Техника мониторинга в реальном времени

Question

Самое известное антивирусное программное обеспечение имеет функцию мониторинга в режиме реального времени, что означает, что оно может сканировать файлы до того, как к ним обращались или выполняли. Как такая техника может быть реализована? В .NET есть что-то, называемое filewatcher. Я не знаю, является ли это той же идеей, что и антивирус.

Answer 1

Как правило, антивирусное программное обеспечение устанавливает драйвер фильтра, который подключается к драйверу файловой системы в ядре Windows.Таким образом, все запросы к драйверу файловой системы сначала доставляются в фильтр, который затем определяет, следует ли переслать или отклонить запрос.

Обратите внимание, что перехват Windows API или любого другого API в пользовательском режиме обычно недостаточен, так как вредоносное ПО всегда может отправлять вызовы ядру напрямую, минуя подключенный API.

Answer 2

Подключение (Win) API-функций является общим решением для таких задач, но я полагаю, что это всего лишь верхушка айсберга. В wiki (подраздел Detection) есть небольшая заметка об этом. Таким образом, вам нужно узнать о том, как подключать функции API и о внутренних компонентах Windows в целом. Я бы предложил Windows через C ++ в качестве хорошей отправной точки для решения этой глобальной проблемы.