鄙人在校暑期独自编写的 针对学校机房常见病毒的小型反病毒内核驱动
内核驱动部分: FsProtect.c
该驱动基于sfilter框架,在此基础上额外添加了反病毒功能,
识别病毒的手段只是简单地比对已录入的病毒特征数据.
该驱动过滤文件系统并拦截部分请求:
1.拦截对可执行文件的读请求,分析该可执行文件是否是病毒 是就删除
2.拦截对可执行文件的写请求(病毒的自我复制) 分析发起线程模块是否是病毒
如果线程模块是病毒 则执行线程内存擦除(杀死线程) 并删除线程的可执行模块
同时删除正在写的可执行文件
3.拦截对文件的隐藏请求(病毒的隐藏) 分析发起线程是否是病毒
如果线程模块是病毒 则执行线程内存擦除(杀死线程) 并删除线程的可执行模块
该驱动在Win7 32/64 运行正常
应用程序部分: FsProtectClient.c
该应用程序用来和驱动通信:
控制驱动拦截/不拦截文件系统请求
对于新的病毒,通过此应用程序往本地病毒库中添加新的特征码
显示驱动的日志
/////////////////////////////////////////////////////////////////////////////