MSの例(Scanner File System Minifilter Driver)を調べた後。IRP_MJ_CREATE
, IRP_MJ_WRITE
,のみを使用していることに気付きましたIRP_MJ_CLEANUP
。リアルタイム保護には十分でしょうか?
質問する
464 次
1 に答える
0
すべてのファイル書き込みは通過しIRP_MJ_WRITE
ます。そのため、このパスのファイル/データをスキャンすると、新しいファイル/データにウイルスが含まれていないことをほぼ確実に確認できます。
ただし、必ずすべての書き込み関数をフィルター処理してください (メモリ マップ ファイルの書き込みなど)。より良い/必要なのは、ページング IO もフィルタリングすることです。
ディスク上のファイルにウイルスが含まれていないことが確認されると、読み取り中のファイルのスキャンは不要になります。
ただし、これでは、システムに既にウイルス ファイルが存在する場合、それは捕捉されません。ただし、リアルタイム保護に必要だとは思わないでください。
于 2013-04-25T05:51:04.597 に答える