2011-11-05 81 views
4

大多數已知的防病毒軟件都具有實時監控功能,這意味着它可以在訪問或執行之前掃描文件。這樣的技術如何實現? .NET中有一些名爲filewatcher我不知道這是否與AntiVirus中使用的內容相同。實時監控技術

+0

我不知道爲什麼會有一些負面評價這個問題? – Aan

+2

我也沒有。這絕不是一個壞問題。 –

回答

6

通常情況下,防病毒軟件將安裝過濾器驅動程序,該驅動程序附加到Windows內核中的文件系統驅動程序。所有對文件系統驅動程序的請求都首先傳送給過濾器,然後過濾器決定是轉發還是拒絕請求。

請注意,在用戶模式下掛接Windows API或任何其他API通常是不夠的,因爲惡意軟件總是可以直接向內核發出調用,繞過掛鉤的API。

1

掛接(Win)API函數是這類任務的通用解決方案,但我認爲這只是冰山一角。在wikiDetection小節)中幾乎沒有關於它的提示。因此,您需要了解如何掛接API函數以及有關Windows內部的一般信息。我建議Windows via C++是解決這個全球性問題的一個很好的起點。