Microsoft AntiMalware家族，DSS动态签名服务的静态与动态云查杀

驭龙

现在说的动态签名服务 Dynamic Signature Service 简称DSS，不是什么新功能，为何我现在要重提此功能？是因为最近效果非常的不错，以前N年见不到一次的，现在却时常出现，现在我来简单的介绍一下DSS。



DSS的官方介绍：

动态签名服务

要想发挥作用，保护措施不能落后过时。动态签名就是一种用以检查可疑程序是善是恶的方法。在可疑程序运行之前，Microsoft Security Essentials 会佯装运行该程序以确定该程序要做什么。这样便给程序分配了专用签名，而我们将对照善意程序和恶意程序数据库检查这些签名。程序即便在获得批准之后也会受到监视，以确保这些程序不会有任何潜在危险举动，例如建立意外的网络连接、修改操作系统的核心部分或下载恶意内容。

若要查找有关 Microsoft Security Essentials 可帮助防御的所有最新威胁的信息、定义更新和分析，请访问 Microsoft 恶意软件防护中心。

动态签名服务实际上是分为动态和静态两个类型。

静态动态签名服务：
Microsoft为了确保误报，刚刚分析出的威胁，是不会马上入库的，而是放在Microsoft的云服务器上，在本地的MSE如果发现可疑文件，会发送一条消息给Microsoft恶意软件保护中心的服务器，如果云数据库中存在此威胁，云服务器会将一个小于1KB大小的特征库，发给本地的MSE，文件路径为：C:\ProgramData\Microsoft\Microsoft AntiMalware\Scans\RtSigs\Data的文件夹。

MSE会加载本临时特征库，查杀尚未入库的威胁，威胁的名称后面会有*（现在的云报法已经不固定名称，有时候普通报毒名也是DSS杀）Detplock，如Trojan:Win32/Detplock，见到Trojan:Win32/Detplock（2015年8月26日，更新，现在报毒名后缀带!plock就是DSS杀）基本上就可以确定是动态签名服务发威了。

动态签名服务的静态实时监控



但是，没有永久的动态签名服务报的威胁，在Microsoft确定新特征代码不会误报正常文件以后，会把云服务器的新威胁特征代码，添加到最新发布的特征库中，本地MSE更新最新的特征库以后，会把之前已经使用现在却已经入库的动态签名服务特征库删除，因为特征库已经包含该威胁的特征代码。

虽然本地的MSE会抛弃已经入库的动态签名服务特征代码，不过Microsoft的云服务器依然保存这些特征代码，为那些没有最新特征库的本地MSE提供服务。


动态签名服务的动态：
如果实时监控和扫描没有发现威胁的可疑代码，在威胁被双击运行以后，MSE的行为监控会继续监视文件的运行和内存行为，一旦发现存在可疑的行为，行为监控会链接到Microsoft云服务器，如果云服务器中有包含该可疑行为的动态签名服务特征，云服务器会把特征代码发给本地的MSE，获得特征代码的MSE会立即阻止威胁活动，同时删除该威胁，清理威胁的部分破坏。

双击样本以后，动态签名服务的动态监控



总体来说，动态签名服务实际上就是云查杀是一部分，同时也包含云防御，是一种对付最新威胁的应急手段，之前效果不是很好，但是最近效果非常的不错，尤其是对付高危的威胁，效果十分不错。


注：本帖仅代表我个人看法，与卡饭和特殊组无关，如有转载，请注明卡饭会员驭龙原创内容！

feelingdld23

要是电脑没有联网.U盘来个奇葩的病毒,那岂不是这个DSS功能就废了?

maomao110

好专业啊

驭龙

feelingdld23 发表于 2013-9-27 13:54
要是电脑没有联网.U盘来个奇葩的病毒,那岂不是这个DSS功能就废了?

不用担心,MSE的动态签名服务是辅助功能,真正的防御功能,我还没有介绍你,请耐心等待动态启发技术的介绍

彷`徨DE鑀♂

假如说是双击未知可疑程序，MSE会不会在云服务器反馈回来之前延迟程序的运行呢？
如果不是的话，假如可疑程序是恶意的话那岂不是有点亡羊补牢的感觉了？

feelingdld23

驭龙 发表于 2013-9-27 14:53
不用担心,MSE的动态签名服务是辅助功能,真正的防御功能,我还没有介绍你,请耐心等待动态启发技术的介绍

期待!win8 64位一直都想用WD,但是大家都认为WD太单薄,我心里也很是疑惑.现在单奔KIS2014,略卡!

驭龙

彷`徨DE鑀♂ 发表于 2013-9-27 15:32
假如说是双击未知可疑程序，MSE会不会在云服务器反馈回来之前延迟程序的运行呢？
如果不是的话，假如可疑程 ...

说实话DSS只不过是辅助功能,双击的绝大部分样本全部会被MSE的另外功能拦截,效果比DSS好太多了,DSS作为云扫描还是不错的

驭龙

feelingdld23 发表于 2013-9-27 16:14
期待!win8 64位一直都想用WD,但是大家都认为WD太单薄,我心里也很是疑惑.现在单奔KIS2014,略卡!

其实WD并不弱,只不过是Microsoft没有把功能分出来,实际上并不是如此

feelingdld23

驭龙 发表于 2013-9-27 16:31
其实WD并不弱,只不过是Microsoft没有把功能分出来,实际上并不是如此

看各类测试,WD都是垫底,与专业的安全厂商差距不是一点哟.http://bbs.kafan.cn/thread-1633417-1-1.html这个帖子说微软都承认WD只是一个入门级的安全解决方案!

驭龙

feelingdld23 发表于 2013-9-27 16:53
看各类测试,WD都是垫底,与专业的安全厂商差距不是一点哟.http://bbs.kafan.cn/thread-1633417-1-1.html这 ...

对于那个新闻,我只能是笑而不语,已经是一年前微软说过的话,并不是针对Windows 8.1系统中的WD,另外,MSE的成绩之所以差,是因为它不收集低威胁的样本,导致测试成绩差