Z龙：祝广大饭友国庆节快乐【关于MSE的KSL (Kernel Support Library)驱动那点事】

驭龙

Z龙先祝各位饭友国庆节快乐。

最近发现本区的饭友，有不少被MSE的KSL (Kernel Support Library)驱动问题困扰，所以Z龙以菜鸟级的技术，说说Z龙对KSL (Kernel Support Library)驱动的认识，如有错误，请各位饭友不要见笑，因为Z龙非常非常的菜，Z龙继续下沉，做核潜艇了。


最先说一下mpksl xxxxxxxx.sys驱动的作用与功能：
mpksl xxxxxxxx.sys驱动是MSE Anti-Rootkit技术的核心驱动。
官方介绍
Monthly engine releases let us respond to many of the latest advanced rootkit techniques:
KSL (Kernel Support Library)Kernel-inspection technology to detect advanced rootkits such as Alureon
kBTR (Kernel-mode boot-time removal)Kernel-mode driver that loads early in the boot process to perform remediation actions before the malware starts
DFSP (Direct File System Parsing)Raw parsing of the disk to detect hidden rootkits and identify potential new rootkits


由于MSE的Anti-rootkit (AR) protection动态驱动KSL (Kernel Support Library)技术，是采用Komoku Inc公司 Anti-rootkit (AR) protection的技术，MSE 2.0新加入的技术，所以mpksl xxxxxxxx.sys驱动残余，可能没有跟MSE融合完整的原因。不过这是不会对系统有影响的

先说说mpksl xxxxxxxx.sys驱动的创建：
mpksl xxxxxxxx.sys驱动是由msmpeng启动时和特征库更新时随机创建的，驱动名称可能保存在msmpeng进程的内存里，一旦msmpeng进程非正常退出，就不会按正常退出的流程卸载mpksl xxxxxxxx.sys驱动，msmpeng进程再次启动的时候，已经丢失上一次创建的随机驱动名称，msmpeng进程无法卸载上一次创建的驱动，这就是出现mpksl xxxxxxxx.sys驱动残余的原因。

出现mpksl xxxxxxxx.sys驱动的残余，有以下几个原因：
① msmpeng进程被强制关闭。
② 更新过程中意外终止。
③ 非正常关机或系统蓝屏。
④ 其它未知原因，或者软件冲突。

临时解决方法：

只要不出现上面提到的几个原因，KSL (Kernel Support Library)驱动就不会经常出现问题。

解决已经出现的KSL (Kernel Support Library)驱动，开始菜单→右键计算机选择管理→设备管理器，按下面图片的操作找到带惊叹号的KSL (Kernel Support Library)驱动，右键卸载，提示警告点击，是，出现是否重新启动，点击 否，继续卸载下一个带惊叹号的KSL (Kernel Support Library)驱动。

aazz00

我这个直接卸载没问题把？

驭龙

aazz00 发表于 2011-10-1 19:55
我这个直接卸载没问题把？

带惊叹号的都可以卸载，没有问题的，放心吧

飞霜流华

我的感叹号，应该就是软件冲突了

samtogo

Z龙...有3.0的消息不哈..等的好揪心...比如神马内部消息哈..

qzmxy2006

wy1091727248 发表于 2011-10-1 21:03
我的感叹号，应该就是软件冲突了

乃装了什么 冲突了

ujty

MSE是很好的产品，我最常推荐的三款杀软之一。

ELOHIM

占8楼！

昨天太卡了就没有上卡饭。。       
主机MSE+COMODO  绝对固定。
虚拟机不固定……

飞霜流华

qzmxy2006 发表于 2011-10-1 22:32
乃装了什么 冲突了

各种各样的扫描器，比如红伞、熊猫云、清理助手等等，还有卫士、管家神马的~

qzmxy2006

wy1091727248 发表于 2011-10-2 21:13
各种各样的扫描器，比如红伞、熊猫云、清理助手等等，还有卫士、管家神马的~

装这么多。。。天哪。。