问一个关于MSE自我保护的问题。

BHHZDQL

MSE自我保护最重要的一个“幽魂”大法：无驱动无进程式监控与查杀
　　我首先要解释一下，这里的无进程指的是msmpeng.exe和msseces.exe进程没有启动的情况。有人会问，没有进程怎么能保证监控运行呢？呵呵，这个我也不知道，这也是MMPC的一个保密技术，但是MMPC也曾经透露过一点点。
　　MSE会在系统文件注册一些组件并且自动接替WD的工作，MSE的监控正常情况下会基于msmpeng.exe进行，这样监控非常灵敏，如果说有一天，一个超强悍的病毒进来了，干掉了MSE的驱动和进程，MSE怎么办呢？刚才我说了，MSE会在系统文件注册一些组件。因此，这时你会发现，system这个进程的资源占用大增，这个进程是什么我想大家都知道吧，病毒想结束这个？恐怕基本没可能吧。MSE会自动检查自己的驱动是否完好，如果完好则启动正常的监控进程，如果无法找到，则会自动将程序注入system寻求“庇护”，这时，MSE将利用系统的关键文件和驱动继续工作，只要保证msmpsvc服务项正在运行，MSE依然可以启动。
　　但是MSE自我保护究竟是如何利用系统驱动和系统文件以及system这个进程工作的，这个你恐怕需要问盖茨先生了。
网上看到的
我想基本没病毒敢结束system进程吧
问问是否为真

☆莫恋→红尘√

汗~~~好NB    这个不了解

☆莫恋→红尘√

擦  又连点

BHHZDQL

☆莫恋→红尘√ 发表于 2011-8-24 08:22
汗~~~好NB    这个不了解

把自己注入system，这个自保估计绝对强悍

wakin

那是，这样进程就不能被结束了

BHHZDQL

wakin 发表于 2011-8-24 08:43
那是，这样进程就不能被结束了

结束system会咋样？

wakin

BHHZDQL 发表于 2011-8-24 08:44
结束system会咋样？

进程被结束了，MSE就起不到保护作用了

BHHZDQL

wakin 发表于 2011-8-24 08:53
进程被结束了，MSE就起不到保护作用了

system结束了系统估计得没了

samtogo

这个估计只有Z大能跟你侃了额。。 --不过系统是自己的。。再怎么样还是对自家的东西了解。。 --

BHHZDQL

samtogo 发表于 2011-8-24 08:57
这个估计只有Z大能跟你侃了额。。 --不过系统是自己的。。再怎么样还是对自家的东西了解。。 --

哦，估计就mse可以把自己注入到system进程