探秘MSE实时监控机制V2.0之访问保护大揭秘

驭龙

Z龙将本帖献给各位支持Z龙的会员，感谢各位对Z龙的支持，Z龙的技术很菜，以下仅是个人经验，仅供参考，如有错误，请大家多多包涵！

=======================第一阶段：实时监控功能组件介绍========================

实时保护选项 用途 扫描所有下载 该选项用于监视下载的文件和程序，包括通过 Windows Internet Explorer 和 Microsoft Outlook® Express 自动下载的文件，如 ActiveX® 控件和软件安装程序。 这些文件可由浏览器本身下载、安装或运行。 这些文件中可能包含恶意软件（包括病毒、间谍软件及其他可能不需要的软件）并在您不知情的情况下进行安装。 使用实时保护选项，Security Essentials 会始终监视您的计算机，并检查您可能下载的任何恶意文件或程序。 该监视功能意味着，Security Essentials 不需要减缓您的浏览或电子邮件体验才能要求检查您可能希望下载的任何文件或程序。 监视计算机上的文件和程序活动 该选项用于监视文件和程序何时开始在您的计算机上运行，然后通知您它们所执行的任何操作以及对它们采取的操作。 这很重要，因为恶意软件可以使用您安装的程序中的漏洞，在您不知情的情况下运行恶意软件或不需要的软件。 例如，在您启动某个经常使用的程序时，间谍软件可以在后台运行它自身。Security Essentials 会监视您的程序并在检测到可疑活动时向您发出警报。 启用行为监视 该选项用于监视传统防病毒检测方法可能无法检测到的可疑模式的行为集合。 启用网络检查系统 该选项用于帮助保护计算机抵御针对已知漏洞的“零时差”攻击，从而缩短从发现漏洞到应用更新之间间隔的时间段。

以上是MSE帮助文件中对MSE实时保护功能组件的描述，本阶段主要介绍，实时监控和监视计算机上的文件和程序活动功能。

首先大家好像对“监视计算机上的文件和程序活动”功能存在误解（Z龙之前也一样），认为本功能是监控系统进程的功能，但事实上是被帮助文件给引入误区，“监视计算机上的文件和程序活动”功能的真正名称是“OnAccessProtection”，中文译为“访问保护”，访问保护是文件监控的另一种称呼，功能上基本都是对硬盘数据进行监控，这就是我们需要的实时监控功能！

如果“监视计算机上的文件和程序活动”功能是访问保护，那实时监控功能是什么？MSE设置里的实时监控，真实名称确实是Real-Time Monitoring，实时监控功能，但是它本身是不包含任何功能或监控行为的，Real-Time Monitoring的真正作用是MSE实时保护各个组件的总开关，一旦Real-Time Monitoring被禁用，MSE的实时保护全部组件将被关闭，若把Real-Time Monitoring功能开启，但是其下属的下载监控、访问保护、行为监视、网络检查系统，四大组件全部关闭，MSE将不存在任何监控能力。

在我们日常工作中最需要的MSE实时保护功能，就是“监视计算机上的文件和程序活动”即”OnAccessProtection”，访问保护功能，换句话说MSE的真正实时监控就是“监视计算机上的文件和程序活动”（OnAccessProtection），访问保护功能！

关于访问保护，有人可能会认为不是文件监控，而是自我保护，Z龙特意仔细的查了资料，其实在Forefront Client Security 1.0的时代，“监视计算机上的文件和程序活动”功能，就是叫做“访问保护”。下面是FCS 1.0的帮助文件的介绍。

访问时保护

在程序开始运行时监视。Client Security 检测到定义中指定的特定软件时向您发出警报。情况严重时，检测到的软件可能被挂起而停止运行，直到您选择采取措施时为止。

On Access Protection

Monitors when programs begin running. Client Security alerts you when it detects certain software specified in the definitions. In severe cases, the detected software can be suspended from running until you choose to take action.

送上一张FCS v1.0访问保护发现病毒的截图



以上足以证明，MSE 2.x的“监视计算机上的文件和程序活动”功能＝FCS 1.0的“访问保护”功能，而访问保护功能＝文件监控！

==================第二阶段：排除Explorer进程，不等于不安全=====================
Z龙之前在任版主期间，发过下面这个帖子，进程排除，Explorer进程，可以解决MSE 2.X卡EXE的问题，有很多人认为这样非常不安全，事情真是如此吗？
探秘MSE卡EXE程序与解除MSE卡EXE的方案【本文仅供参考】

Z龙现在以官文介绍+早期版本对比+实机双击病毒样本，来为大家解开困扰大家和Z龙本人的这个问题。

① 什么是进程排除！
MSE 2的帮助文件上并没有详细介绍，进程排除的作用，我们可以通过FEP 2的策略组查看，进程排除的真正作用是什么

利用此策略设置，可对任何指定进程所打开的任何文件禁用计划和实时扫描。 将不会排除进程本身。 若要排除进程，请使用“路径排除”。 进程应添加到此设置对应的“选项”下方。 每一个项都必须作为一个名称值对列出，其中名称应是进程映像的路径的字符串表示形式。 请注意，只能排除可执行文件。 例如，进程可定义为： “c:\windows\app.exe”。 未使用此值，建议将其设置为 0。

② FCS 1.0对进程排除的描述

不要扫描这些进程访问的文件。 使用此选项确定无需 Client Security 扫描文件即可访问文件的进程。

通过以上官文+Forefront Client Security 1.0的解释，大家应该明白，进程排除跟路径排除是完全不同的，路径排除的文件，MSE是不监控的，而进程排除以后的程序进程并不是真正的被排除，其本身还是在MSE的访问保护之中，也就是说我们排除Explorer进程以后，MSE的访问保护只是不对Explorer进程读取、写入的数据进行监控（这就是排除Explorer不卡EXE的原因），但是如果Explorer进程本身被病毒感染或者注入DLL，MSE的访问保护还是可以监控到的。

③ Z龙为了避免被官方文件描述误导，特意在进程排除，排除Explorer进程以后，进行了实机的双击病毒测试，本机除了Windows 7本身的安全功能和MSE 2.1.1116以外，没有任何安全软件。

注意：如果你想自己测试，需要注意，排除Explorer进程以后，Z龙是通过重启实时监控，才进行的双击测试。因为进程排除Explorer以后，如果不重启实时监控，那么在访问病毒所在文件夹时，MSE将会直接报毒。Z龙为了确保测试结果，排除Explorer进程以后，重新启动实时监控。

Z龙由于优化了视频的帧数，所以视频看上去有些卡，但Z龙绝没有做手脚。


通过上面的视频，大家可以发现只要是MSE已经入库的病毒，在排除Explorer以后，双击病毒样本，就算病毒被策略阻止运行，MSE还是可以报毒的，在这种情况下排除Explorer进程并不会有太大的安全影响。


Z龙的测试仅是给大家一个参考，不能代表一切，因为病毒千千万万，说不定哪个病毒可以绕过MSE的监控。所以是否进程排除Explorer进程，还是要由你自己决定，一两个测试，不能代表一切。

测试的病毒样本是在样本区随意寻找的注入或调用Explorer进程的样本。
http://bbs.kafan.cn/forum.php?mod=viewthread&tid=1038773

http://bbs.kafan.cn/forum.php?mod=viewthread&tid=891322

http://bbs.kafan.cn/forum.php?mod=viewthread&tid=1091653&page=1#pid21166216

http://bbs.kafan.cn/forum.php?mod=viewthread&tid=508012&page=1#pid8285325

http://bbs.kafan.cn/forum.php?mod=viewthread&tid=459318&page=23#pid7317964

注：请不要实机测试病毒样本，否则一切后果自负，Z龙不承担任何责任哦！

========================第三阶段：有趣的MSE监控机制==========================

Z龙现在跟各位会员展示一个非常有趣的测试，那就是进程排除Explorer与不排除Explorer的测试。

① 不排除Explorer的情况下访问病毒所在文件夹的结果。






通过事件查看器可以看到，是Explorer进程在访问病毒所在文件夹时，触发MSE监控的
-----------------------------------------------------------------------------------------------------------
② 进程排除Explorer进程以后，访问病毒所在文件夹时的结果。







通过事件查看器，我们可以发现这次触发MSE实时监控的进程是系统服务主进程，svchost进程。

由此可见，MSE的实时监控还是监控进程的读写文件。

换句话说，谁第一个读取病毒文件信息，MSE就会识别谁是触发者。具体请见第四阶段内容！
----------------------------------------------------------------------------------
当然MSE并不仅仅是监控进程读写那么简单，虽然监控不是真正的硬盘读写，但是也差不多了，MSE从诞生那天起，就采用了利用Windows 系统的文件系统筛选器管理器驱动，进行文件监控的。

至于排除Explorer进程，实时监控中断重启以后，写入、读取、复制病毒的时候，MSE不会有响应，一旦病毒被执行，MSE会直接杀死已入库的病毒，真正原因，具体情况请看下一阶段。

========================第四阶段：关于文件系统过滤器===========================

当初Windows和live部门副总裁史蒂文•辛诺夫斯基(Steven Sinofsky)，说Windows 8 里的Windows Defender加入文件管理系统过滤器的实时监控功能（http://blogs.msdn.com/b/b8/archive/2011/09/15/protecting-you-from-malware.aspx），Z龙确实是以为现在的MSE没有这个功能，但是，这个是不对的，因为自从微软的反恶意软件客户端1.0（Forefront Client Security v1.0）开始，就已经拥有利用Windows 系统的文件系统筛选器管理器驱动，进行实时监控的功能。

那么史蒂文·辛诺夫斯基，为什么这么说呢？答案是：Windows 7当中内置的Windows Defender没有调用Windows 系统的文件系统筛选器管理器驱动的Mpfilter驱动，而在Windows 8的WD里加入了Mpfilter驱动，名称为WDfilter。

正是由于Windows 7里的Windows Defender没有mpfilter驱动，使用Z龙大胆的确定，MSE在没有利用mpfilter驱动监控文件时，就是通过对其它进程的监控，来达到监控效果的。大家可以找几个Windows 7里WD可杀的间谍软件，放在一个文件夹，访问文件夹，看看什么反应，在双击间谍软件是什么反应（不要实机试验哦），就还明白了。（关于WD的测试，Z龙以后有机会再录制视频）

通过查看MSE的文件，可以发现WD的监控方式已经被mpfilter取代，这就是第二阶段里，中断实时监控以后，只有双击病毒，才会报毒的原因。（由于MSE需要加载mpfilter驱动才能启动实时监控，一旦删除mpfilter驱动，MSE将彻底无法启动访问保护和行为监控）。

大家可以放心，在百分之九十九的情况下，MSE是通过Mpfilter驱动调用Windows 系统的文件系统筛选器管理器驱动，进行实时监控！
===============================================================
本文到此结束，仅供参考！

驭龙

这里是Z龙曾经为之奋斗的地方，虽然我已经离去，但我依然热爱这里，曾经的点点滴滴，无论是喜悦还是悲伤，我都会当做美好的回忆珍藏在心中，不管往事如何，始终要感谢各位饭友的支持，或许有机会我们还会再见

baga9

前排占座学习Z大幸苦了

kfpeace100

z版辛苦啦~

鲁路修

彻底归隐山林了？！

ELOHIM

一字一图看完了，正更爱MSE。
只希望Mpfilter驱动这个不要被恶意软件利用就好。。

Z龙，加油！~~

sb321

看完后更加坚定使用mse的决心

mexth

唯一长时间使用的杀毒软件。。。 从来不弹任何和安全不相关的窗口。。。。这一点是选择MSE的最大原因。。

xiaomaobi

这种帖子不顶良心过不去啊~

tjlba

已学习 ，谢谢LZ