查看: 41419|回复: 99
收起左侧

[技术探讨] 探秘MSE卡EXE程序与解除MSE卡EXE的方案【本文仅供参考】

  [复制链接]
驭龙
发表于 2011-6-4 07:55:26 | 显示全部楼层 |阅读模式
本帖最后由 zdshsls 于 2011-11-16 12:57 编辑

大家一直对MSE卡EXE而感到困惑,现在我来向大家解密MSE卡EXE的真正原因(当然这不一定是完全正确的,我毕竟不是官人)吧


大多数杀毒软件都采用hook api技术进行对文件的监控,而MSE并没有使用HA技术,它使用什么技术只有它的研发团队知道。

目前看来MSE的监控方法是监控其它进程对硬盘数据的读写,卡EXE最根本的原因是在于explorer大量访问硬盘数据的结果,这也就是为什么把监控模式设置为传入以后,不再卡EXE的原因。

怎样彻底解决卡EXE呢?这里有一个新手不宜的方法,那就是把explorer进程添加到MSE进程排除,这样MSE就不会监控explorer对硬盘数据的读写,让系统拥有裸奔的速度。

排除explorer会影响安全效果吗?

请各位查看这个帖子,会了解更多的体验。

http://bbs.kafan.cn/thread-1102192-1-1.html

应该不会,因为只是排除explorer对硬盘数据的读写,并不影响监控其它进程的读写,而且病毒运行时也是会被监控到的,加上写入硬盘病毒的程序基本上都是浏览器和下载器,所以并不影响安全性。排除explorer以后,监控模式可以设置为默认监控所有文件,这样比简单的传出或传入好一些。建议大家在排除explorer以后,每隔一段时间就进行一下扫描,这样可以确保不会遗漏病毒
要问排除explorer与设置监控为传入那个更安全,请看本帖13L和17L,hj5abc会员的测试

我个人比较倾向于排除explorer的方法,因为仅排除explorer进程,监控设置为监控所有文件的话,其他程序的读盘,MSE也会监控,理论上讲可以发现系统上的已有病毒,就像系统上有一个病毒,MSE没有发现,更新以后就可以杀,但是如果是仅传入的话,更新以后就不能杀这个病毒,所以排除explorer更安全


下面的一张图是排除explorer以后,运行病毒的结果图




hj5abc会员对此最新描述:

仅传入扫描+定期快速或全盘扫描
这样凡是第一次进入电脑的文件都不能逃过被扫描,定期手动扫描用来剔除已存在的更新后杀出来的病毒
另,这种情况下,U盘中的病毒不会被监控到,所以每次打开前扫描就显得比较重要
我自己设置了禁止U盘程序启动,所以不存在这个烦恼

监控所有+排除Explorer
这样只是排除了资源管理器的文件操作,比如复制粘贴,访问执行时,但是其他程序的所有文件操作会被监控到。也比较安全的。不排除病毒利用explorer创建文件等,但一般比较少见吧。

注:zdshsls认为,即便遇到极其少见的利用explorer创建文件的病毒,也完全不用担心,病毒一旦注入内存,MSE监控系统会立即杀死病毒!

但是面前两种解决卡E的方法都存在安全隐患。

像排除explorer,遇到利用explorer写入的病毒,若病毒没有本身的进程,而是依附于explorer进程,就会有一定的安全隐患。

而仅传入的话,一个病毒在MSE未入库时进入系统,就算以后这个病毒入库,MSE也无法发现系统上的这个病毒!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
あ掵㊣峫淰℡ + 1 抱歉,纯表情回复

查看全部评分

whanlt
发表于 2011-6-4 09:19:36 | 显示全部楼层
这么看好像的确像分析的那样
嗯,试试看。
markego
发表于 2011-6-4 09:32:28 | 显示全部楼层
排除了有点怕怕唉,explorer染毒的几率还是不小的。。。很多病毒会从explorer入手。。。感觉传入靠谱点。。。
XMonster
发表于 2011-6-4 09:44:27 | 显示全部楼层
排除了,搭配个卫士也是可以的…流畅依旧
驭龙
 楼主| 发表于 2011-6-4 09:45:11 | 显示全部楼层
markego 发表于 2011-6-4 09:32
排除了有点怕怕唉,explorer染毒的几率还是不小的。。。很多病毒会从explorer入手。。。感觉传入靠谱点。。 ...

如果有是配上EMET的话,完全不用担心explorer被注入,而且病毒不会仅注入explorer,只要在其它位置出现,MSE就会提醒你进行系统扫描,所以不必担心这个
yym1988520
发表于 2011-6-4 10:40:30 | 显示全部楼层
本帖最后由 yym1988520 于 2011-6-4 10:41 编辑

卡EXE,我试了下就是XP3 下卡,遇到很多EXE 文件在一起时候就卡,目前VISTA SP2   WIN7 SP1 从未卡过,这两个系统我一直都用。xp下我用的AVAST
fzq198776
发表于 2011-6-4 12:51:05 | 显示全部楼层
yym1988520 发表于 2011-6-4 10:40
卡EXE,我试了下就是XP3 下卡,遇到很多EXE 文件在一起时候就卡,目前VISTA SP2   WIN7 SP1 从未卡过,这两 ...

win7 运行比较大的EXE文件的时候依旧很卡
wakin
发表于 2011-6-4 13:14:18 | 显示全部楼层
其实感觉现在卡EXE文件也不是太明显了
yeow5243
发表于 2011-6-4 13:30:46 | 显示全部楼层
楼主是企业版的,觉得emet比较适合企业用户,微软也不推广emet还是设置为仅传如监控比较安心
make
发表于 2011-6-4 13:45:28 | 显示全部楼层
lz用的是什么版本啊,求该版本的官方链接
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 17:19 , Processed in 0.148154 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表