再问一个技术性问题--关机过程中卡巴如何监控

天才杨威利

我觉得在电脑关机的过程中应该让杀毒软件最后一个关闭，至少应该在其他的应用程序和驱动之后关闭。

jbz85

你的这个问题我遇到过    因为中毒我杀完后重起  我打的是先查后手动选择杀的   关机一刹那喀吧报警并出提示框   然后就关机了   重起后在查没发现病毒了 但是好象？？有记录吧 ？
如果只能楼住说的  它要先改注册表了   那咔吧在关机那一刻还在监控  如果开发现病毒直接杀的话  应该可以OK掉的！！

听雨醉

关于这个问题，首先我们需要了解一下系统关机的原理。网上一大把，我顺手摘了一篇如下：

Windows关机步骤涉及到Windows多个组件和多个过程，简单的说，Windows的关机步骤不是大多数人认为的那么简单。基本的过程是这样的:
　　
　　1.　用户发起关机指令以后，发起关机指令的程序会通知Windows子系统CSRSS.EXE，CSRSS.EXE收到通知以后会和Winlogon.EXE做一个数据交换，接着由Winlogon.EXE通知CSRSS.EXE开始关闭系统的流程 。
　　
　　2.　CSRSS.EXE收到Winlogon.EXE的通知以后，会依次查询拥有顶层窗口的用户进程，让这些用户进程退出。如果某一个用户进程在一个默认的超时时间5000毫秒(可以通过修改注册表键值HKEY_CURRENT_USER\Cont rol Panel\Desktop\ HungAppTimeout设定超时时间)内没有退出的话，Windows会显示一个结束任务对话框用于询问用户是否结束这个任务。默认情况下将显示这个对话框并一直保持而不会自动关闭。对于控制台程序来说，基本情况类似，只不过Windows使用HK EY_CURRENT_USER\Control Panel\Desktop\ WaitToKillAppTimeout值来设置超时时间。
　　
　　3.　接着是轮到终止系统进程了。系统进程包括SMSS.EXE、Winlogon.EXE、Lsass.EXE等。Windows在终止系统进程的时候并不像终止用户进程那样如果无法在规定时间内终止则提示用户，而是跳过这个进程，去执行下一个系统 进程的终止操作。使用的超时时间和第2步使用的时间相同。
　　
　　上述3个步骤是整个Windows关机过程中最耗费时间的一段，大多数关机缓慢的原因都是因为这3个步骤引起的。完成前3个步骤以后，进入了关机操作的第4个阶段，也是最后一个阶段。
　　
　　4.　Winlogon.EXE调用一个原生API函数NtShutdownSystem()来命令系统执行后面的扫尾工作。在这个阶段里面，Windows执行子系统会完成最后的关机操作，例如:设备驱动在这个阶段里面完成一些驱动设定的特殊操作; 也是在这个阶段，配置管理系统将被修改过的注册表数据会写道磁盘里面。等除了电源管理以后的全部子系统完成退出以后，电源管理完成最后的操作:如重启、关机等。

这下你应该明白你这个问题的答案是什么了吧？

也就是说，操作系统在执行“在更新后关机”时，我们可以看到，它是在我们能够看到的位置——在显示“正在关机”、“正在保存个人设置...”，是在这个时候执行的更新。那么这个时候，就是至少上述内容的第三部分——系统进程之间的交通。所以，你不必担心有病毒在关机时伪装成“系统更新”来感染计算机。它还没有本事伪装成系统进程来作奸犯科——这个时候可绝不像简单地伪装系统进程、改个微软签名那样容易！！

==============================================

参考资料：
http://hi.baidu.com/wang1901/blog/item/d519dfbf3987c80a19d81f23.html


==============================================

另：
楼主能否将帖子主题改得明确些，以方便其它网友阅～

fljoan1

谢谢版主的耐心指教
顶技术派~~~

mj_alexblair

这里说的不错，不过，还是需要补充的。
WINDOWS在结束进程的时候是按照级别来结束的。
结束的优先级是
用户进程>NETWORD SERVICES>LOCAL SERVICES>SYSTEM>DRIVERS
卡巴的服务进程AVP.EXE /R处于LOCAL SERVICES，但又属于SYSTEM用户，所以是最后退出的。
最后退出的是DRIVERS（依靠NtShutdownSystem()）,几乎所有的安全软件都是靠RING0的DRIVERS来做事情的，所以不用担心。