2/05/2009

허니넷에 사용되는 간단한 미니필터 예제

미니필터 모델은 윈도우즈 2000 SP4 이후에 모두 지원되므로 기존의 커널 후킹등을 사용한 파일 모니터링을 대체할 수 있다.
 
허니넷에서도 미니필터를 사용한 간단한 파일 모니터가 있다.
 
SDT등을 후킹하는 것에 비해서 부가적인 코드가 많기는 하지만 훨씬 안정적으로 동작한다.
많은 Anti-Virus 들의 실시간 감시 모듈도 사실 SDT 커널 후킹이나 미니필터 두가지 중의 한가지 방법을 사용하는 경우가 많다. 특이하게도 드라이버 오브젝트 변조를 통한 IRP 후킹을 하는 제품도 몇가지 있기는 하다. SDT 후킹 말고는 모두 비스타 이상에서도 안정적으로 동작한다.

Posted via email from bugtruck's posterous

댓글 없음:

댓글 쓰기