Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
[Win32] Согласен с NKritsky 27.11.06 15:04 Число просмотров: 2977
Автор: amirul <Serge> Статус: The Elderman
|
> Сам антивирусный монитор планирую реализовать в виде > драйвера уровня ядра, который перехватывал бы WinAPI’шную > функцию ntCreateFile (в названии могу ошибаться, но
> 1. По какому еще алгоритму можно попробовать > реализовать антивирусный монитор?
В IFSDK/src/filesys есть два проекта filespy и sfilter, которые можно использовать в качестве скелета для разработки своих фильтров.
> 2. На самом ли деле функция ntCreateFile вызывается > каждый раз при открытии файла?
Нет. Есть еще NtOpenFile
> 3. Что есть сигнатуры и как с ними работать? > Желательно на примере (конкретная сигнатура, ее структура в > БД для антивиря, зависимость алгоритма поиска от структуры > сигнатуры и т.д.), т.к. общее определение мне понятно. > 4. Где можно достать БД по сигнатурам для моих > экспериментов.
Да хоть бы из ClamAV/ClamWin, но надо почитать лицензии
|
|
|