MSE居然可以任务管理器结束进程换字体..安全性有保障吗

WEI.ER

MSE就算不关闭，增加字体和MSE有什么关系啊。
PS：本区已经有MSE使用的字体了，不需要关闭任何MSE进程，直接添加新字体就OK了。

thelordisone

完全不用担心~~~

闲花落地听无声

关于这个问题，我看到过一篇文章，在这里和名位饭友分享一下。

MSE自我保护，就是大名鼎鼎的微软免费杀毒软件的技术，mse杀毒软件以界面简单友好，资源占用少，查杀率出色，防护灵敏著称，通过Windows正版验证的计算机即可使用。关于mse杀毒软件怎么样可以参考本站测试

　　有些比较有经验的用户经常会这样验证杀软的自我保护：打开任务管理器，找到杀软的进程，点结束进程。没错，这样确实无法结束一些杀软的进程，由用户便认为这杀软自我保护还可以。

　　可是MSE却颠覆了这样的理论，使用任务管理器可以轻松结束他的进程。这时候就有人说了，MSE根本没有自我保护！事实真的如此吗？

　　我就给大家讲解一下，在Windows7中的MSE自我保护措施。（XP我就不说了，MSE在XP中确实很不好，因为MSE就是专门为Windows7量身打造，与Windows7的系统功能相配合的）

　　PS：本次只说Windows7中的MSE！

　　1.Windows7系统权限

　　用过Windows7的人都知道，Windows7对于系统权限的设定特别严格，UAC更是加强了这种权限的严格性。好比XP就像是五千多年前的原始部落，里面基本没有地位高低之分，最多有一个族长（管理员权限），其他的都是人人平等，名义上有不同，可是实际上没什么不同。而Windows7这就像是封建王朝，里面等级分明，每个人的权利都不同，其中皇帝（Windows7管理员权限）是最高地位的，下属很多的官职，层层分明。

　　PS：以下解释都是在开启UAC的前提下进行，没开UAC的可以忽略。

　　①进程

　　皇帝（管理员）当然是最高权限的拥有者哦，很多人测试结束MSE进程时，用的要么是XP系统，要么就是直接用Windows7的管理员权限来测试，关闭一次还会再启动一次，但是如果在结束就启动不了了。这就出来一个问题：Windows7的权限设置是一般病毒难以逾越的一座大山，大部分病毒基本上不可能获取到Administrator或Administrators的权限，而想要结束MSE的进程，必须要达到这两种权限才可以，用Windows7的可以试一下，用user或guest（一般程序使用的是guest，病毒在Windows7中最高只能获取guest，当然前提是你要打开UAC）来结束MSE进程，这是就会显示权限不足，拒绝访问的提示。

　　②核心文件（如病毒库）

　　MSE病毒库路径为X（系统盘）:\ProgramData\Microsoft\MicrosoftAntimalware中的包含｛XXXX｝的文件夹就是病毒库文件。安装MSE的Windows7的用户可以去看一下，这几个文件旁边有一个锁的标志，没错，这就是限制的标志。这个文件夹，Administrator有访问权限，但没有修改权限，Administrators及其以下的用户组均无法访问此文件夹，更别说修改了，而我刚才说过，大多数的病毒在Windows7中是无法获取这样高的权限的。

　　③MSE核心驱动程序

　　在MSE1.0中，MSE仅仅会加载一个驱动用于监控，在MSE2.0及2.1里，会加载多个驱动（至少三个，因为管理员权限无法访问MSE的一个核心文件夹，那里面可能还会有驱动，详情MMPC没有任何透露）。其中一个用户监控，另一个具体情况未知（原因同上），还有一个就是我要重点解释的，在MSE特征库的文件夹中包含一个随即命名的驱动个MpKsl_xxxxxxxx.sys，这是MSE2.0加入的技术，每次升级特征库以后，此驱动的后八位是随机生成，因此没有病毒可以预知MSE的反病毒驱动完整名称，这也是预防病毒彻底干掉MSE反病毒驱动的一种办法。对于此技术，Microsoft没有提供相关技术解释，这可能是为防止病毒制造者破译此技术吧。

　　2.MSE自我保护最重要的一个“幽魂”大法：无驱动无进程式监控与查杀

　　我首先要解释一下，这里的无进程指的是msmpeng.exe和msseces.exe进程没有启动的情况。有人会问，没有进程怎么能保证监控运行呢？呵呵，这个我也不知道，这也是MMPC的一个保密技术，但是MMPC也曾经透露过一点点。

　　

MSE监控正常情况下会基于msmpeng.ex进行，MSE会在系统文件注册一些组件并且自动接替WD工作。这样监控非常灵敏，如果说有一天，一个超强悍的病毒进来了干掉了MSE驱动和进程，MSE怎么办呢？刚才我说了MSE会在系统文件注册一些组件。因此，这时你会发现，system这个进程的资源占用大增，这个进程是什么我想大家都知道吧，病毒想结束这个？恐怕基本没可能吧。MSE会自动检查自己的驱动是否完好，如果完好则启动正常的监控进程，如果无法找到则会自动将程序注入system寻求“庇护”这时，MSE将利用系统的关键文件和驱动继续工作，只要保证msmpsvc服务项正在运行，MSE依然可以启动。

但是MSE自我维护究竟是如何利用系统驱动和系统文件以及system这个进程工作的这个你恐怕需要问盖茨先生了

1026#

闲花落地听无声 发表于 2012-5-19 22:08
关于这个问题，我看到过一篇文章，在这里和名位饭友分享一下。

MSE自我保护，就是大名鼎鼎的微软免费杀毒 ...

学习了，尤其是那个比喻，perfect

ELOHIM

13楼很好。支持。最高权限是用户手动操作无疑。

yywfsky

闲花落地听无声 发表于 2012-5-19 22:08
关于这个问题，我看到过一篇文章，在这里和名位饭友分享一下。

MSE自我保护，就是大名鼎鼎的微软免费杀毒 ...

回答的非常全面，正解！

tt67s

有提示

Lee_99

as_liuy 发表于 2012-5-3 19:36
另外推测既然是微软自家的应该能分得清什么是用户用资源管理器 ...

                      这才是重点，