微软杀毒的自我保护？很脆弱！

上网闲逛，在论坛里看到某网友讨论微软的杀毒软件MSE，这位网友可细心了，对MSE安装文件里的sys驱动程序都留意到了，并发布了他观察的结果

帖子内容如下：

[attach]723513[/attach]



大意就是说：mse杀软每次更新之后，这个驱动的名字也会改变下，其中有8 位的纯数字会不规律的变化，让病毒木马根本抓不准微软杀毒软件的这个驱动文件完整名字，因此这是一个很好的自我保护方式，让病毒无从下手



要知道通过不规律变化进程或文件名字是一个由来已久而非常有效的自我保护方法，病毒木马无法准确获取名字那就不能对这个进程或文件作破坏了，之前我知道的采用这种方法的安全工具有曾经大名鼎鼎的冰刃和wsyscheck



如下图，每次打开后标题栏的名字都是随机变化的，可以防止病毒木马通过查看程序标题的名字来识别并破坏安全软件





[attach]723514[/attach]


所以按照上面网友的意见，微软的mse将那个驱动文件名字变个不停也是自我保护的一种方式



不过仔细想想，这是一个很好的自我保护方式吗？

我们细心观察下，微软的这个驱动文件和冰刃的共同点是会随机变换名字，不同点是mse的驱动文件每次只变换“MpKsl_” 这后面的一部分字而已，冰刃则是将名字全部替换掉，和前一次完全不同



这么做的原因我想很简单，因为mse杀毒软件工作需要用到这个驱动文件，而一旦将驱动名字完全改变那么mse肯定无法查到该文件了，这时软件也会运行失败，所以前面的MpKsl_不能变，起留记号的作用。

这样杀软每次运行，只要搜索下 MpKsl_ 开头，.sys结尾的文件加载进来就行啦，而一个从未安装过mse杀毒软件的系统里是不会有MpKsl_文件的，所以不管后面8 位如何变动都不影响



冰刃和mse杀毒软件不同了，冰刃无需安装，绿色小巧，所以自我保护方式没有其他需要安装的大型安全软件那么丰富多样。而且主程序的标题改动对程序运行工作没有任何影响，所以可以放心大胆地去变换着。




好啦简单介绍完毕大家应该知道了，

既然mse可以正常找到MpKsl_xxxxxxxx.sys这个文件，那么病毒木马也一样能做到，在编程语言里很容易实现通过文件名的一部分来定位具体文件位置和全名的功能

所以这个留记号变换部分名字的方式根本不是一个很好的自我保护措施，我想微软这样的厂商不会想不到吧




虽然没用过这款杀毒软件，但我对mse其实还是很有好感的，毕竟是微软自家出的杀毒软件，要知道病毒木马和杀毒软件都是要深入操作系统低层的，作者都必须拥有深厚的编程知识和对操作系统原理的足够了解

在微软没有开放windows系统代码的时候，谁能比微软更了解windows呢？所以mse如果有自我保护能力，那绝对不是简单的体现在这个驱动上面吧
本文转于新手无毒链接：http://www.killdu.cn/zhishi/5615.html

真好！刚才关门时让门缝夹了裤裆中的小鸟了，痛啊……