过滤驱动是什么,如何分析IRP病毒和对象劫持?_电脑百科

゛自編自導自演

ZxID：19404371

等级: 元老

配偶: ゛自编自導自演

举报只看楼主使用道具楼主发表于: 2015-09-15 0

　　过滤驱动是什么,如何分析IRP病毒和对象劫持?今天来点高深的内容，虽然在下也是似懂非懂的，权当自己的读书笔记，拿出来和朋友们分享下，这里郑重声明，路过高手一定要不吝指正，免得在下以讹传讹，影响到关心这些内容的朋友的理解，因为对于PC Hunter这款软件来讲，其内核选项，我们这些小白应该关心也多少能够理解一点的，也就是过滤驱动是什么,以及如何简单分析IRP病毒和对象劫持的内容，姑且放在这里算作一篇PC Hunter怎么用的内容吧。
　　作为内核级手动杀毒辅助软件，借助PC Hunter的帮助，可以用来处分正常和非正常过滤驱动，并能帮助我们检测对象劫持情况。
　　一、过滤驱动是什么
　　过滤驱动是操作系统驱动层中特殊的一种驱动，是一种核心模式驱动。之所以把它从驱动层中分离出来，是因为正常情况下，过滤驱动是不可见的，它们把自己贴在其他驱动之上，并且拦截对底层驱动设备对象的请求。它是可扩展的，更重要的是无论当前新功能是否可用它都允许增加新功能，过滤驱动要么利用I/O请求的初始目标驱动提供服务，要么利用其它用户服务或者核心模式软件来提供新增加的功能。

　　过滤驱动具有很重要的作用，对于我们普通用户来讲，我们可以通过检测过滤驱动，查看是否被IRP病毒感染。要知道，采用驱动技术进行内核API调用的恶意代码，很多高手都无能为力，PC Hunter内核选项里面的过滤驱动，能够帮助我们直观的呈现，问题驱动一般会以非黑颜色显示。
　　二、对象劫持
　　对象劫持指的是一些病毒通过一个驱动对象名，来获取对应的驱动对象，从而达到隐藏自己的目的。我们一定听说过键盘记录器，他就是通过对象劫持达到自己目的的。
　　过滤驱动是什么,如何分析IRP病毒和对象劫持的内容，在下也是一知半解，希望不要误导了您!

本帖de评分：共 1 条评分ＤＢ +50

百尺游丝千里梦	ＤＢ⁺⁵⁰	2015-09-16	电脑技术板块欢迎您ق

隐藏

打赏收藏新鲜事

1998-2016 HouDao Ubc. All Tights Reserved

回复引用

鲜花[0]　

鸡蛋[0]

百度是我家b3e5f

ZxID：65573106

等级: 新兵

举报只看该作者沙发发表于: 2015-09-15 0

长知识了

bjkfp1688.jimdo.com,shkfp1688.jimdo.com,gzkfp1688.jimdo.com,szkfp1688.jimdo.com,tjkfp1688.jimdo.com,hzkfp1688.jimdo.com,jnkfp1688.jimdo.com,nbkfp1688.jimdo.com,xmkfp1688.jimdo.com,cdkfp1688.jimdo.com,whkfp1688.jimdo.com,hebkfp1688.jimdo.com,sykfp1688.jimdo.com,cckfp1688.jimdo.com,chshkfp1688.jimdo.com,fzkfp1688.jimdo.com,zzkfp1688.jimdo.com,sjzkfp1688.jimdo.com,wlmqkfp1688.jimdo.com,tykfp1688.jimdo.com,hfkfp1688.jimdo.com,nckfp1688.jimdo.com,nnkfp1688.jimdo.com,kmkfp1688.jimdo.com,lzkfp1688.jimdo.com,dlkfp1688.jimdo.com,wxkfp1688.jimdo.com,dgkfp1688.jimdo.com,szkfp1688.jimdo.com,fskfp1688.jimdo.com,yzkfp1688.jimdo.com,qdkfp1688.jimdo.com,wzkfp1688.jimdo.com,njkfp1688.jimdo.com,cqkfp1688.jimdo.com,xakfp1688.jimdo.com,

回复引用

鲜花[0]　

鸡蛋[0]

Zixia.User

ZxID：1333333

等级: 上将

别看了没你过得好

举报只看该作者板凳发表于: 2015-09-16 0

懂了

回复引用

鲜花[0]　

鸡蛋[0]

过滤驱动是什么,如何分析IRP病毒和对象劫持?

帖子

[系统问题]过滤驱动是什么,如何分析IRP病毒和对象劫持?