: 41
积分: 4641
阅读权限: 100
性别: 男
在线时间: 478 小时
注册时间: 2004-11-20
最后登录: 2008-8-30

原创技术奖软件研发奖

发短消息
加为好友
当前离线

椅子大中小发表于 2008-5-24 14:57 只看该作者

引用:

原帖由 寂寞宝贝 于 2008-5-24 11:35 发表
其实有的时候出名的东西用的技术并不一定用的技术都是那么高级。。。。搞不好他就是简单的Hook Api 或者直接就是文件目录监视。。

是fsd hook，确实很高级。。

QQ:838468959

TOP

zshoucheng

荣誉会员

Rank: 6 Rank: 6 Rank: 6

E.S.T论坛贵宾

帖子: 239
精华: 12
积分: 4747
阅读权限: 100
性别: 男
来自: gd
在线时间: 1270 小时
注册时间: 2006-5-19
最后登录: 2008-8-31

发短消息
加为好友
当前离线

板凳大中小发表于 2008-5-24 17:56 只看该作者

很老的技术了
轻松Bypass之。。。

---> 伱能領導潮流. 我可領導全賕! <---

TOP

sudami

大米米

运维管理组

Rank: 7 Rank: 7 Rank: 7 Rank: 7

E.S.T论坛版主

帖子: 275
精华: 7
积分: 6038
阅读权限: 150
性别: 男
在线时间: 1129 小时
注册时间: 2007-1-10
最后登录: 2008-9-7

发短消息
加为好友
当前离线

地板大中小发表于 2008-5-24 17:59 只看该作者

高级个啥~

其实不神秘~~~

WINDOWS内核疯狂爱好者

TOP

‹‹ 上一主题 | 下一主题 ››

邪恶八进制信息安全团队技术讨论组 » 技术讨论{ Technique Discussions } » [讨论]请问MACFEE如何实现文件监控的？