查看: 15205|回复: 76
收起左侧

[技术探讨] Microsoft AntiMalware家族,DSS动态签名服务的静态与动态云查杀

  [复制链接]
驭龙
发表于 2013-9-27 12:31:39 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2015-8-26 14:32 编辑

现在说的动态签名服务 Dynamic Signature Service 简称DSS,不是什么新功能,为何我现在要重提此功能?是因为最近效果非常的不错,以前N年见不到一次的,现在却时常出现,现在我来简单的介绍一下DSS。



DSS的官方介绍:
动态签名服务

要想发挥作用,保护措施不能落后过时。动态签名就是一种用以检查可疑程序是善是恶的方法。在可疑程序运行之前,Microsoft Security Essentials 会佯装运行该程序以确定该程序要做什么。这样便给程序分配了专用签名,而我们将对照善意程序和恶意程序数据库检查这些签名。程序即便在获得批准之后也会受到监视,以确保这些程序不会有任何潜在危险举动,例如建立意外的网络连接、修改操作系统的核心部分或下载恶意内容。

若要查找有关 Microsoft Security Essentials 可帮助防御的所有最新威胁的信息、定义更新和分析,请访问 Microsoft 恶意软件防护中心。


动态签名服务实际上是分为动态和静态两个类型。

静态动态签名服务:
Microsoft为了确保误报,刚刚分析出的威胁,是不会马上入库的,而是放在Microsoft的云服务器上,在本地的MSE如果发现可疑文件,会发送一条消息给Microsoft恶意软件保护中心的服务器,如果云数据库中存在此威胁,云服务器会将一个小于1KB大小的特征库,发给本地的MSE,文件路径为:C:\ProgramData\Microsoft\Microsoft AntiMalware\Scans\RtSigs\Data的文件夹。

MSE会加载本临时特征库,查杀尚未入库的威胁,威胁的名称后面会有*(现在的云报法已经不固定名称,有时候普通报毒名也是DSS杀)Detplock,如Trojan:Win32/Detplock,见到Trojan:Win32/Detplock(2015年8月26日,更新,现在报毒名后缀带!plock就是DSS杀)基本上就可以确定是动态签名服务发威了。

动态签名服务的静态实时监控



但是,没有永久的动态签名服务报的威胁,在Microsoft确定新特征代码不会误报正常文件以后,会把云服务器的新威胁特征代码,添加到最新发布的特征库中,本地MSE更新最新的特征库以后,会把之前已经使用现在却已经入库的动态签名服务特征库删除,因为特征库已经包含该威胁的特征代码。

虽然本地的MSE会抛弃已经入库的动态签名服务特征代码,不过Microsoft的云服务器依然保存这些特征代码,为那些没有最新特征库的本地MSE提供服务。



动态签名服务的动态:
如果实时监控和扫描没有发现威胁的可疑代码,在威胁被双击运行以后,MSE的行为监控会继续监视文件的运行和内存行为,一旦发现存在可疑的行为,行为监控会链接到Microsoft云服务器,如果云服务器中有包含该可疑行为的动态签名服务特征,云服务器会把特征代码发给本地的MSE,获得特征代码的MSE会立即阻止威胁活动,同时删除该威胁,清理威胁的部分破坏。

双击样本以后,动态签名服务的动态监控



总体来说,动态签名服务实际上就是云查杀是一部分,同时也包含云防御,是一种对付最新威胁的应急手段,之前效果不是很好,但是最近效果非常的不错,尤其是对付高危的威胁,效果十分不错。


注:本帖仅代表我个人看法,与卡饭和特殊组无关,如有转载,请注明卡饭会员驭龙原创内容!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 7经验 +40 人气 +6 收起 理由
星风烈日 + 1
mengld + 1 谢谢
ikimi + 1 抱歉,这个帖子按规定属于广告
HEMM + 1 版区有你更精彩: )
飞霜流华 + 40 版区有你更精彩: )

查看全部评分

feelingdld23
发表于 2013-9-27 13:54:14 | 显示全部楼层
要是电脑没有联网.U盘来个奇葩的病毒,那岂不是这个DSS功能就废了?
maomao110
发表于 2013-9-27 14:51:06 | 显示全部楼层
好专业啊
驭龙
 楼主| 发表于 2013-9-27 14:53:39 | 显示全部楼层
feelingdld23 发表于 2013-9-27 13:54
要是电脑没有联网.U盘来个奇葩的病毒,那岂不是这个DSS功能就废了?

不用担心,MSE的动态签名服务是辅助功能,真正的防御功能,我还没有介绍你,请耐心等待动态启发技术的介绍
彷`徨DE鑀♂
发表于 2013-9-27 15:32:54 | 显示全部楼层
假如说是双击未知可疑程序,MSE会不会在云服务器反馈回来之前延迟程序的运行呢?
如果不是的话,假如可疑程序是恶意的话那岂不是有点亡羊补牢的感觉了?
feelingdld23
发表于 2013-9-27 16:14:24 | 显示全部楼层
驭龙 发表于 2013-9-27 14:53
不用担心,MSE的动态签名服务是辅助功能,真正的防御功能,我还没有介绍你,请耐心等待动态启发技术的介绍

期待!win8 64位一直都想用WD,但是大家都认为WD太单薄,我心里也很是疑惑.现在单奔KIS2014,略卡!
驭龙
 楼主| 发表于 2013-9-27 16:30:51 | 显示全部楼层
彷`徨DE鑀♂ 发表于 2013-9-27 15:32
假如说是双击未知可疑程序,MSE会不会在云服务器反馈回来之前延迟程序的运行呢?
如果不是的话,假如可疑程 ...

说实话DSS只不过是辅助功能,双击的绝大部分样本全部会被MSE的另外功能拦截,效果比DSS好太多了,DSS作为云扫描还是不错的
驭龙
 楼主| 发表于 2013-9-27 16:31:48 | 显示全部楼层
feelingdld23 发表于 2013-9-27 16:14
期待!win8 64位一直都想用WD,但是大家都认为WD太单薄,我心里也很是疑惑.现在单奔KIS2014,略卡!

其实WD并不弱,只不过是Microsoft没有把功能分出来,实际上并不是如此
feelingdld23
发表于 2013-9-27 16:53:00 | 显示全部楼层
驭龙 发表于 2013-9-27 16:31
其实WD并不弱,只不过是Microsoft没有把功能分出来,实际上并不是如此

看各类测试,WD都是垫底,与专业的安全厂商差距不是一点哟.http://bbs.kafan.cn/thread-1633417-1-1.html这个帖子说微软都承认WD只是一个入门级的安全解决方案!
驭龙
 楼主| 发表于 2013-9-27 16:55:59 | 显示全部楼层
feelingdld23 发表于 2013-9-27 16:53
看各类测试,WD都是垫底,与专业的安全厂商差距不是一点哟.http://bbs.kafan.cn/thread-1633417-1-1.html这 ...


对于那个新闻,我只能是笑而不语,已经是一年前微软说过的话,并不是针对Windows 8.1系统中的WD,另外,MSE的成绩之所以差,是因为它不收集低威胁的样本,导致测试成绩差
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:21 , Processed in 0.145236 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表