微点交流论坛

标题: 微点进程小发现 [打印本页]

作者: MJFW 时间: 2007-12-24 14:14 标题: 微点进程小发现

手动干掉MPMON.EXE进程，微点托盘退出，解压病毒样本微点不拦截，运行病毒样本时出现“WINDOWS无法访问指定设备、路径或文件。您可能没有合适的权限访问这个项目。最近的一个病毒就是干掉MPMON.EXE进程的，初步看来，微点托盘退出依然能够提供很好的保护。
手动干掉MPSVC.EXE进程，貌似对微点杀毒没有影响，病毒样本一解压就报了。
手动干掉MPSVC1.EXE进程，复活3-5次，然后不再出现，过一小段时间，微点托盘退出，进任务管理器看，这时微点的进程已全数退出，一个不剩。
手动干掉MPSVC2.EXE进程，复活四次，然后不再出现，过了很短的一段时间（比MPSVC1.EXE那里的短），微点托盘退出，微点进程全数退出，一个不剩。
MPSTART.EXE进程只在启动微点的时候出现，微点的进程悉数加载后自动退出。
总结：猜想MPSVC1.EXE和MPSVC2.EXE是微点的核心进程，肯定是需要特别保护。以上都是进任务管理器里关闭进程的，而微点为了用户方便是允许用户自行结束微点的进程的，但是现在就已经出现能够结束微点进程的病毒，就算用户上报了，改下特征，成了变种，依然可以结束微点的进程，可能解决的难度比较大吧？所以才先用特征码解决？这些只是猜想，还是希望微点可以从根本上解决这问题。:D

作者: hljking 时间: 2007-12-24 14:30
微点为什么不能象咔吧一样防止进程关掉呢？

作者: Legend 时间: 2007-12-24 15:11
谢谢楼主的反馈，微点主动防御软件自身有很好的保护，但出于用户使用习惯考虑，默认允许用户使用系统的任务管理器及微点可以识别的安全软件关闭微点的进程，但恶意程序是不允许结束微点进程的，欢迎您继续做深入使用。

作者: MJFW 时间: 2007-12-24 17:07
不过确实是有能够结束微点进程的病毒哦？

作者: 998csc 时间: 2007-12-24 17:24

Quote:

Originally posted by Legend at 2007-12-24 15:11:
谢谢楼主的反馈，微点主动防御软件自身有很好的保护，但出于用户使用习惯考虑，默认允许用户使用系统的任务管理器及微点可以识别的安全软件关闭微点的进程，但恶意程序是不允许结束微点进程的，欢迎您继续做深入使 ...

我觉得这样不好.应该是达到什么软件都不允许关闭MP才行.(甚至自己也不能关闭自己.哈哈..............)

从安全性考虑,MP应该做成个不死之躯.我试过用BR把KIS的进程干掉后.不用2秒钟,反而在系统中多了二个一模一样的KIS进程.这说明.卡巴确实这方面不错的说.

作者: MJFW 时间: 2007-12-24 17:27
呵，要做到什么软件都不允许关闭是不可能的，因为世界上并没有完美的解决方法。有矛就有盾，保护多好的杀软，终有天还是会给攻破，这就是真实的世界。

作者: 我本善良 时间: 2007-12-24 19:25
这些东西就要看用户的使用习惯了，反正我个人是不喜欢电脑上有自己无法手动关闭的非系统进程的。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn