杀毒软件主动防御的原理
嗯hook的话除非它胆大到把所有进程全部来一个,不然没什么用吧。而且很多病毒不会产生消息的对吧。
dll注入的话难道它注入kernal32?那一崩溃不是很凄凉。反正有时候见杀软崩溃也没有蓝屏。而且xp之后有那什么随机地址之类的,所以监视kernal32又看似不可行了诶
或者也许是拦截api么,,这个没怎么研究过只知道有这玩意。可是这样正常的程序怎么办(比如任务管理器)
万分不解求大神
[解决办法]
内核就一个进程,杀软走的是R0
[解决办法]
hook内核的话,不需要对每个进程都hook一遍
消息和hook也没太多的直接联系
