Keep Searching!! MSE之MpcmdRun.exe的那些事……

ELOHIM

昨天晚上鼓捣了一会儿mpcmdrun程序。

从程序名上面不难理解，就是command run 以命令行方式执行操作。(mp是什么意思？)
我们看到的MSE程序都是以窗口形式在工作，而实际上，不止MSE，任何软件都是以代码方式在运行——编程，编写程序，从理论逻辑到实际着手开展，都是无数的函数在工作，需要考虑到方方面面的情况，if else if else ,switch case switch case..然后还要考虑一些意想不到的情况发生，那就catch异常，throw给用户处理.....

准备发贴之前搜索了一下论坛，发现前任版主帅就是帅早在一年之前就已经发过mpcmdrun的命令行的贴了，现在再发，无非是起起哄~~哈哈！

如何手动使用这个mpcmdrun.exe呢？（以下以XP虚拟机为例，更高系统请自行处理一下，不会有很大区别的）。首先需要打开命令提示符窗口，在开始菜单单击运行，或者win + r,输入cmd 回车，注意，有些命令需要管理员权限哦~ Windows 7或许应该使用右键以管理员身份运行。如果这个窗口不再使用，请尽快关闭。

在弹出的窗口上面输入：cd x:\program files\microsoft security client    回车，这样，命令提示符就进入到了MSE安装程序所在文件夹，这样就可以直接使用mpcmdrun.exe命令了。

下一步，输入mpcmdrun -？ >a.txt   回车
这样我们就可以在x:\program files\microsoft security client    目录下找到一个名为a的文本文件，这里面的内容就是mpcmdrun.exe的所有使用方法，包括详细参数在内，这样比在COMMAND命令窗口可以更方便的查看和使用这些命令。

比如扫描参数：-scan -scantype 3 -file [-path]    英文中括号内[]是可选参数，英文尖括号内<>是必填参数。
     扫描类型分为0 1 2 3 四种方式，分别是计划扫描，快速扫描，全盘扫描和自定义扫描，这就是以前Z龙在贴子当中公布的MSE系统关联QQ旋风杀毒的扫描方式。
    更新参数：
-signatureupdate -mmpc  从MMPC网站服务器直接下载更新，-signatureupdate [-UNC [-Path <path>]]从指定位置服务器下载安装更新等。。
    扫描以前漏扫的软件，或是允许过的软件：-DisableRemediation参数，等。
因为参数太多，这里就不多说了，我都开始烦了。。。    ^^  有兴趣的朋友可以自己去试一下，但是有一些参数是清理所有病毒库恢复MSE到初始状态的，如果这样操作了，那就得重新安装更新喽~~  还可以查看病毒列表，还原被隔离的病毒等。

mpcmdrun.exe在工作过程当中会生成很多日志，每一步都会记录。
目前，我自己发现mpcmdrun会在二个位置生成日志，一个是本地服务（local service）,另一个是网络服务（network service）。
XP系统地址分别是：A本地服务：“C:\Documents and Settings\XPMUser\Local Settings\Temp”；
                  B网络服务：“C:\Documents and Settings\NetworkService\Local Settings\Temp”。

顾名思意，本地服务日志主要存储集中在本地计算机上面的操作，比如扫描，比如生成刚刚说过的a.txt等，而在网络日志当中我发现，存在极其频繁的，大约10分钟左右，短的几分钟，长的半小时等频率的正版验证操作和spynet的上传不明文件的操作。

下面是一条记录：微软也是会割线的哦~~并且呀割的还挺好！代码一定要可继承，不要让别人看起来是灾难，除非病毒代码。。 笑~~  二条割线中间就是一条完整的记录！
-------------------------------------------------------------------------------------
MpCmdRun: Command Line: "c:\Program Files\Microsoft Security Client\MpCmdRun.exe" -GenuineCheck -RestrictPrivileges -Reinvoke
Start Time: ‎星期三 ‎十一月 ‎30 ‎2011 17:18:20

Start: Product Genuine Check
INFO: Verifying MSE WAT DLL(C:\Program Files\Microsoft Security Client\mssewat.dll)...
INFO: verified!
End: Product Genuine Check
MpCmdRun: End Time: ‎星期三 ‎十一月 ‎30 ‎2011 17:18:25
-------------------------------------------------------------------------------------
在这条记录当中我们看到了另一个参数：-genuinecheck 正版验证参数  -RestrictPrivileges禁止优惠特权参数（莫非微软内部可以有特权？猜……）-reinvoke重新调用参数。另外还有一些比如spynet参数等，请自行去发现吧~~

MSE还会生成一些其它的日志，在某条日志当中，我惊奇的发现，MSE会伪装。。是为了欺骗恶意软件吗？来看下面这段日志的最后一行……还有倒数第二行哦，经常抢下优先启动，优先处理病毒，而不是被控制处理病毒。因为我电脑还装有另一款DEFENSE软件，是不是很牛X？
=== Verbose logging started: 2011-11-30  17:16:56  Build type: SHIP UNICODE 3.01.4001.5512  Calling process: c:\6812baac06c42f4617\x86\Setup.exe ===
MSI (c) (F0:A0) [17:16:56:482]: Resetting cached policy values
MSI (c) (F0:A0) [17:16:56:482]: Machine policy value 'Debug' is 0
MSI (c) (F0:A0) [17:16:56:482]: ******* RunEngine:
           ******* Product: c:\6812baac06c42f4617\x86\dw20shared.msi
           ******* Action:
           ******* CommandLine: **********
MSI (c) (F0:A0) [17:16:56:492]: Client-side and UI is none or basic: Running entire install on the server.
MSI (c) (F0:A0) [17:16:56:492]: Grabbed execution mutex.
MSI (c) (F0:A0) [17:16:56:512]: Cloaking enabled.



谁看到这里啦？真有耐心哦！谢谢！   :)

其实MSE在后台做了大量的工作，只是没有弹窗告诉你我而已，只是表面比较腼腆安静而已。 当然话说回来，其它防病毒软件的工作原理也是大同小异的。这是一个个性鲜明的时代，有些开朗，有些内向。

不过也没有必要告诉我们这些，毕竟家庭用户没有必要了解这些后台的事……

比如360的，金山的，卡巴斯基的等都可以使用命令行调用。。我喜欢它哪个模块就用他哪个命令就OK了。。不过，他们都会升级解决这些问题的。。谁又知道呢？

后附mpcmdrun使用代码：

1. Microsoft Antimalware Service Command Line Utility (c)2006-2011 Microsoft Corp
   
2. Use this tool to automate and troubleshoot Microsoft Antimalware Service
   
3. 
   
4. Microsoft 反恶意软件服务命令行实用程序 (c) 2006年-2011年
   
5. 微软公司使用此工具可自动执行并解决 Microsoft 反恶意软件服务
   
6. 
   
7. Usage:
   
8. MpCmdRun.exe [command] [-options]
   
9. 
   
10. Command Description
    
11.    -? / -h                                    Displays all available options
    
12.                                               for this tool
    
13.    -Scan [-ScanType #] [-File <path> [-DisableRemediation]]  Scans for malicious
    
14.                                                             software
    
15.    -Trace [-Grouping #] [-Level #]            Starts diagnostic tracing
    
16.    -GetFiles                                  Collects support information
    
17.    -RemoveDefinitions [-All]                  Restores the installed
    
18.                                               signature definitions
    
19.                                               to a previous backup copy or to
    
20.                                               the original default set of
    
21.                                               signatures
    
22.                       [-DynamicSignatures]    Removes only the dynamically
    
23.                                               downloaded signatures
    
24.    -SignatureUpdate [-UNC | -MMPC]            Checks for new definition updates
    
25.    -Restore  [-ListAll | [-Name <name>] [-All] [-Path <path>]]  Restore or list
    
26.                                                                quarantined item(s)
    
27.    -AddDynamicSignature [-Path]               Loads a dynamic signature
    
28.    -ListAllDynamicSignatures                  List the loaded dynamic signatures
    
29.    -RemoveDynamicSignature [-SignatureSetID]  Removes a dynamic signature
    
30.    -EnableIntegrityServices                   Enables integrity services
    
31. 
    
32. Additional Information:
    
33. 
    
34. Support information will be in the following directory:
    
35. C:\ProgramData\Microsoft\Microsoft Antimalware\Support
    
36. 
    
37.    -Scan [-ScanType value]
    
38.         0  Default, according to your configuration
    
39.         1  Quick scan
    
40.         2  Full system scan
    
41.         3  File and directory custom scan
    
42. 
    
43.            [-File <path>]
    
44.                 Indicates the file or directory  to be scanned, only valid for custom scan.
    
45. 
    
46.            [-DisableRemediation]
    
47.                 This option is valid only for custom scan.
    
48.                 When specified:
    
49.                   - File exclusions are ignored.
    
50.                   - Archive files are scanned.
    
51.                   - Actions are not applied after detection.
    
52.                   - Event log entries are not written after detection.
    
53.                   - Detections from the custom scan are not displayed in the user
    
54.                     interface.
    
55. 
    
56.       Return code is
    
57.       0    if no malware is found or malware is successfully remediated and no additional user action is required
    
58.       2    if malware is found and not remediated or additional user action is required to complete remediation or there is error in scanning.  Please check History for more information.
    
59. 
    
60.    -Trace [-Grouping value] [-Level value]
    
61.         Begins tracing Microsoft Antimalware Service's actions.
    
62.         You can specify the components for which tracing is enabled and
    
63.         how much information is recorded.
    
64.         If no component is specified, all the components will be logged.
    
65.         If no level is specified, the Error, Warning and Informational levels
    
66.         will be logged. The data will be stored in the support directory
    
67.         as a file having the current timestamp in its name and bearing
    
68.         the extension BIN.
    
69. 
    
70.         [-Grouping]
    
71.         0x1    Service
    
72.         0x2    Malware Protection Engine
    
73.         0x4    User Interface
    
74.         0x8    Real-Time Protection
    
75.         0x10   Scheduled actions
    
76.         0x20   NIS/GAPA
    
77. 
    
78.         [-Level]
    
79.         0x1    Errors
    
80.         0x2    Warnings
    
81.         0x4    Informational messages
    
82.         0x8    Function calls
    
83.         0x10   Verbose
    
84.         0x20   Performance
    
85. 
    
86.    -GetFiles [-Scan]
    
87.         Gathers the following log files and packages them together in a  
    
88.         compressed file in the support directory
    
89. 
    
90.         - Any trace files from Microsoft Antimalware Service
    
91.         - The Windows Update history log
    
92.         - All Microsoft Antimalware Service events from the System event log
    
93.         - All relevant Microsoft Antimalware Service registry locations
    
94.         - The log file of this tool
    
95.         - The log file of the signature update helper tool
    
96. 
    
97.         [-Scan]
    
98.         Scans for unusual files.  The files and results of the scan
    
99.         will be packaged in the compressed file.
    
100. 
     
101.    -RemoveDefinitions
     
102.         Restores the last set of signature definitions
     
103. 
     
104.         [-All]
     
105.         Removes any installed signature and engine files. Use this  
     
106.         option if you have difficulties trying to update signatures.
     
107. 
     
108.         [-DynamicSignatures]
     
109.         Removes all Dynamic Signatures.  
     
110. 
     
111.    -SignatureUpdate
     
112.         Checks for new definition updates
     
113. 
     
114.         [-UNC [-Path <path>]]
     
115.         Performs update directly from UNC file share specified in <path>
     
116.         If -Path is not specified, update will be performed directly from the
     
117.              preconfigured UNC location
     
118. 
     
119.         [-MMPC]
     
120.         Performs update directly from Microsoft Malware Protection Center
     
121. 
     
122.    -Restore
     
123.         [-ListAll]
     
124.         List all items that were quarantined
     
125. 
     
126.         [-Name <name>]
     
127.         Restores the most recently quarantined item based on threat name
     
128.         One Threat can map to more than one file
     
129. 
     
130.         [-All]
     
131.         Restores all the quarantined items based on name
     
132. 
     
133.         [-Path]
     
134.         Specify the path where the quarantined items will be restored.
     
135.         If not specified, the item will be restored to the original path.
     
136.    -AddDynamicSignature -Path <path>  
     
137.         Adds a Dynamic Signature specified by <path>
     
138. 
     
139.    -ListAllDynamicSignatures
     
140.         Lists SignatureSet ID's of all Dynamic Signatures added to the client
     
141.         via SpyNet and MPCMDRUN -AddDynamicSignature
     
142. 
     
143.    -RemoveDynamicSignature -SignatureSetID <SignatureSetID>  
     
144.         Removes a Dynamic Signature specified by <SignatureSetID>
     
145. 
     

复制代码

maomao110

看了那么多  没一句看懂的   就看懂最后一段   

yestersummer

顶楼主，大家继续给力扒光MSE!

峪飞鹰

哈哈，大赞啊！MSE的低调不简单！

ELOHIM

maomao110 发表于 2011-12-2 12:11
看了那么多  没一句看懂的   就看懂最后一段

刚才去吃饭啦。。我也不知道今天早上写的什么。。。现在也看不懂哒！~~

ELOHIM

yestersummer 发表于 2011-12-2 12:28
顶楼主，大家继续给力扒光MSE!

这不是扒光好不好呀。。

yestersummer

accp.taotao 发表于 2011-12-2 12:38
这不是扒光好不好呀。。

差不多了，都扒到里面去了！

andoyi

技术贴？

ELOHIM

andoyi 发表于 2011-12-2 14:44
技术贴？

这可不是技术贴，只是日记看多了…… 乃懂的。

wxl249346514

LZ好细心