微软是如何做到这么详细的截获日志的？

ELOHIM

————————————————————
这是微步在线的关于此次欧洲爆发 Petya 的分析并引用了微软官方的分析。
功能如何强大才能做到这么详细的截获？
功能强大势必带来隐私担忧。
微软如何保持隐私保护和大数据同时生效？
————————————————————
下面引用一下MAPS的说明：

使用此策略设置，可以加入 Microsoft MAPS。Microsoft MAPS 是可帮助你选择如何应对潜在威胁的在线社区。该社区还可帮助停止新恶意软件感染的传播。

    你可以选择发送所检测到的软件的基本信息或附加信息。附加信息可帮助 Microsoft 创建新定义，并有助于保护你的计算机。该信息可能包括计算机上检测到的项的位置等内容(如果有害软件已删除)。将会自动收集和发送该信息。在某些情况下，可能会无意中将个人信息发送到 Microsoft。但是，Microsoft 不会使用这些信息来识别你的身份或与你联系。

    可能的选项如下:
    (0x0) 禁用(默认值)
    (0x1) 基本成员身份
    (0x2) 高级成员身份

    基本成员身份: 将所检测到的软件的基本信息发送至 Microsoft，包括软件来源、你应用或系统自动应用的操作以及操作是否成功。

    高级成员身份: 除了基本信息以外，还会向 Microsoft 发送有关恶意软件、间谍软件和可能不需要的软件的详细信息(包括软件位置、文件名、软件运行方式以及对计算机产生的影响)。

    如果启用此设置，则将使用指定的成员身份加入 Microsoft MAPS。

    如果禁用或未配置此设置，则不会加入 Microsoft MAPS。
  
    在 Windows 10 中，基本成员身份不再可用，因此将值设置为 1 或 2 可将设备注册为高级成员身份。

高级成员身份的这些（软件位置、文件名、软件运行方式以及对计算机产生的影响）你认为是隐私内容吗？
第三方的隐私声明里面提出他们又可以随意触碰用户哪些东西呢？？
——————
根据近一个月的观察发现，Windows 10 Windows Defender 的引擎，计算机一天十几个小时在线但是很少联网或者根本不联网。
MpCmdRun.exe也只是更新病毒库和扫描样本的时候联网。当前任务完成以后自动断开连接。
当然，没有测试双击情况下引擎是否联网查询发送样本的信息。
同时并没有统计 svchost.exe 的网络操作。
个人认为 WD 有独立的引擎和命令行操作方式应该不会使用 svchost.exe进行操作。
svchost.exe是windows udpate 更新时调用的。
WD默认的三种更新源，只有从 Windows 更新服务器更新时才使用 svchost.exe，
使用MMPC参数进行更新都是直接调用的自己的 GUI 和  MpCmdRun.exe执行。
——————
那么，第三方安全软件是怎么进行云拉黑和收集信息的呢？

hez2010

微软自己要联网难道还会让你检测到
再说隐私策略在那里摆着，收集的信息都是匿名并受到保护的。
还有，即使系统不收集你的信息，你的操作行为照样在网络营运商的监视下一清二楚。
想要完全不受监视？不存在的。除非物理断网（逃