微点交流论坛

标题: [转载]微点进程小发现 [打印本页]

作者: lf_hb 时间: 2007-12-26 12:54 标题: [转载]微点进程小发现

手动干掉MPMON.EXE进程，微点托盘退出，解压病毒样本微点不拦截，运行病毒样本时出现“WINDOWS无法访问指定设备、路径或文件。您可能没有合适的权限访问这个项目。最近的一个病毒就是干掉MPMON.EXE进程的，初步看来，微点托盘退出依然能够提供很好的保护。
手动干掉MPSVC.EXE进程，貌似对微点杀毒没有影响，病毒样本一解压就报了。
手动干掉MPSVC1.EXE进程，复活3-5次，然后不再出现，过一小段时间，微点托盘退出，进任务管理器看，这时微点的进程已全数退出，一个不剩。
手动干掉MPSVC2.EXE进程，复活四次，然后不再出现，过了很短的一段时间（比MPSVC1.EXE那里的短），微点托盘退出，微点进程全数退出，一个不剩。
MPSTART.EXE进程只在启动微点的时候出现，微点的进程悉数加载后自动退出。
总结：猜想MPSVC1.EXE和MPSVC2.EXE是微点的核心进程，肯定是需要特别保护。以上都是进任务管理器里关闭进程的，而微点为了用户方便是允许用户自行结束微点的进程的，但是现在就已经出现能够结束微点进程的病毒，就算用户上报了，改下特征，成了变种，依然可以结束微点的进程，可能解决的难度比较大吧？所以才先用特征码解决？这些只是猜想，还是希望微点可以从根本上解决这问题。

作者: freedom11 时间: 2007-12-26 14:01
LZ看看，前几天就有人发了
http://bbs.micropoint.com.cn/showthread.asp?tid=24575

微点是根据行为杀毒的，如果微点解决了此问题的话，肯定是不怕此类病毒的变种

这应该就是主动防御的好处吧

作者: 柑橘 时间: 2007-12-26 14:23
支持!!!!!!!!!!!

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn