[
назад к Тестирование антивируса MSE]
У себя нашёл только такие процессы MsMpEng.exe, NisSrv.exe, msseces.exe.
Модуль: MsMpEng.exe
Владелец: NT AUTHORITY\система (S-1-5-18)
---
Модуль: msseces.exe
Владелец: COMPNAME\UserName
---
Модуль: NisSrv.exe
Владелец: NT AUTHORITY\LOCAL SERVICE (S-1-5-19)
---
Таким образом можно убить только процесс msseces.exe, это Microsoft Security Client User Interface, чисто GUI.
А вот и вывод ниже с реальной машинки:
t:\Tmp>Kill_MSE.cmd
t:\Tmp>taskkill /f /im MsMpEng.exe
Ошибка: Не удается завершить процесс "MsMpEng.exe" с идентификатором 1888.
Причина: Отказано в доступе.
t:\Tmp>taskkill /f /im NisSrv.exe
Ошибка: Не удается завершить процесс "NisSrv.exe" с идентификатором 3856.
Причина: Отказано в доступе.
t:\Tmp>taskkill /f /im msseces.exe
Ошибка: Не удается завершить процесс "msseces.exe" с идентификатором 7732.
Причина: Отказано в доступе.
t:\Tmp>rename "C:\Program Files\Microsoft Security Client\msseces.exe" msseces.exe_test
Отказано в доступе.
-------------
Добавлено в 09.36: Этот вывод под пользователем с администраторскими правами, но с включенным UAC и политикой безопасности по умолчанию (без всяких дополнительных разрешений юзерам).
Так что ещё раз повторюсь, не нужно сидеть под админом, не нужно тестить антивирусы с привелигорованными пользователями (как уже писал, залезь в нулевое кольцо и там мочи уже, проверяя на прочность..)....
Итого - переосмысли подход, проверь всё заново, смени название статьи на примерно такое: "Ошибки в подходе при тестировании софта" и в следующий раз уже пробуй что-нить типа отладчиков (запись с правами пользователя обычного в адреса занимаемые антивирем, подделкой межоконных сообщений, просто маскировка кода и вызова стандартных API)... =)
