微软的病毒库

驭龙

ANY.LNK 发表于 2024-7-5 18:33
这个明白，System32\driver目录下生成，引导过程中删除标记的文件。

不过MpKslDrv.sys现在不在是需要 ...

MpKslDrv问题，我前几个月用MD的时候，没看到常驻，难道这几个月就更新了？我现在实机是ESET无法开启MD实时监控，所以不会加载KSL驱动，但按照当年公开的官方资料显示，KSL就是为ARK准备的，现在可能是更新新的技术了，有时间我也重启MD看看

ANY.LNK

驭龙 发表于 2024-7-5 18:46
MpKslDrv问题，我前几个月用MD的时候，没看到常驻，难道这几个月就更新了？我现在实机是ESET无法开启MD实 ...

不知道，但我这里常驻很久了，可以一直看到文件和内核加载。而且病毒库每次更新这个驱动也会更新并加载


（这个时间进行了一次病毒库更新，驱动自动加载了）

驭龙

ANY.LNK 发表于 2024-7-5 18:55
不知道，但我这里常驻很久了，可以一直看到文件和内核加载。而且病毒库每次更新这个驱动也会更新并加载
...

我刚刚查了一下系统日志，事件ID 7045中没有发现mpksl这位大兄弟

ANY.LNK

驭龙 发表于 2024-7-5 19:16
我刚刚查了一下系统日志，事件ID 7045中没有发现mpksl这位大兄弟

这就奇了怪了，还得看每个人的情况的吗，我这边常加载已经很久了

已经更新完了是吗？

驭龙

ANY.LNK 发表于 2024-7-5 19:28
这就奇了怪了，还得看每个人的情况的吗，我这边常加载已经很久了

已经更新完了是吗？

有没有可能是你电脑上某个驱动触发MD生成这个KSL大兄弟呢？当然我现在没启动MD，具体情况不清楚

ANY.LNK

驭龙 发表于 2024-7-5 19:32
有没有可能是你电脑上某个驱动触发MD生成这个KSL大兄弟呢？当然我现在没启动MD，具体情况不清楚

不知道，这个KSL似乎当MD启动时才会加载，这似乎是原因之一

难道是VMware？我这边除了微软自己的驱动以及Intel的基本就没别的了……外接的西数硬盘驱动算吗？
以及……能看下有关这个KSL驱动的文档吗？

驭龙

ANY.LNK 发表于 2024-7-5 19:42
不知道，这个KSL似乎当MD启动时才会加载，这似乎是原因之一

难道是VMware？我这边除了微软自己的驱动 ...

关于KSL的官方内容，我知道的都在3楼的帖子中发了，其他的我也不知道，这几年MS已经很少公开技术细节了，最新更新的KSL驱动，我也没分析，所以不清楚最新驱动的具体情况

ANY.LNK

驭龙 发表于 2024-7-6 00:29
关于KSL的官方内容，我知道的都在3楼的帖子中发了，其他的我也不知道，这几年MS已经很少公开技术细节了， ...

查看了一下日志，MD在今天（7/6），6/28，6/18均崩溃过，在那之前没有崩溃的记录，或许于此有关

不过我记得在崩溃前就已经常驻很久了

郢都离人

ANY.LNK 发表于 2024-7-5 17:37
就以前的经验而谈，平台版本可能不会更新了，但引擎和库还会更新一段时间

公司起码有七八台win10且未安装安全软件的，总感觉明年停止支持后要出问题。
其实只要别影响到我就好了，毕竟都在一个局域网

驭龙

ANY.LNK 发表于 2024-7-6 19:18
查看了一下日志，MD在今天（7/6），6/28，6/18均崩溃过，在那之前没有崩溃的记录，或许于此有关

不过 ...

我建议你还是排查一下你系统加载的驱动吧，正常情况下，MD不会生成KSL驱动，只有发现可疑驱动加载才会生成KSL和KSLD驱动，全新系统是不存在生成常驻KSLD驱动的。

为了给你说明情况，我折腾一晚上，先卸载ESET，重启MD，设置完成，更新MD到最新版本，又特意下载了你同款的PH进程管理器。

通过事件管理器的查询ID 7045，我这边正常情况下，并不会生成KSL和KSLD驱动，因为没有可疑驱动加载。


用你那款PH进程管理器，依旧没有查到MPKSL相关驱动。


KSLD和KSL驱动在三月份的时候更新过，但只是优化，并没有改变加载机制。

所以你的系统一直出现KSLD驱动是不正常的情况。