首页>编程与逆向>内核编程>AntiVirus/AntiSpyware产品中,防止重入/...
回复
« 返回列表
1 2 下一页 »
rayyang2000
rayyang2000
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2012-09-13
  • 粉丝3
  • 关注0
  • 积分1036分
  • 威望925点
  • 贡献值3点
  • 好评度823点
  • 原创分0分
  • 专家分0分
写私信
阅读:3975回复:34

AntiVirus/AntiSpyware产品中,防止重入/死锁

楼主#
更多 发布于:2007-02-08 09:42
帮同事问这个问题。

因为实时处理引擎设计的很复杂,有多达40几个模块/线程,而且各种类型的事件要穿插处理,比如收到一个病毒文件事件,还要判断是否已经有注册表被感染等等。所以这些处理本身又会引起其他的事件,造成整个系统的堵塞。

因此,除了修改架构,变成一个“简单”或者“避免重入”的引擎以外,还有没有什么好的建议?

本来我个人觉得是没有什么希望的,不过还是盛情难却,还是来问问吧。。。希望能得到点思路哦。。。
喜欢0
天天coding-debugging中----超稀饭memory dump file ======================================================== [b]Windows Device Driver Development and Consulting Service[/b] [color=blue][url]http://www.ybwork.com[/url][/color] ========================================================
回复
magichere
magichere
驱动小牛
驱动小牛
  • 注册日期2007-01-24
  • 最后登录2008-05-07
  • 粉丝0
  • 关注0
  • 积分1000分
  • 威望137点
  • 贡献值0点
  • 好评度136点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2007-02-28 11:11
做一辈子  程序员. 目标 最顶级的 程序员!!! 俺不要什么名头!!
创造美好的未来生活!!!
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
板凳#
发布于:2007-02-26 13:14
引用第31楼killvxk2007-02-21 14:14发表的“”:


SSDT几乎没放过几个~~还有ndis,tdi里面也有Hook,还有ShadowTable~~~
看着就心里发毛~

在64BIT下可以消失了.
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
doskey
doskey
论坛版主
论坛版主
  • 注册日期2004-12-08
  • 最后登录2016-04-05
  • 粉丝0
  • 关注0
  • 积分1000分
  • 威望302点
  • 贡献值0点
  • 好评度300点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2007-02-25 09:56
好帖mark
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
地下室#
发布于:2007-02-21 14:14
引用第30楼znsoft2007-02-21 10:20发表的“”:
这东东是成品软件,hook了几百个api...


SSDT几乎没放过几个~~还有ndis,tdi里面也有Hook,还有ShadowTable~~~
看着就心里发毛~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
znsoft
znsoft
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2023-10-25
  • 粉丝300
  • 关注6
  • 积分910分
  • 威望14796点
  • 贡献值7点
  • 好评度2410点
  • 原创分5分
  • 专家分100分
写私信
  • 社区居民
  • 最爱沙发
  • 社区明星
5楼#
发布于:2007-02-21 10:20
这东东是成品软件,hook了几百个api...
http://www.zndev.com 免费源码交换网 ----------------------------- 软件创造价值,驱动提供力量! 淡泊以明志,宁静以致远。 ---------------------------------- 勤用搜索,多查资料,先搜再问。
回复(0) 喜欢(0)
rayyang2000
rayyang2000
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2012-09-13
  • 粉丝3
  • 关注0
  • 积分1036分
  • 威望925点
  • 贡献值3点
  • 好评度823点
  • 原创分0分
  • 专家分0分
写私信
6楼#
发布于:2007-02-21 06:36
引用第22楼znsoft2007-02-19 20:08发表的“”:



有一个鸟软件叫system secury monitor? 反正就是传说用了终级hook大法的东东,用于防火还是放火?

.......


有sample没有?还是不公开的研究成果?
天天coding-debugging中----超稀饭memory dump file ======================================================== [b]Windows Device Driver Development and Consulting Service[/b] [color=blue][url]http://www.ybwork.com[/url][/color] ========================================================
回复(0) 喜欢(0)
wht0395
wht0395
驱动小牛
驱动小牛
  • 注册日期2006-07-06
  • 最后登录2009-06-10
  • 粉丝0
  • 关注0
  • 积分583分
  • 威望135点
  • 贡献值0点
  • 好评度122点
  • 原创分0分
  • 专家分0分
写私信
7楼#
发布于:2007-02-20 15:50
引用第22楼znsoft2007-02-19 18:08发表的“”:



有一个鸟软件叫system secury monitor? 反正就是传说用了终级hook大法的东东,用于防火还是放火?

.......


请问大哥,“终级hook大法”是什么?能称作“终极”
什么不懂的学生
回复(0) 喜欢(0)
wht0395
wht0395
驱动小牛
驱动小牛
  • 注册日期2006-07-06
  • 最后登录2009-06-10
  • 粉丝0
  • 关注0
  • 积分583分
  • 威望135点
  • 贡献值0点
  • 好评度122点
  • 原创分0分
  • 专家分0分
写私信
8楼#
发布于:2007-02-20 15:43
都哪些前辈是做信息安全的啊?

给我们后辈指点下需要注意的弯路
什么不懂的学生
回复(0) 喜欢(0)
xinruzhishui
xinruzhishui
驱动牛犊
驱动牛犊
  • 注册日期2006-04-06
  • 最后登录2010-08-25
  • 粉丝0
  • 关注0
  • 积分450分
  • 威望47点
  • 贡献值0点
  • 好评度46点
  • 原创分0分
  • 专家分0分
写私信
9楼#
发布于:2007-02-19 23:51
刚接触计算机时,最头疼的就是这些英文缩写,
搞的神神秘秘的,有必要吗。
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
10楼#
发布于:2007-02-19 22:38
引用第21楼z.b.Azy2007-02-14 15:12发表的“”:
老wo又说自己业余。。。。。
不好意思的问一下Vxk: 什么引擎?Anti?


嘿嘿~保密~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
cyliu
cyliu
论坛版主
论坛版主
  • 注册日期2003-06-13
  • 最后登录2014-04-11
  • 粉丝5
  • 关注0
  • 积分1238分
  • 威望2531点
  • 贡献值0点
  • 好评度577点
  • 原创分14分
  • 专家分10分
写私信
11楼#
发布于:2007-02-19 21:09
跟过一个安全产品,对系统的结构好坏对以后产品的发展和维护造成的影响深有体会。坏的架构让人头痛不已,改一处而动全身。所以苦读了软件体系结构书(1,2,3)还参加了一次ms的培训,真的有些收获。

现在做的工作,是从一个完全新的硬件平台到整体嵌入系统软件的设计,感觉到如果没有好的结构架构设计,后期研发真实灾难性的工作。

但是不知道安全软件都有什么样的架构?大家说说,长长见识?
走走看看开源好 Solaris vs Linux
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
12楼#
发布于:2007-02-19 18:21
楼上把security拼错了
驱动开发者 呵呵
回复(0) 喜欢(0)
znsoft
znsoft
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2023-10-25
  • 粉丝300
  • 关注6
  • 积分910分
  • 威望14796点
  • 贡献值7点
  • 好评度2410点
  • 原创分5分
  • 专家分100分
写私信
  • 社区居民
  • 最爱沙发
  • 社区明星
13楼#
发布于:2007-02-19 18:08
引用第18楼rayyang20002007-02-14 07:31发表的“”:


悄悄问一下:什么是SSM和HIPS?



有一个鸟软件叫system secury monitor? 反正就是传说用了终级hook大法的东东,用于防火还是放火?

hips 传说中叫主机入侵防系统,可能和ssm一样,ssm可不是sm,弄清楚:)
http://www.zndev.com 免费源码交换网 ----------------------------- 软件创造价值,驱动提供力量! 淡泊以明志,宁静以致远。 ---------------------------------- 勤用搜索,多查资料,先搜再问。
回复(0) 喜欢(0)
z.b.Azy
z.b.Azy
驱动牛犊
驱动牛犊
  • 注册日期2006-03-11
  • 最后登录2013-04-29
  • 粉丝0
  • 关注0
  • 积分263分
  • 威望95点
  • 贡献值0点
  • 好评度91点
  • 原创分2分
  • 专家分0分
写私信
14楼#
发布于:2007-02-14 15:12
老wo又说自己业余。。。。。
不好意思的问一下Vxk: 什么引擎?Anti?
回复(0) 喜欢(0)
rayyang2000
rayyang2000
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2012-09-13
  • 粉丝3
  • 关注0
  • 积分1036分
  • 威望925点
  • 贡献值3点
  • 好评度823点
  • 原创分0分
  • 专家分0分
写私信
15楼#
发布于:2007-02-14 10:13
引用第19楼wowocock2007-02-14 11:40发表的“”:
做专业安全的不知道可不应该啊,我们这种业余爱好者不知道还情有可缘,嘿嘿......


纠正一下:我不是做专业安全的,而且也对安全产品没有兴趣,现在混这行,纯粹是混饭吃  嘎嘎  
天天coding-debugging中----超稀饭memory dump file ======================================================== [b]Windows Device Driver Development and Consulting Service[/b] [color=blue][url]http://www.ybwork.com[/url][/color] ========================================================
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
16楼#
发布于:2007-02-14 09:40
做专业安全的不知道可不应该啊,我们这种业余爱好者不知道还情有可缘,嘿嘿......
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
rayyang2000
rayyang2000
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2012-09-13
  • 粉丝3
  • 关注0
  • 积分1036分
  • 威望925点
  • 贡献值3点
  • 好评度823点
  • 原创分0分
  • 专家分0分
写私信
17楼#
发布于:2007-02-14 07:31
引用第17楼killvxk2007-02-13 07:26发表的“”:

Rootkit.com那本书的Hooking风格剧烈吐血——一般软件还可以,比如SSM之类的还可以,如果是专业HIPS,直接吐血


悄悄问一下:什么是SSM和HIPS?
天天coding-debugging中----超稀饭memory dump file ======================================================== [b]Windows Device Driver Development and Consulting Service[/b] [color=blue][url]http://www.ybwork.com[/url][/color] ========================================================
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
18楼#
发布于:2007-02-13 05:26
引用第5楼rayyang20002007-02-12 06:51发表的“”:
谢谢兄弟们的意见 现在只能是一个烂摊子,做一步算一步了,反正我也不是负责的,乐得省心

这个产品是在前一个版本的基础上重新设计的,只是新的版本用到了driver来截获各种事件。可是整个team在开始的时候只有一个韩国人是做driver的,其他人都是从来没有到kernel里面混过,那个韩国人的driver水平在我看来也就是个计算机系的学生,在加入这个team前从来没有开发过正式的商业产品,而且他最擅长的是hooking,而且是照着rootkit.com的那本书学的。所以在商业产品最需要的整体设计和稳定性方面没有什么概念,当时的leader/designer也根本不知道有哪些特别要注意的地方。最终就是现在bug虽然越来越少,但是总是有些莫名其妙的bug不知道是什么原因,大家只好东猜猜、西猜猜。

还有一个让我觉得不爽的地方,整个产品,除了driver,其他的90%都是用Delphi写的,结果出现系统级的问题的时候连debug都不知道怎么弄。。。

Rootkit.com那本书的Hooking风格剧烈吐血——一般软件还可以,比如SSM之类的还可以,如果是专业HIPS,直接吐血
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
19楼#
发布于:2007-02-13 05:24
对不注意整体设计的后果深有体会,最近把自己的引擎重写了大部分——郁闷阿~
这活太恶心~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
上一页
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部