解析mfevtps.exe和EngineServer.exe的功能

hansyu

迈克菲从VirusScan Enterprise8.7i开始就在产品中加入了mfevtps.exe和EngineServer.exe这两个进程，也许很多人都不太了解它们的作用，以下就根据在迈克菲网站查到的资料简要的介绍下。

mfevtps.exe
文件的介绍为McAfee Process Validation Service，在系统中显示的服务名为McAfee Validation Trust Protection Service。直接翻译名为迈克菲验证可信保护服务。
它的作用是确保迈克菲进程的安全，免遭攻击者利用漏洞来获得系统上的管理员特权。验证可信保护服务（VTP）会在代码执行时检查通过系统核心接口授予迈克菲驱动的权限，并确保只有经过验证的迈克菲进程才能利用这些驱动。只有经过迈克菲或者微软签名认证的代码才允许访问并使用迈克菲的驱动。

EngineServer.exe
系统中显示的服务名为引擎服务。
在8.5i或更早的版本中，扫描组件是运行在它们所保护的进程中，这也被称为运行于进程内（in-process）。举个例子，提供给Outlook的邮件扫描功能，会使用Outlook的进程和内存空间来加载引擎和DAT文件，它的内存使用随着引擎和DAT文件的体积大小增大而增加。
这种设计有一个缺陷，如果引擎和DAT文件本身有一个严重问题，它会影响整个进程，可能导致进程运行失败或停止响应。这可能需要重新启动应用程序。
在VirusScan Enterprise 8.7i中设计了EngineServer.exe，它用来加载引擎和DAT文件为扫描功能（邮件扫描、脚本扫描和按需扫描中Rootkit扫描的一部分）提供扫描服务。这也可以称为运行于进程外（out of process）。这样的设计解决了可能因为引擎和DAT文件的问题而导致的程序运行错误。
EngineServer.exe为每个正在进行的扫描加载引擎实例，如前面所述。为了改善内存的使用和管理，只有扫描器为当前活动的扫描请求引擎实例时，EngineServer.exe才会在内存中保留引擎的DAT文件的实例。如果无扫描请求的空闲时间达到30秒或更长时，内存中的引擎和DAT文件实例会被释放，而扫描器一个新的扫描请求会使引擎服务重新加载引擎和DAT文件实例。

猫大叔

[:26:]支持下。

猪头大队

支持原创

Markel.Scofield

学习一下下，支持咖啡区的原创，支持技术帖

jone_jys

支持楼主，顶贴。。。

墨池

学习了，支持！

wangyuli100

学习了