» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 从服务中看微点的自我保护   作者: 标题: 从服务中看微点的自我保护 ac54321 新手上路 积分 3 发帖 3 注册 2008-5-9 #1  从服务中看微点的自我保护 今天从深度看到一个关于杀软的帖子，比较了几款软件的自我保护，我好奇心起就试了下我电脑安装的微点，结果在任务管理器就直接把微点终止了，然后还可以肆无忌惮的修改删除微点的程序文件。也许微点开始的侦测能力很强，不会被木马占到先机，但是如果一旦得逞，后果不堪设想啊！我只是一个电脑爱好者和微点的支持者，不知道自己的理解对不对，希望大侠给出些解释！如果我的理解正确的话也希望微点进一步改进。 以下为原帖内容：   Quote: 从服务中看杀软的自我保护 下面以nod，小红伞 卡巴为例 测试方法：杀软的的某些进程是依赖服务启动的，在很多情况下，服务（服务依赖注册表）是病毒破坏杀软一种方法，在这里测试杀软对服务的依赖程度，和杀软的进程被结束掉之后，还能不能起到自我保护的作用。 第一，    nod32 3.61（官方原英文版）的自我保护 nod默认有两个服务，一个是手动一个是自动，其中自动启动的那个服务是nod的主服务。 图1，图2 Nod服务的默认恢复是重新启动服务看图3 这时任务管理器中ekrn.exe进程结束后又会自动启动，就不截图了。 下面看我将nod第二次启动失败的恢复，改为不操作。 这时再在任务管理器中结束掉ekrn.exe， 会看见又从新启动了，第二次再结束掉ekrn.exe，还会从新启动，第三次结束时，ekrn.exe却不会了~ 只有一个egui.exe, 这时用nod的右键菜单扫描一个文件夹，弹出这样的对话框，看图6 这时nod右下角的图标仍然存在，到nod安装文件夹下，可以将nod文件删去一大半，还能新建文件，等等操作， 对于egui.exe进程，一次结束后就不会再启动了。我不测了。 第二，    看小红伞（官网原版）的自我保护。 小红伞默认有四个服务， 第一个是主服务，自动启动；第二个是邮件保护的服务（我没有装邮件保护，所以就自动禁用了）；第三个是为邮件保护提供帮助的服务，自然也自动禁用了，第四个，计划服务，也就是自动更新，等等。看图8图9 看主服务的恢复，默认就是不操作。也就是说，主服务的启动失败后就操作了 下面从任务管理器中，结束红伞的主进程看看 不能结束 下面用ssm结束红伞的主服务 一下就结束掉了，而且右下角的图标变了，红伞收起了，并没有退出。 这时看看红伞的扫描，仍然可以扫描 再到红伞的安装文件下，结果删除了一小部分文件，其中包括部分驱动等等，而且可以新建文件等等 第三，    看看卡巴（官网7.125简体中文原版）。 看服务中卡巴就只有一个服务，主进程avp 卡巴默认的启动失败恢复 任务管理器中卡巴有两个avp进程，用户名为system的那个avp进程是依赖服务的进程。 从任务管理器中结束一下看看，不能结束掉 下面用ssm结束这个avp看看，根本结束不掉，（从ssm的进程id和任务管理器的pid中，可以看出那个，avp进程依赖服务），但是每次都会弹出病毒库过期，要求更新（在测试之前，我更新过卡巴病毒库只是并没有完全更新完组件，）。 用ssm连续多次的结束这个进程，弹出过主动防御失败，但是继续结束又好了， 下面用冰刃来结束这个AVP进程 可以从进程pid中看出那个avp是依赖服务的。 冰刃第一次结束掉avp之后，又重新启动了，但是第二次结束掉后就没有重新启动。此时右下角卡巴图标也没了 此时在看卡巴的安装文件，无论是删除还是新建文件都不行 再用冰刃结束掉卡巴的一个进程之后，另外一个avp进程会取代原来依赖服务的那个avp进程，继续启动服务，可以看图，任务管理器中只有一个avp，用户名变成system了，此时服务也启动了，看ssm，冰刃，任务管理器，服务截图， 继续用冰刃把这个avp也结束掉 第一次结束掉，又重新启动了，第二次结束掉，就没了， 此时再看，卡巴的安装文件夹，仍然无法删除，创建文件。 最后关了冰刃，在ssm中发现卡巴又自动启动了， 我又打开冰刃来结束掉这个avp，已经结束不掉了，结束后就又立刻重新启动，而且服务也启动了（不截图了）。此时卡巴，服务中的恢复，仍然没变 总结：结果很明白~，nod的自我保护就是糊弄消费者，红伞说的过去，卡巴自己心里有数吧。 原帖地址：http://soft.deepin.org/read.php?tid=660731 ※ ※ ※ 本文纯属【ac54321】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-5-9 18:33 simonfour 高级用户 打酱油的！！ 积分 926 发帖 926 注册 2008-3-8 #2   现在任务管理器结束不了微点  了！！ ※ ※ ※ 本文纯属【simonfour】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-5-9 18:36 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #3   目前微点预升级最新版本已经不允许任务管理器结束微点的进程，如果楼主发现能够结束微点进程的软件，请您发到support@micropoint.com.cn，我们具体分析确认。感谢楼主的转贴。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2008-5-9 18:36 ac54321 新手上路 积分 3 发帖 3 注册 2008-5-9 #4   哦，原来如此，我装的是普通版本，看来还没有升级 ※ ※ ※ 本文纯属【ac54321】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-5-9 18:39 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号