查看: 611|回复: 1

[交流探讨] 【MSE与其它安软的兼容方案】MSE与部分安全软件的兼容性

该用户从未签到

248 主题	54 好友	2万积分

第一章

积分: 23774

发表于 2012-9-22 15:45:31 | 显示全部楼层 |阅读模式

╱人◕‿‿◕人╲定下契约

您需要登录才可以下载或查看，没有账号？╱人◕‿‿◕人╲订下契约（注册新用户）

x

说明一下，卸载Microsoft Malware Protection Network Driver驱动为何与部分杀软不冲突的原因（当然不是所有安软都有效）。Microsoft Malware Protection Network Driver驱动是被mpfilter驱动调用，来监控网络协议的，把它卸载，就意味着不会跟其它杀软的网络组件发生冲突，所以卸载Microsoft Malware Protection Network Driver驱动可以提高MSE兼容性，但绝非解决一切冲突

经过测试，此方法可以解决与Avast、360安全卫士（非Z龙测试）、卡巴斯基（非Z龙测试）、ESET（V5版本的HIPS需要自动模式）。
金山毒霸猎豹（MSE启动会有一些慢，如果猎豹为标准监控，猎豹的主进程会占用大量CPU，会微卡，不过这不是传统，卸载MSE以后还是如此，所以不建议开猎豹的标准监控）等安全软件的小卡问题！

http://bbs.kafan.cn/thread-1041121-1-1.html 的会员提出，卸载Microsoft Malware Protection Network Driver驱动以后，本驱动在MSE更新特征库以后，会重新被加载的问题。经过Z龙我亲自的测试，引发问题的原因是Windows 7 系统的卸载驱动方式的原因。

具体原因如下：
导致Microsoft Malware Protection Network Driver驱动重现的原因是，使用计算机管理卸载驱动，只能是把驱动的自动加载功能卸载，让驱动不随系统启动，实际上驱动文件是不会被删除的，驱动仍然保存在C:\Windows\System32\drivers\文件夹下。

我们卸载的MpNWMon.sys也是如此，而MSE每次更新特征库的时候，会重新加载MSE所有驱动，所以才导致Microsoft Malware Protection Network Driver（MpNWMon.sys）驱动的重新出现。

结束msmpeng进程以后，把C:\Windows\System32\drivers\MpNWMon.sys删除就不会再出现了，除非重新安装MSE。

删除MpNWMon.sys驱动以后，msmpeng进程的内存占用会明显降低。

我以前之所以没有亲自测试是因为这个方法是微软英文社区MVP提供的方法，我现在发现什么MVP都不能轻易相信，以后什么方法都自己亲自测试吧。

========================================================

虽然MSE的实时监控没有使用HOOK SSDT技术，可以让MSE与其它安软兼容，但是MSE 2.0正式版以后，已经开始跟部分安全软件发生冲突，这让一些觉得单奔MSE不安全的朋友放弃了MSE。

现在我教大家一个既不影响MSE实时监控，又不与其它安全软件发生冲突的办法！（注：当然也会有个别的一两个有冲突的）

开始菜单→右键计算机→管理，打开计算机管理器，选择设备管理器，菜单栏上的查看→选中显示隐藏的设备，在非即插即用的驱动程序里选择Microsoft Malware Protection Network Driver驱动，右键把此驱动卸载，之后结束msmpeng进程，在msmpeng进程重新启动前，把C:\Windows\System32\drivers\MpNWMon.sys删除，重新启动计算机。

登录/注册后可看大图

这样在理论上MSE将不会在与任何安全软件冲突，但是不保证百分之百与所有杀毒软件不冲突，最好在MSE排除的进程里添加其它安全软件的进程，这样会如系统更加稳定一些。MSE将成为你电脑上的一个又是主杀也是辅杀。

最好把系统的explorer进程添加到MSE的进程排除，这样MSE将不会有卡机的现象。（当然把其它安全软件的进程也添加到MSE的进程排除，会是一个更加兼容的环境）

（来自卡饭MSE区驭龙帖子，原帖点我进入）