微软杀毒的自我保护？很脆弱！

真诚走天涯

上网闲逛，在论坛里看到某网友讨论微软的杀毒软件MSE，这位网友可细心了，对MSE安装文件里的sys驱动程序都留意到了，并发布了他观察的结果

帖子内容如下：





大意就是说：mse杀软每次更新之后，这个驱动的名字也会改变下，其中有8 位的纯数字会不规律的变化，让病毒木马根本抓不准微软杀毒软件的这个驱动文件完整名字，因此这是一个很好的自我保护方式，让病毒无从下手



要知道通过不规律变化进程或文件名字是一个由来已久而非常有效的自我保护方法，病毒木马无法准确获取名字那就不能对这个进程或文件作破坏了，之前我知道的采用这种方法的安全工具有曾经大名鼎鼎的冰刃和wsyscheck



如下图，每次打开后标题栏的名字都是随机变化的，可以防止病毒木马通过查看程序标题的名字来识别并破坏安全软件








所以按照上面网友的意见，微软的mse将那个驱动文件名字变个不停也是自我保护的一种方式



不过仔细想想，这是一个很好的自我保护方式吗？

我们细心观察下，微软的这个驱动文件和冰刃的共同点是会随机变换名字，不同点是mse的驱动文件每次只变换“MpKsl_” 这后面的一部分字而已，冰刃则是将名字全部替换掉，和前一次完全不同



这么做的原因我想很简单，因为mse杀毒软件工作需要用到这个驱动文件，而一旦将驱动名字完全改变那么mse肯定无法查到该文件了，这时软件也会运行失败，所以前面的MpKsl_不能变，起留记号的作用。

这样杀软每次运行，只要搜索下 MpKsl_ 开头，.sys结尾的文件加载进来就行啦，而一个从未安装过mse杀毒软件的系统里是不会有MpKsl_文件的，所以不管后面8 位如何变动都不影响



冰刃和mse杀毒软件不同了，冰刃无需安装，绿色小巧，所以自我保护方式没有其他需要安装的大型安全软件那么丰富多样。而且主程序的标题改动对程序运行工作没有任何影响，所以可以放心大胆地去变换着。




好啦简单介绍完毕大家应该知道了，

既然mse可以正常找到MpKsl_xxxxxxxx.sys这个文件，那么病毒木马也一样能做到，在编程语言里很容易实现通过文件名的一部分来定位具体文件位置和全名的功能

所以这个留记号变换部分名字的方式根本不是一个很好的自我保护措施，我想微软这样的厂商不会想不到吧




虽然没用过这款杀毒软件，但我对mse其实还是很有好感的，毕竟是微软自家出的杀毒软件，要知道病毒木马和杀毒软件都是要深入操作系统低层的，作者都必须拥有深厚的编程知识和对操作系统原理的足够了解

在微软没有开放windows系统代码的时候，谁能比微软更了解windows呢？所以mse如果有自我保护能力，那绝对不是简单的体现在这个驱动上面吧
本文转于新手无毒链接：http:/[在论坛广告被屏蔽]/zhishi/5615.html

kerlee

感觉MSE的防护还得靠UAC作为屏障，XP下意思就不大了

aqingge

微点主动防御 也是靠变换驱动文件名称完成自我保护的  

chen月

MSE可以在服务中设置无限启动的啊

z13667152750

微点不只是变驱动的名称,还变MD5

MSE的这个变MD5吗?

wanglei7865

肯定有自己的一套

飞霜流华

脆弱，不见得，只会改改驱动名，可不是微软拿的出手的东西。MSE可以让任务管理器结束进程，没错，很多人骂，但是10秒后自动开启，在这10秒内，有病毒发作照样拦截，我想这就不是一句脆弱可以描述的吧？MSE的确有很多不足，自保也不会像AVG那样有18个进程来抵御病毒，但是，最基本的能力MSE还是具备的，自保，也不在话下！

神游懒猪

通篇看完了，我只能说，这是个标题党......

文章的最后，作者以没有用过MSE来搪塞，显然是一种不负责任的说法.....

个人看法，xuetr启动时会经过15次（或者16，反正这个数左右）更名以防止被劫持，但是上次帅帅依旧被映像劫持。

在编程语言里很容易实现通过文件名的一部分来定位具体文件位置和全名的功能

全文最重要的一句话，就这么一笔带过了.....


认知有限，和文章的作者一样停留在理论层面，贻笑大方了....

所以，关键问题不在于更名的过程，而在于更名的时候能否防劫持。显然，文章的重点应该在这里，但是很可惜，

驭龙

其实保留mpksl并不是为了让MSE自己寻找，而是让用户知道这个驱动是做什么的。

MSE在更新的同时已经把驱动的最新名称记录内存，一旦实时监控关闭，内存内的驱动名称将不复存在，实时监控重新启动以后，MSE将重新创建新驱动名称

而且MSE不仅仅有这一种自保，像UAC，系统规则，等等，都可以防止病毒破坏MSE

诸葛头揪

arswp标题栏也是随机。每次打开都不一样。。