首页 > 天下杂侃 > 科技数码 > MSE自我保护介绍
2012
07-23

MSE自我保护介绍

MSE自我保护,就是大名鼎鼎的微软免费杀毒软件的技术,mse杀毒软件以界面简单友好,资源占用少,查杀率出色,防护灵敏著称,通过Windows正版验证的计算机即可使用。

有些比较有经验的用户经常会这样验证杀软的自我保护:打开任务管理器,找到杀软的进程,点结束进程。没错,这样确实无法结束一些杀软的进程,由用户便认为这杀软自我保护还可以。

可是MSE却颠覆了这样的理论,使用任务管理器可以轻松结束他的进程。这时候就有人说了,MSE根本没有自我保护!事实真的如此吗?

我就给大家讲解一下,在Windows7中的MSE自我保护措施。(XP我就不说了,MSE在XP中确实很不好,因为MSE就是专门为Windows7量身打造,与Windows7的系统功能相配合的)

PS:本次只说Windows7中的MSE!

1.Windows7系统权限

用过Windows7的人都知道,Windows7对于系统权限的设定特别严格,UAC更是加强了这种权限的严格性。好比XP就像是五千多年前的原始部落,里面基本没有地位高低之分,最多有一个族长(管理员权限),其他的都是人人平等,名义上有不同,可是实际上没什么不同。而Windows7这就像是封建王朝,里面等级分明,每个人的权利都不同,其中皇帝(Windows7管理员权限)是最高地位的,下属很多的官职,层层分明。

PS:以下解释都是在开启UAC的前提下进行,没开UAC的可以忽略。

①进程

皇帝(管理员)当然是最高权限的拥有者哦,很多人测试结束MSE进程时,用的要么是XP系统,要么就是直接用Windows7的管理员权限来测试,关闭一次还会再启动一次,但是如果在结束就启动不了了。这就出来一个问题:Windows7的权限设置是一般病毒难以逾越的一座大山,大部分病毒基本上不可能获取到Administrator或Administrators的权限,而想要结束MSE的进程,必须要达到这两种权限才可以,用Windows7的可以试一下,用user或guest(一般程序使用的是guest,病毒在Windows7中最高只能获取guest,当然前提是你要打开UAC)来结束MSE进程,这是就会显示权限不足,拒绝访问的提示。

②核心文件(如病毒库)

MSE病毒库路径为X(系统盘):\ProgramData\Microsoft\MicrosoftAntimalware中的包含{XXXX}的文件夹就是病毒库文件。安装MSE的Windows7的用户可以去看一下,这几个文件旁边有一个锁的标志,没错,这就是限制的标志。这个文件夹,Administrator有访问权限,但没有修改权限,Administrators及其以下的用户组均无法访问此文件夹,更别说修改了,而我刚才说过,大多数的病毒在Windows7中是无法获取这样高的权限的。

③MSE核心驱动程序

在MSE1.0中,MSE仅仅会加载一个驱动用于监控,在MSE2.0及2.1里,会加载多个驱动(至少三个,因为管理员权限无法访问MSE的一个核心文件夹,那里面可能还会有驱动,详情MMPC没有任何透露)。其中一个用户监控,另一个具体情况未知(原因同上),还有一个就是我要重点解释的,在MSE特征库的文件夹中包含一个随即命名的驱动个MpKsl_xxxxxxxx.sys,这是MSE2.0加入的技术,每次升级特征库以后,此驱动的后八位是随机生成,因此没有病毒可以预知MSE的反病毒驱动完整名称,这也是预防病毒彻底干掉MSE反病毒驱动的一种办法。对于此技术,Microsoft没有提供相关技术解释,这可能是为防止病毒制造者破译此技术吧。

2.MSE自我保护最重要的一个“幽魂”大法:无驱动无进程式监控与查杀

我首先要解释一下,这里的无进程指的是msmpeng.exe和msseces.exe进程没有启动的情况。有人会问,没有进程怎么能保证监控运行呢?呵呵,这个我也不知道,这也是MMPC的一个保密技术,但是MMPC也曾经透露过一点点。

MSE监控正常情况下会基于msmpeng.exe进行,MSE会在系统文件注册一些组件并且自动接替WD工作。这样监控非常灵敏,如果说有一天,一个超强悍的病毒进来了干掉了MSE驱动和进程,MSE怎么办呢?刚才我说了MSE会在系统文件注册一些组件。因此,这时你会发现,system这个进程的资源占用大增,这个进程是什么我想大家都知道吧,病毒想结束这个?恐怕基本没可能吧。MSE会自动检查自己的驱动是否完好,如果完好则启动正常的监控进程,如果无法找到则会自动将程序注入system寻求“庇护”这时,MSE将利用系统的关键文件和驱动继续工作,只要保证msmpsvc服务项正在运行,MSE依然可以启动。

但是MSE自我维护究竟是如何利用系统驱动和系统文件以及system这个进程工作的这个你恐怕需要问盖茨先生了~

最后编辑:
作者:轻飏
这个作者貌似有点懒,什么都没有留下。
捐 赠如果您觉得这篇文章有用处,请支持作者!鼓励作者写出更好更多的文章!

留下一个回复

你的email不会被公开。