【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [讨论]请问MACFEE如何实现文件监控的？ [打印本页]

作者: faye 时间: 2008-7-20 23:25 标题: [讨论]请问MACFEE如何实现文件监控的？

[讨论]请问MACFEE如何实现文件监控的？
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
文章作者：dream2fly

发现如果我在系统目录创建文件，macfee会监控到，用ICESWORD看了下，macfee没有hook ssdt, 那么macfee是怎么监控到的呢？
请各位大侠帮解惑一下。QQ:838468959

帖子593 精华41 积分4641 阅读权限100 性别男在线时间475 小时注册时间2004-11-20 最后登录2008-7-3 查看详细资料引用报告回复 TOP 爱要怎么说出口

寂寞宝贝

荣誉会员

作者: 大阿哥 时间: 2008-7-20 23:25

其实有的时候出名的东西用的技术并不一定用的技术都是那么高级。。。。搞不好他就是简单的Hook Api 或者直接就是文件目录监视。。成功的男人白天瞎JB忙，晚上JB瞎忙；失败的男人白天没啥鸟事，晚上鸟没啥事。

帖子428 精华12 积分4620 阅读权限100 性别男来自云南在线时间172 小时注册时间2006-2-7 最后登录2008-7-16 查看个人网站
查看详细资料引用报告回复 TOP 爱要怎么说出口

dream2fly

荣誉会员

作者: 绝对零度 时间: 2008-7-20 23:25

引用:
原帖由寂寞宝贝于 2008-5-24 11:35 发表

其实有的时候出名的东西用的技术并不一定用的技术都是那么高级。。。。搞不好他就是简单的Hook Api 或者直接就是文件目录监视。。
是fsd hook，确实很高级。。QQ:838468959

帖子593 精华41 积分4641 阅读权限100 性别男在线时间475 小时注册时间2004-11-20 最后登录2008-7-3 查看详细资料引用报告回复 TOP 良辰择日，预测咨询，公司改名，权威易经

zshoucheng

荣誉会员

作者: hnhxlxw 时间: 2008-7-20 23:25

很老的技术了
轻松Bypass之。。。---> 伱能領導潮流. 我可領導全賕! <---

帖子238 精华12 积分4746 阅读权限100 性别男来自gd 在线时间1268 小时注册时间2006-5-19 最后登录2008-7-18 查看详细资料引用报告回复 TOP

sudami
大米米

运维管理组

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)