此文章的最新更新:
要在更新本文时收到电子邮件通知,请单击 订阅 位于页面右侧。您必须登录后才能订购。
日期 |
更新 |
2021年3月26日 |
McScanCheck 已在引用 McScanCheck 的行中被替换为 N/A。 |
2021 年 2 月 12 日 |
已删除 MA 5.5.x 停产,并添加了当前支持的版本。 |
本文简要介绍了与 VSE 和 MA 相关的进程。用于加载主要组件的顺序也如下所述。
MA 5.x 进程
Windows 进程 |
非 Windows 进程 |
描述 |
masvc.exe
|
masvc |
执行如下功能:
- 属性收集
- 策略实施
- 任务计划
- 代理与服务器之间的通信
- 触发器更新会话
|
macmnsvc.exe
|
macmnsvc |
托管多个 McAfee Agent 服务,例如对等服务器、唤醒和 RelayServer。 |
macompatsvc.exe
|
macompatsvc |
此可执行文件是 McAfee Agent 服务的兼容性服务。McAfee Agent 服务会启动此服务并与托管产品插件通信。 |
cmdagent.exe |
cmdagent |
调用 McAfee Agent 的命令。行程序。要了解有关此命令。提供的开关的详细信息,请使用:
cmdagent.exe -h |
FrmInst.exe |
N/A |
McAfee Agent 安装程序。要了解有关此命令。提供的开关的详细信息,请使用:
FrmInst.exe /h |
maconfig.exe |
maconfig |
用于配置不同选项的 McAfee Agent 的命令。行程序。要了解有关此命令。提供的开关的详细信息,请使用:
maconfig –help |
McScanCheck.exe |
N/A |
用于 McScript_InUse.exe 执行 DAT 或引擎更新的命令。行程序。 |
McScript_InUse.exe |
Mue_InUse |
运行用于更新 DAT 文件、引擎、服务包或签入存储库的其他任意组件的脚本。开始更新任务时即加载此进程。 |
UpdaterUI.exe |
N/A |
提供用于执行更新的用户界面。它还控制通知区域中的 McAfee Agent 图标,并使用 Windows 注册表中的 Run 注册表项进行加载。 |
marepomirror.exe |
N/A |
根据策略设置执行存储库镜像。 |
FramePkg.exe |
N/A |
McAfee Agent 安装程序。 |
mctray.exe
|
N/A |
McAfee icon 管理工具。它在相同的用户会话下运行。该 UdaterUI.exe 进程会启动该图标。 |
mcupdater.exe |
|
在 McAfee Agent 安装过程中启动 McAfee® Data Exchange Layer (DXL)客户端安装程序。 |
VSE 8.8 进程
进程名称 |
描述 |
Mcshield.exe |
McShield 按访问扫描程序服务。 |
Scan32.exe /
Scan64.exe |
在启动按需扫描时加载的按需扫描程序进程。 |
Shstat.exe |
从 Windows 注册表中的 Run 注册表项加载。对于当前的 MA 版本,它集成了 McTray.exe (通过加载一个 DLL),然后退出。它负责加载以下各项:
- McAfee VirusScan (vShield) + Windows 通知区域中的图标。
- VSE 关于屏幕
- 按访问扫描程序统计信息
- 消息窗口。
|
VsTskMgr.exe |
有助于产品中的清洁责任。 |
mfevtps.exe |
为所有 McAfee 进程提供信任验证。 |
mfeann.exe |
加载者 Vstskmgr.exe 。它负责事件的创建和日志记录。 |
VSE 8.8 驱动程序
进程名称 |
描述 |
mfeapfk.sys |
访问保护内容驱动程序,提供对文件/文件夹和注册表阻止的访问保护。 |
mfeavfk.sys |
用于防病毒扫描和维护文件缓存的文件系统过滤器内容驱动程序。 |
mfebopk.sys |
缓冲区溢出防护内容驱动程序。(适用于 x64 的 N/A) |
mfeclnk.sys |
在删除 rootkit 期间使用。 |
mfeelamk.sys |
Early Launch Anti-Malware(ELAM)驱动程序。此组件与 Microsoft ELAM framework 配合使用,用于验证引导启动驱动程序是否不包含恶意软件。适用于 Windows 8 及更高版本(Windows 内核版本 6.2 及更高版本)。 |
mfehidk.sys |
主机入侵检测链接驱动程序。有利于相关内容驱动程序的 i/o 事件。 |
mferkdet.sys |
在按需扫描期间使用,用于扫描 rootkit。 |
Mfetdik2.sys |
TDI 过滤器驱动程序。访问保护在 Windows 操作系统上使用此驱动程序进行端口阻止和 IP 来源标识。 |
Mfewfpk.sys /
Mfefirek.sys |
Windows 筛选平台驱动程序。在 Windows Vista Service Pack 1 及更高版本上,访问保护使用此驱动程序进行端口阻止和 IP 来源标识。 |
以下过程描述了主要组件的加载顺序:
- 计算机启动(驱动程序和服务加载):
- 如果操作系统为 Windows 8 (或更高版本), mfeelamk.sys 则使用 MICROSOFT ELAM framework 加载驱动程序。
- mfehidk.sys加载驱动程序。
- mfetdik.sys/mfewfpk.sys加载驱动程序。
- mfeavfk.sys加载驱动程序。
- 服务控制管理器会自动启动该 mfevtps.exe 服务。
- McShield、框架服务和 VsTskMgr 服务会自动加载。如上所述, McShield 是访问扫描程序的用户模式组件。框架服务提供更新、计划和镜像功能, VSTskmgr 是用于协调事件的服务。例如,它会将计划信息发送给 CMA。它会在发生致命超时的情况下重新启动 McShield ,同时还可防止修改 VSE 文件。
- 该 McShield 服务会加载 mfeapfk.sys 驱动程序。
- 该 McShield 服务会加载 mfebopk.sys 驱动程序。
- 用于与托管产品插件进行通信的 FrameworkService 加载 NaPrdMgr 项。
- 用户登录时(加载 Run 注册表项中的项目):
- UpdaterUI/UdaterUI和 ShStat (VSE 8.7 i)加载。
- UpdaterUI/UdaterUI 提供了一个用户界面,用于查看 CMA 正在执行的操作。
- vShield"显示统计信息的图标" 显示 OAS 检测发生时的 ShStat OAS 消息窗口。
- mfeann.exe进程开始。
- 加载其他组件(根据需要):
- McScript/McScript_In_Use针对 MA 运行脚本化的操作。
- Scan32 按需扫描程序,可在运行计划按需扫描任务时使用。
- McConsole显示控制台,如果用户通过控制台进行调用,也会执行按需扫描。
- "按访问扫描程序" ShCfg32 属性配置。
- ScnCfg32按需扫描属性配置。如果用户通过此屏幕进行调用,它还会执行按需扫描。