【技术帖再次来袭】窥探AMP BM隐形的强大，BM技术是遥测＋特征匹配[更新重磅内容]

驭龙

先说一下，尽管AMP不断完善和进化，我还是不推荐不了解它的用户使用它，安全软件有不计其数，选择适合自己的很重要，没必要选择你不了解的基准线级别杀软AMP，这是我给大家的忠告，如果以后大家用AMP中毒，可不要怪我没有提醒你哦。

自从Microsoft Anti-Malware 三代，也就是MSE 2.0以后，MA添加了行为监控技术，从此MA开始有Behavior Signature了，到了MA 四代的4.X版本，微软承诺在Windows 8.X系上的WD拥有增强的行为监控，可时至今日，大家是不是没有见过多少Behavior Signature的报法出现在双击中？这是为什么呢？重磅内容在帖子最后部分，不要被上半部分迷惑哦。

接下来，我来告诉大家，为什么我们从没见过MA的Behavior报法过，这个需要先看之前的技术解读帖的动态签名服务的动态：

如果实时监控和扫描没有发现威胁的可疑代码，在威胁被双击运行以后，MSE的行为监控会继续监视文件的运行和内存行为，一旦发现存在可疑的行为，行为监控会链接到Microsoft云服务器，如果云服务器中有包含该可疑行为的动态签名服务特征，云服务器会把特征代码发给本地的MSE，获得特征代码的MSE会立即阻止威胁活动，同时删除该威胁，清理威胁的部分破坏。

这种动态签名服务的云技术，近似于云主防技术，但与云主防不同的是，MA的行为监控并不是直接阻止样本的行为，而是发动遥测技术的Behavior Monitoring Telemetry Technology，正因为这种不主动拦截Behavior特征，所以我们根本见不到MA行为监控的爆发，出现双击时出现Behavior报法，因为Behavior Monitoring Telemetry是MA的Sensor to Cloud，发动BMT以后向MA云服务器查询触发BMT的文件哈希，如果是未知的文件,MA会自动上传云端，等待云服务器的分析，如果是已经分析为威胁的样本，Microsoft Active Protection Service服务器会发送DSS特征到本地，MA将杀掉这个威胁。

这就是我们看不到MA Behavior Monitoring 报法的原因，光说不练非好汉，因此接下来我们来真正的体验一下MA Behavior Monitoring telemetry的魅力吧，我的测试环境有一点新，是Windows 10 10565 Insider 版本中的WD 4.9版，样本是昨天2015年10月17日的精睿包。

新系统无法安装增强工具包，无法把日志复制出来，我们看截图吧，扫描结束以后，开始双击样本，其中第24样本和第35样本触发各种 BMT哦，其中24号样本被自动反馈给服务器，看各种 Behavior Signature的大爆发，BMT开启疯狂遥测吧

第24样本的各种注入啊


BMT把24号自动反馈给服务器


第35样本的各种注入


Explorer已经被注入


哈，Dynamic Translation发威，Dynamic Heuristic截杀比特币敲诈者的进程


不知道那个样本的衍生物也被MA杀掉，不知是回滚还是什么，没有相关的日志和关于这个样本的进一步信息


再看一下动态启发行为分析干掉的比特币敲诈者的UI记录吧。


接下来就是BMT与MAPS联动时间，这里有一个样本的衍生物是svchost，昨天双击以后就关闭系统了，今天开机以后，！plock出现了，也就是动态签名服务杀，昨天的BMT发挥效果，得到MAPS的分析后反馈，发动DSS杀掉样本。

截图上部分的svchots衍生物


plock云杀，不但删除样本，启动项的注册值也被干掉了，这是修复？还是半吊子的回滚？不好确定啊


========================================================
现在更新中部内容，那就是BMT在实际使用中的出现概率，这也是很高的，其中很多是用户操作的，这是我这几个月断断续续使用WD时触发的行为监控遥测，其中大多数是人为操作，这要是拦截的话，就避免不了误报了。

每个类型的行为监控遥测，我只复制一次，并不是只出现一次哦
[mw_shl_code=css,true]BEGIN BM telemetry
GUID:{7971A0BA-65BA-C489-4264-0EC9A93759E9}
TelemetryName:Behavior:Win32/DroppedKnownMalware
SignatureID:41453017067075
ProcessID:2548
ProcessCreationTime:130884862266614472
SessionID:1
CreationTime:10-05-2015 10:37:16
ImagePath:C:\Program Files\7-Zip\7zG.exe
ImagePathHash:CFD6E7BF357E91ED919190EA0C8EC3BB12DC48B151ABC327A80A0A8F7B73FB73
TargetFileName:C:\Users\Win10\Downloads\645\645.exe
END BM telemetry

BEGIN BM telemetry
GUID:{3203803A-0E91-E2A8-BFB8-4368CDBCD593}
TelemetryName:Behavior:Win32/EtwTerminateTaskmgr.A
SignatureID:23862704599725
ProcessID:2344
ProcessCreationTime:130841565780066476
SessionID:0
CreationTime:08-16-2015 08:36:54
ImagePath:C:\Windows\explorer.exe
ImagePathHash:FE85B8EAB73987EEAFC673001AED000CDB2321F22C10F743D571DE888981707B
END BM telemetry

BEGIN BM telemetry
GUID:{71575569-1261-E0E1-18C1-3DBDC1694284}
TelemetryName:Behavior:Win32/EtwTerminateMsAVUI.A
SignatureID:41451222363076
ProcessID:540
ProcessCreationTime:0
SessionID:0
CreationTime:09-15-2015 12:25:23
ImagePath:C:\Windows\System32\csrss.exe
ImagePathHash:A7E2B4E8ED83CE19ED663759E65A6B7A330261FFDD4FD667D553767F352B04FD
END BM telemetry

BEGIN BM telemetry
GUID:{77FC5059-09D6-F89D-2DAD-78A0EFEC0C48}
TelemetryName:Behavior:Win32/EtwTerminateMRT.A
SignatureID:23858815868554
ProcessID:868
ProcessCreationTime:130867473390580308
SessionID:0
CreationTime:09-15-2015 12:25:31
ImagePath:C:\Windows\System32\svchost.exe
ImagePathHash:B4853F76DFE066A5B2AEB3166BAC4D6FF1548E9119205F65AC6CAB6D165F9850
END BM telemetry

BEGIN BM telemetry
GUID:{89C97B83-0CE3-5AE4-2CCE-62AF0BBBD923}
TelemetryName:Behavior:Win32/IExploreSpawnCalc.A
SignatureID:41453809535618
ProcessID:5352
ProcessCreationTime:130870951842382149
SessionID:1
CreationTime:09-19-2015 08:13:07
ImagePath:C:\Program Files\Internet Explorer\iexplore.exe
ImagePathHash:4905A13C6A0467A73426AB041A99680E8E7AE64FAEDFA4A3731028DC5DD4A2BE
TargetFileName:C:\Program Files\Internet Explorer\iexplore.exe
END BM telemetry

BEGIN BM telemetry
GUID:{F5589543-05D3-BD6B-D411-B30A41BA2461}
TelemetryName:Behavior:Win32/LatMove.A!dha
SignatureID:461466096118178
ProcessID:2584
ProcessCreationTime:130870953380445728
SessionID:1
CreationTime:09-19-2015 08:15:49
ImagePath:C:\Program Files\Internet Explorer\iexplore.exe
ImagePathHash:4905A13C6A0467A73426AB041A99680E8E7AE64FAEDFA4A3731028DC5DD4A2BE
TargetFileName:C:\Users\Win10\AppData\Local\Microsoft\Windows\INetCache\IE\4NWGUCSJ\dummy[1].dll
END BM telemetry

BEGIN BM telemetry
GUID:{E0CC7B0E-71FE-EA97-B6E3-090EB49A850E}
TelemetryName:Behavior:Win32/NonBrowserLinkClick.A
SignatureID:76635139478477
ProcessID:2896
ProcessCreationTime:130874442598438075
SessionID:1
CreationTime:09-23-2015 09:11:38
ImagePath:C:\Program Files\Tencent\QQ\Bin\QQ.exe
ImagePathHash:4FE7EF60CDCACEEE13879045552E779C23024B1E7387E679E3EDE63BA88BF565
END BM telemetry

BEGIN BM telemetry
GUID:{B7055969-6979-1A65-327B-EF12B14DEA56}
TelemetryName:Behavior:Win32/EdgeChildProc.A
SignatureID:50248637898039
ProcessID:7044
ProcessCreationTime:130894482098653682
SessionID:1
CreationTime:10-16-2015 13:50:10
ImagePath:C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdgeCP.exe
ImagePathHash:0D80ADE11044DEA738A3F4A8E5313542DE9F40F7A94C724CE817EAB1912EDFB0
TargetFileName:C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdgeCP.exe
END BM telemetry
[/mw_shl_code]
其中一次Behavior:Win32/LatMove.A!dha是一个真正的Exploit测试，可惜没有阻止，真的是有一点遗憾。

或许是因为我系统上安装HitmanPro.Alert，因为这家伙的注入浏览器，导致在Edge上传图片的时候，触发行为监控遥测，其中Flash播放器的行为都被遥测监视：
[mw_shl_code=css,true]
BEGIN BM telemetry
GUID:{B2BDEC5C-D361-3286-9469-8DE13701F5CB}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:6044
ProcessCreationTime:130896932854900499
SessionID:1
CreationTime:10-19-2015 09:54:46
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{8FF83676-539D-253F-6EBD-5BE4604AB609}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:552
ProcessCreationTime:130896934744120511
SessionID:1
CreationTime:10-19-2015 09:57:55
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry

Begin Resource Scan
Scan ID:{53FDF3C5-C026-430F-B344-4B8854A4334A}
Scan Source:7
Start Time:10-19-2015 09:58:06
End Time:10-19-2015 09:58:06
Explicit resource to scan
Resource Schema:file
Resource Path:C:\Users\Win10\Desktop\QQ拼音截图未命名.jpg
Explicit resource to scan
Resource Schema:webfile
Resource Path:C:\Users\Win10\Desktop\QQ拼音截图未命名.jpg|http:// FlashUtil_ActiveX.exe
Result Count:1
Known File
Number of Resources:1
Resource Schema:file
Resource Path:C:\Users\Win10\Desktop\QQ拼音截图未命名.jpg:Zone.Identifier
Extended Info:35874746033117
End Scan
************************************************************


BEGIN BM telemetry
GUID:{FF4F2F5A-6BA9-A3FF-61EF-47F2FACC92D0}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:3868
ProcessCreationTime:130896936924775402
SessionID:1
CreationTime:10-19-2015 10:01:33
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{ED2E06D5-A296-0536-2BC4-8C3C89728A5C}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:368
ProcessCreationTime:130896938493331388
SessionID:1
CreationTime:10-19-2015 10:04:10
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{79CDEEBF-B5A5-72E6-CC08-8D0ADC1A3F1B}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:4440
ProcessCreationTime:130896944640839629
SessionID:1
CreationTime:10-19-2015 10:14:25
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{4D11D723-8DB6-CA1C-1F1B-F02C24207217}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:4148
ProcessCreationTime:130896944779777711
SessionID:1
CreationTime:10-19-2015 10:14:39
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{151AABDD-4C47-C46D-2FC3-DCACAC7197A1}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:2376
ProcessCreationTime:130896945886652261
SessionID:1
CreationTime:10-19-2015 10:16:29
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{66F1C5C2-492F-9013-67B1-0671740B1310}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:3916
ProcessCreationTime:130896950055617611
SessionID:1
CreationTime:10-19-2015 10:23:26
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{C13AF47B-25E4-9C61-05BB-B6BC178A3D17}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:788
ProcessCreationTime:130896951417675473
SessionID:1
CreationTime:10-19-2015 10:25:42
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{E0D3D32C-7C74-F406-4C99-CACEEB9A436E}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:3916
ProcessCreationTime:130896957194354275
SessionID:1
CreationTime:10-19-2015 10:35:20
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{0B3F7179-9C3F-12EB-30B1-C10DFD0B099E}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:2996
ProcessCreationTime:130896957716752627
SessionID:1
CreationTime:10-19-2015 10:36:12
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{4DBF957B-EE0A-446D-B3D1-C64B115C89AE}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:3832
ProcessCreationTime:130896957840047451
SessionID:1
CreationTime:10-19-2015 10:36:25
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{98296CFD-B1A2-E2FF-9491-C01AAC44DF2A}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:472
ProcessCreationTime:130896958058740522
SessionID:1
CreationTime:10-19-2015 10:36:47
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry


BEGIN BM telemetry
GUID:{7D639F10-3E23-F9D7-3271-8AA927B96455}
TelemetryName:Behavior:Win32/MotwMod.A
SignatureID:41452825948958
ProcessID:3864
ProcessCreationTime:130896958177081146
SessionID:1
CreationTime:10-19-2015 10:36:59
ImagePath:C:\Windows\System32\Macromed\Flash\FlashUtil_ActiveX.exe
TargetFileName:C:\Users\Win10\AppData\Roaming\Adobe\Flash Player\NativeCache\NativeCache.directory:Zone.Identifier
END BM telemetry
[/mw_shl_code]
由此可见，如果MA的行为监控是默认阻止行为的话，那真的会影响用户的一些正常操作，这是与MA理念背道而驰的，所以行为监控默认没有阻止行为监控遥测的行为，而是结合强大的云运算，等待一段自动化分析系统的确认威胁，才会阻止和删除威胁，虽然效果下降很多，但误报率和干扰率也微乎其微，这才是MA发展的理念，才没有直接阻止行为监控检测到的行为，只是发动遥测等待云端的确认信息！

=====================================================
大家是不是被我前两段内容迷惑，认为AMP的Behavior Monitoring只有遥测，没有真正的阻止？实际上真的这样吗？请大家把本阶段的内容看完，在下定论吧。

首先说的是AMP Behavior Signature数已经达到1097条，截止日期是2015年10月14日。
部分行为特征如下：
[mw_shl_code=css,true]Behavior:Win32/UACAMSIProviderDel.A
Behavior:Win32/IEVProviderSet.A
Behavior:Win32/IEVProviderDel.A
Behavior:Win32/Pirpi.C!dha
Behavior:Win32/Teerac.G
Behavior:Win32/Vawtrak.D
Behavior:Win32/RpeSfInject
Behavior:Win32/Hikiti.A!dha
Behavior:Win32/GamarueRemLnk.A
Behavior:Win32/GamarueRemLnk.B
Behavior:Win32/Bondat!Dropper
Behavior:Win32/EtwTerminateMsAVUI.A
Behavior:Win32/EtwTerminateMRT.A
Behavior:Win32/EtwTerminateTaskmgr.A
Behavior:Win32/EtwInputDeviceRegistration.A
Behavior:Win32/BrobanLaw.A
Behavior:Win32/Banload.BAJ
Behavior:Win32/AMSIBlockProviderSet.A
Behavior:Win32/AMSIBlockProviderDel.A
Behavior:Win32/UACAMSIBlockProviderSet.A
Behavior:Win32/UACAMSIBlockProviderDel.A
Behavior:Win32/Gatak.D!dha
Behavior:Win32/Zupdax.A!dha
Behavior:Win32/MsxRat.A!dha
Behavior:Win32/Havex.A!dha
Behavior:Win32/Mozor.A!dha
Behavior:Win32/Mutret.A
Behavior:Win32/Crowti.G
Behavior:Win32/LojackNIS.A
Behavior:Win32/Gamarue.gen
Behavior:Win32/Gatak.E!dha
Behavior:Win32/AbsoluteRegSet.A
Behavior:Win32/DisableWinPE.A
Behavior:Win32/RockCandy.A!dha
Behavior:Win32/Dorkbot.AM
Behavior:Win32/Dorkbot.gen!B
Behavior:Win32/Dexel.A
Behavior:Win32/PsHiddenWindowLaunch.A
Behavior:Win32/CalcInject.A
Behavior:Win32/WmplayerInject.A
Behavior:Win32/Mytonel.A
Behavior:Win32/Foosace.A!dha
Behavior:Win32/InstalleRex.B
Behavior:Win32/Fynloski.C
Behavior:Win32/CrossPoint.A
Behavior:Win32/MpTamperExplorerNSEntry.A
Behavior:Win32/MpTamperDefenderAppIDSet.A
Behavior:Win32/MpTamperDefenderAppIDDelete.A
Behavior:Win32/MpTamperAmsiAppIDSet.A
Behavior:Win32/MpTamperAmsiAppIDDelete.A
Behavior:Win32/DocumentOpen.A!dha
Behavior:Win32/Colisi
Behavior:Win32/Registry_ApCompatFlags
Behavior:Win32/WusaSysprepElevation.A
Behavior:Win32/System_Desktop
Behavior:Win32/Powessere.G
Behavior:Win32/MpTamperBlockExplorerNSEntryMod.A
Behavior:Win32/MpTamperUIClsidSet.A
Behavior:Win32/MpTamperUIClsidDelete.A
Behavior:Win32/MpTamperBlockUIClsidMod.A
Behavior:Win32/MpTamperIoavClsidSet.A
Behavior:Win32/MpTamperIoavClsidDelete.A
Behavior:Win32/MpTamperBlockIoavClsidMod.A
Behavior:Win32/MpTamperAmsiClsidSet.A
Behavior:Win32/MpTamperAmsiClsidDelete.A
Behavior:Win32/MpTamperBlockAmsiClsidMod.A
Behavior:Win32/MpTamperMsMpComClsidSet.A
Behavior:Win32/MpTamperMsMpComClsidDelete.A
Behavior:Win32/MpTamperBlockMsMpComClsidMod.A
Behavior:Win32/MpTamperMsMpComTypelibSet.A
Behavior:Win32/MpTamperMsMpComTypelibDelete.A
Behavior:Win32/MpTamperBlockMsMpComTypelibMod.A
Behavior:Win32/MpTamperBlockDefenderAppIDMod.A
Behavior:Win32/MpTamperBlockAmsiAppIDMod.A
Behavior:Win32/BitsadminDownload.A
Behavior:Win32/BitsadminDownload.B
Behavior:Win32/Leenstic.A
Behavior:Win32/InstalleRex.C
Behavior:Win32/RundllDownloader
Behavior:Win32/RundllDropper
Behavior:Win32/ProcLaunchASEP
Behavior:Win32/InjectRemoteThreadInNotepad
Behavior:Win32/Foosace.M!dha
Behavior:Win32/EdgeInject.A
Behavior:Win32/Simlosap.A
Behavior:Win32/Sarento.A
Behavior:Win32/Remnant.A!dha
Behavior:Win32/PsDrop.A
Behavior:Win32/Remnant.B!dha
Behavior:Win32/RemnantNRI.A!dha
Behavior:Win32/RemnantNRI.B!dha
Behavior:Win32/FlashProtectedModeSpawn.A
Behavior:Win32/PluginContainerSpawnCalc.A
Behavior:Win32/Mytonel.B
Behavior:Win32/Sandeny.A
Behavior:Win32/IExploreSpawnCmd.A
Behavior:Win32/IExploreSpawnCalc.A
Behavior:Win32/TSWbPrxyEscape.D
Behavior:Win32/Mytonel.D
Behavior:Win32/RundllCallsMSInfo.A
Behavior:Win32/ExplorerCallsMSInfo.A
Behavior:Win32/Foosace.N!dha
Behavior:Win32/Miuref.IP
Behavior:Win32/ExplorerSuspLoadDll.A
Behavior:Win32/ProcFileASEP
Behavior:Win32/FynloskiTCPStream
Behavior:Win32/EdgeHomepage
Behavior:Win32/EdgeSearchProvider
Behavior:Win32/EdgeProtectedSetting
Behavior:Win32/EdgeSetting
Behavior:O97M/Donoff.A
Behavior:Win32/ApplicationPowershellLaunch.A
Behavior:Win32/DisableBitLocker.A
Behavior:Win32/DisableBitLocker.B
Behavior:Win32/PossibleHavex.A
Behavior:Win32/SuspWordPressAccess.A
Behavior:Win32/HavexNIS
Behavior:Win32/MiurefNIS
Behavior:JS/Bondat.D!ip
Behavior:Win32/WSUSInjection.A!dha
Behavior:Win64/Lequse.A!dha
Behavior:Win32/InjectedRemoteThreadSqlservr
Behavior:Win32/DnsTamperLib
Behavior:Win32/InjectedRemoteThreadWwahost
Behavior:JS/Bondat.E
Behavior:Win32/EUFI.A
Behavior:Win32/RootsUpdUAC.A
Behavior:Win32/GDad_RegExact.A!dha
Behavior:Win32/GDad_DroppedFiles.A!dha
Behavior:Win32/GDad_IP.A!dha
Behavior:Win32/Dipsind.A!dha
Behavior:Win32/Foosace.B!dha
Behavior:Win32/ShellExecRundll.A
Behavior:Win32/MiurefSendDataNIS
Behavior:Win32/SuspCoCC
Behavior:Win32/SuspCoCCRundll32
Behavior:Win32/MalTempDrop.gen!D
Behavior:Win32/PossibleASEP.AA
Behavior:Win32/EngineInternal_SevilleStartup
Behavior:Win32/SuspLNKFileDropper.A
Behavior:Win32/Foosace.C!dha
Behavior:Win32/DisabledSystemRestore.A
Behavior:Win32/DisabledTaskMgr.A
Behavior:Win32/MsTamperImgDeb.A
Behavior:Win32/ThirdPartyTamperImgDeb.A
Behavior:Win32/SuspFileLocationLaunchingSvchost.A
Behavior:Win32/Figyek.A
Behavior:Win32/Vawtrak.X
Behavior:Win32/NonStdILforSysWinProcs.A
Behavior:Win32/NonStdSvchostParent.A
Behavior:Win32/NotepadCrash.B!dha
Behavior:Win32/FltldrCreatesRemoteThread.A
Behavior:Win32/FltldrCreatesFile.A
Behavior:Win32/Ropest.A
Behavior:Win32/Ropest.B
Behavior:Win32/Ropest.C
Behavior:Win32/Ropest.D
Behavior:Win32/MpTamperMpamInject.A
Behavior:Win32/Gatak.F!dha
Behavior:Win32/DropDocument.A
Behavior:Win32/OfficeProcSuspIntegrity.A
Behavior:Win32/PossibleASEP.AB
Behavior:Win32/BrowserSuspIntegrity.A
Behavior:Win32/LowIlfolderProcSuspIntegrity.A
Behavior:Win32/Gatak.G!dha
Behavior:Win32/Gamarue!nri
Behavior:Win32/EdgeInject.B
Behavior:Win32/EdgeInject.BMS
Behavior:Win32/SIHostInject.A
[/mw_shl_code]
截止日期，2015年10月14日的全部行为定义特征如下：


大家对Behavior定义不要单单认为它仅仅是Telemetry用的哦，实际上AMP的行为定义可是Severe等级，也就是严重威胁，这是部分举例内容：

http://www.microsoft.com/securit ... ased&Package=AM

Behavior:Win32/AptIPMonitor	Severe
Behavior:Win32/AptIPMonitor1	Severe
Behavior:Win32/AptIPMonitor2	Severe
Behavior:Win32/AptIPMonitor3	Severe
Behavior:Win32/AptIPMonitor4	Severe
Behavior:Win32/AptIPMonitor5	Severe
Behavior:Win32/AptIPMonitor6	Severe
Behavior:Win32/AptIPMonitor7	Severe
Behavior:Win32/AptIPMonitor8	Severe
Behavior:Win32/AptIPMonitor9	Severe

http://www.microsoft.com/security/portal/definitions/whatsnew.aspx?Version=1.191.4085.0&Release=Released&Package=AM
Antimalware (Antivirus + Antispyware)                        

Name	Alert Level
VirTool:MSIL/AsmInject.A	Severe
Backdoor:Win32/Bifrose.EF	Severe
TrojanSpy:JS/Broban	Severe
Ransom:Win32/Chendub.A	Severe
Ransom:PHP/Crypweb.A	Severe
Behavior:Win32/Dalexis.B	Severe
Backdoor:Win32/Delf.IW	Severe
Behavior:Win32/DisableRegistryTools.A	Severe
Behavior:Win32/DisableTaskMgr.A	Severe
Behavior:Win32/DoubleClickClickNIS.A!AdSen	Severe
Behavior:Win32/DoubleClickImpNIS.A!AdSen	Severe
Behavior:Win32/DoubleClickMobNIS.A!AdSen	Severe
Behavior:Win32/ETerminateTaskmgr.A	Severe
VirTool:Win32/HookGina.A	Severe
TrojanSpy:MSIL/Keylog.E	Severe
Behavior:Win32/Kovter.A	Severe
Trojan:Win32/Kovter.C!!Kovter.gen!A	Severe
Trojan:Win32/Kovter.E!!Kovter.gen!A	Severe
Behavior:Win32/Kovter.gen!A	Severe
Trojan:MSIL/Louda	Severe
Worm:Win32/Nuqel.gen!A	Severe
Behavior:Win32/ShimUacBypass.B	Severe
Trojan:Win32/Tepoyx	Severe

http://www.microsoft.com/security/portal/definitions/whatsnew.aspx?Version=1.191.3880.0&Release=Released&Package=AM
Antimalware (Antivirus + Antispyware)                        

Name	Alert Level
Trojan:VBS/Bokit.A	Severe
Behavior:Win32/DropperObfuscatorUpatre	Severe
Behavior:Win32/DropperObfuscatorUpatreWithTxt	Severe
Behavior:Win32/DropperSpammerHedsen	Severe
Behavior:Win32/DropperSpammerHedsenWithTxt	Severe
Behavior:Win32/InjectedDownloader	Severe
Behavior:Win32/InjectedDropper	Severe
Behavior:Win32/InjectedInjector	Severe
TrojanSpy:Win32/Ursnif.HJ	Severe

我在之前的内容中故意隐去部分内容没有说，本想实际触发Behavior，然而Windows 10太坚固加上样本的问题，我2015年10月20日测试一天也没能触发Behavior Severe Level的出现，所以我只能发我之前测试的截图了。
刚刚在硬盘中找到几张Behavior Severe Level报法的截图，所以就不引用其他饭友的截图了。
双击触发严重级别的行为监控，阻止威胁运行。



这才是AMP Behavior Monitoring的真正面目，它不单单是行为监控遥测技术这样简单，如果文件有恶意行为到达触发Behavior Severe Level的程度，行为监控将不再等待云端反馈，而是直接阻止进程运行，如果恶意行为没有payload或者没有到达触发Behavior Severe Level的匹配度，就会是行为监控遥测的范围，因此我们正常使用AMP的时候，基本上见不到Behavior报法，因为它几乎没有误报，而现在AMP的云杀plock越来越强，所以大多数的双击也见不到Behavior报法，毕竟AMP对于高危病毒的入库很猛，这就是我们基本上见不到Behavior报法的原因，只能经常见到行为监控遥测。

如果算是今天更新的Behavior Signature，AMP应该拥有一千一百多条定义，这可不是一个小数目了，要知道最著名的智能主防SONAR 第四代才1400左右的特征类型啊，只可惜AMP为了控制误报，Behavior Blocker是很少出现的，大多数还是行为遥测，再加上AMP的云端自动化分析系统和plock杀的效果，我们很难见到AMP行为监控的Behavior报法，但它真的是存在的，千万不要被表面上的什么Behavior Monitoring Telemetry欺骗，实际上AMP平台是存在不错的行为监控和行为分析能力的，只有确认恶意行为特征与Behavior Signature达到很高匹配度的时候，Behavior Severe Level杀，才会出现呢。

再追加几张图SCEP 4.7的测试，令人惊讶的应该是Behavior不仅仅把恶意文件的本体结束运行，更不可思议的是Behavior居然删除了衍生物和启动项，这算啥？是特征码的修复？还是半吊子的回滚技术？不过当时不能确定是不是云反馈的云拦截，因为那时候plock只是一部分应用，而且报毒名是Behavior而不是plock。
半吊子的回滚？还是行为特征的修复？或者云响应以后的云阻止？


可疑行为阻止，同时隔离衍生物文件。


唉，如果发动行为遥测的时候也能有交互功能或者阻止的话，那该多么强啊，可惜微软不会让AMP因为大量误报和弹框而影响体验，所以行为遥测的默认阻止和交互模式，几乎不太可能出现，毕竟AMP是简约高效的免打扰软件！

好了，本帖到此结束，如有错误请大家多多包涵，勿怪

c68111c

微軟要崛起了

EnZhSTReLniKoVa

所以我已经在WIN10上单奔WD了。

绯色鎏金

@驭龙 您的原创分析帖子已被推荐到论坛首页发现&分享频道，感谢提供分享，望再接再厉，分享更多有价值的内容

ctrlz2z

原来如此啊，涨姿势了，大wd要爆发啊

@ericdj 投奔我大WD吧

驭龙

ctrlz2z 发表于 2015-10-18 19:18
原来如此啊，涨姿势了，大wd要爆发啊

不单单是这样，现在只是不拦截也没有回滚，要不然MA的Behavior Monitoring会是非常强的主防，可惜的是没有直接拦截和回滚，现在只是个废材的遥测，没有主防的拦截

国民艾特

在看看吧  暫時先用WD

ctrlz2z

驭龙 发表于 2015-10-18 19:21
不单单是这样，现在只是不拦截也没有回滚，要不然MA的Behavior Monitoring会是非常强的主防，可惜的是没 ...

是啊，虽然没有主防的拦截，但遥测到反应感觉还是不错的，，比如衍生物是svchost那个，删除样本，启动项的注册值也被干掉了，，这算是修复兼回滚吧

HEMM

我不稀饭爸妈踢功能，无云的我享受不到千里之遥来的帮手。

驭龙

ctrlz2z 发表于 2015-10-18 19:41
是啊，虽然没有主防的拦截，但遥测到反应感觉还是不错的，，比如衍生物是svchost那个，删除样本，启动项 ...

这种注册表撤销能力是MA 4.7才拥有的功能，没想到这能跟BMT和MAPS联动，这真的是不错，没想到云杀也有这种本事，云杀带修复的很少见呢，其他家大部分云杀都只是删除样本而已