实时监控技术

Posted 2023-02-16

【中文标题】实时监控技术

【英文标题】：Real-time monitoring technique

【发布时间】：2011-11-05 09:12:40

【问题描述】：

大多数已知的防病毒软件都具有实时监控功能，这意味着它可以在文件被访问或执行之前扫描文件。如何实现这样的技术？ .NET 中有一个名为filewatcher 的东西，我不知道这是否与 AntiVirus 中使用的相同。

【问题讨论】：

我不知道为什么有人对这个问题投反对票？

我也没有。这绝不是一个坏问题。

【参考方案1】：

通常，防病毒软件会安装一个过滤器驱动程序，该驱动程序附加到 Windows 内核中的文件系统驱动程序。因此，对文件系统驱动程序的所有请求首先被传递给过滤器，然后过滤器决定是转发还是拒绝请求。

请注意，在用户模式下挂钩 Windows API 或任何其他 API 通常是不够的，因为恶意软件总是可以绕过挂钩的 API 直接向内核发出调用。

【参考方案2】：

挂钩 (Win)API 函数是此类任务的通用解决方案，但我想这只是冰山一角。在wiki（Detection 小节）中几乎没有关于它的说明。因此，您需要了解如何挂钩 API 函数以及一般的 Windows 内部结构。我建议将Windows via C++ 作为解决这一全球性问题的良好起点。