查看: 5726|回复: 4
收起左侧

[分享] 小红伞防护服务进程保护设置及探讨

[复制链接]
周杰伦
发表于 2007-6-19 15:09:03 | 显示全部楼层 |阅读模式
转载红伞中国论坛晓月
  现在,我们来尝试解决小红伞无自保护的危险情况。
先前,因为解决小红伞在某些机器上安装后。计划升级服务进程经常异常退出,现象为升级时报scheduler notloaded的问题,我尝试用服务保护的办法,具体是在系统服务里面,找到选择红伞的Sched服务的“属性”选项,把里面的“恢复”页设置的所有失败策略全部改为重启服务、重启时间为0秒。

        结果,事情并未像我想像的那样,某时,发现连续cpu占用100%。通过进程管理器发现为sched高占用。立即打开服务设置,取消重启。sched也未完成重启。

      以上是一个序,大家且记住,后文我要分析这个。

      现在我们再看avguard服务,这个是小红伞的核心防护服务进程。
前天,看到了曲中求兄的《向taskkill说NO——让红伞监控自动重启》的帖子,使用的方法完全和我设置sched保护的一样,这样操作的确会保护小红伞监控进程,系统发现该进程终止,就会重启。

    但是,因为知道小红伞在更新引擎和程序组件的时候必须停止该服务,如果有服务重启保护,是否会导致更新升级失败呢?因此,本人对此提出了疑问。曲兄也因此做了相关试验,发现升级更新完全可正常完成。并且再次发帖《关于〔向taskkill说NO——红伞监控自动重启〕的说明》。
        本人看后,认为这个现象非常有趣--为什么一边进行了服务重启保护而另一边服务却可以正常停止呢?问题是否矛盾。
      如何来解开这个迷题呢?我突然想到了利用系统的事件查看器。跟踪进行试验。

      结果,几分钟后,答案出来了。
      先在系统服务里面设置了对avguard的重启保护,然后,随便利用什么进程管理器结束avguard进程。系统立即重建了该服务。此时查事件查看器,里面结果显示:


“AntiVir PersonalEdition Premium Guard 服务意外地终止,这种情况已经出现了 1 次。以下的修正操作将在 0 毫秒内运行: 重新启动服务。”


      此时, 用自己更新的一个包含引擎更新的离线包进行更新,更新正常的完成,并且引擎版本也正常显示,期间看到服务被正常终止后重启完成。此时再次查看系统事件查看器资料,有4条新增,内容分别为:


“AntiVir PersonalEdition Premium Guard 服务成功发送一个 停止 控件。”;
“AntiVir PersonalEdition Premium Guard 服务处于 停止 状态。”;
“AntiVir PersonalEdition Premium Guard 服务成功发送一个 开始 控件。”;
“AntiVir PersonalEdition Premium Guard 服务处于 正在运行 状态。”



      从以上不同的内容可以得到以下结论:
      系统服务异常终止恢复机制非常聪明,它是在发现服务被其他进程终止后才会启用重启服务机制。而当服务停止是宿主程序组自己的函数终止的时候,系统不会干预。
      这就解释了为什么当avguard遭遇非法结束时。系统可以正常重建该服务进程。而当小红伞升级的时候,updata这个进程可以超控这个服务。因为是小红伞自己的调用。系统不会做为非法终止而干预此操作。


      综上所述,使用服务失败重启的方法对小红伞核心监控进程进行保护是完全可行的。大家可以照此设置。恭喜大家。

      对于没有看到原文的朋友,以下我再详细说一下设置方法:
开始--运行--输入services.msc回车
在弹出的服务里面双击AntiVir PersonalEdition Premium Guard,打开其属性设置页
在属性里面,找到“恢复”卡
把下面的第一次失败、第二次失败、后续失败的策略全部改为“重新启动服务”
在下面的重新启动服务时间改为0。(就是立即重建服务的意思)
确定,ok了。这下,小红伞可不是那么脆弱了。哈哈


还没有完-----
    开头关于Sched服务的问题亦然存在的。分析发现,该服务是被另外的xx非法关闭的(因为我现在还没法找到原因,因此用xx代替,但可以肯定的是,这个xx不是病毒或者木马作怪的并且这个是个系统冲突。哈哈),但是,为什么会出现重启策略失败呢?因为系统重启这个服务时。哪个xx不允许,再次关闭,系统再次重启。大家拉锯战。系统cpu被100%占用。说的这个插曲,是因为此情形我估计也会发生在avguard身上。到时候也会出现该现象的。当然,现在还没有遇到,大家也不必太担心了,因为病毒一般不会那么执著的。而系统冲突是比较执著的!!!!


[ 本帖最后由 周杰伦 于 2007-6-19 15:10 编辑 ]
Giggs
发表于 2007-6-19 15:15:27 | 显示全部楼层
如果使用进程保护的办法.用冰刃或者任务管理器强制结束监控进程.那会自动重启的.
至于这个Sched服务无法启动.我倒是没有遇到过..
据有的朋友讲.如果红伞的安装路径是X:\XXX\XXX\XXX的话会出现无发启动Sched服务的情况.

[ 本帖最后由 wangshuyu2001 于 2007-6-19 15:18 编辑 ]
beat2
发表于 2007-6-19 15:26:09 | 显示全部楼层
如果是冻结服务而不是结束服务呢
solcroft
发表于 2007-6-19 15:26:31 | 显示全部楼层
都说过了,这种进程保护只是假象的心理安慰
能防止进程被终止,但如果是直接攻击服务照样马上game over
两行代码的批处理就能搞定了,NOD32也是,红伞也是
solcroft
发表于 2007-6-19 15:29:11 | 显示全部楼层
要硬一些的进程保护,不妨考虑HIPS
SSM和EQ都能用来蛮有效地保护杀软+防火墙的进程+服务
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 00:42 , Processed in 0.138826 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表