MSE系统事件背后的故事

显示全部楼层 · 发表于 2010-3-14 17:55:58

本帖最后由 jason_jiang 于 2010-3-17 09:26 编辑

MSE是一款家用安全软件，因此微软在开发MSE的过程中，始终坚持使其简便、易用。
但对某些用户来说，这种设计思想使MSE少了很多“折腾的乐趣”。
比如，你不知道一个检测到底是基于特征、基因，还是启发。
其实，MSE确实会告诉你这些，不过不是在自己的界面里。

以下操作步骤基于Win7。由于我手里没有XP系统，因此无法提供步骤，XP用户请自己尝试。

打开控制面板，切换到大图标模式，进入管理工具——事件查看器，如图进行操作

为新视图起名，点确定

然后进入这个视图，就会看到所有的报毒事件

双击一条事件，打开事件详细信息（注意这个窗口可以拖动右下角放大）。看“检测类型”一栏，
“实际”=特征
“通用”=基因
“启发”=启发

这个方法的原理就是筛选出1006事件，这是MSE报毒的事件ID。
如果在第三步把1006换成其他ID，就可以看其他事件的详细信息。
参考：
1000——扫描开始
1001——扫描完成
1002——扫描中断
1007——已执行处理
1008——执行处理时出错
1013——清空MSE日志
1015——检测到可疑行为
2000——病毒库已更新
2001——病毒库更新出错
2002——引擎已更新
2004——加载病毒库时出错，自动回滚
2010——使用了动态签名服务
2011——丢弃旧的动态签名
5000——监控已启用
5001——监控已禁用
5007——设置已修改
5101——因正版验证失败，MSE拒绝工作

最后附一张图，这是用WinRAR解压样本时，监控产生的消息，随便看看吧

显示全部楼层 · 发表于 2010-3-14 18:06:02

帖子名字可以改成'MSE背后的故事“

显示全部楼层 · 发表于 2010-3-14 18:09:09

本帖最后由 jason_jiang 于 2010-3-14 21:10 编辑

回复 2# NobleT

那就改一下试试

显示全部楼层 · 发表于 2010-3-14 18:09:16

本帖最后由 JusT.Like 于 2011-3-9 01:34 编辑

谢谢分享...

显示全部楼层 · 发表于 2010-3-14 18:10:38

大先生细心，我们也细心阅读

原先只是特定时留意事件查看器~

显示全部楼层 · 发表于 2010-3-14 18:30:39

通过正版验证的OEM版WIN7，但一直都没用微软的杀毒软件。

显示全部楼层 · 发表于 2010-3-14 18:37:05

可能是微软觉得对于绝大多数用户来说，只要给它提供安全保障的服务就可以了，至于这里面的详细原理是什么，他们并不关心。

显示全部楼层 · 发表于 2010-3-14 18:40:09

很不错的文章~~RQ恢复后补上

显示全部楼层 · 发表于 2010-3-14 18:40:40

可能是微软觉得对于绝大多数用户来说，只要给它提供安全保障的服务就可以了，至于这里面的详细原理是什么， ...
atongmu2 发表于 2010-3-14 18:37

有道理，除了爱折腾的

显示全部楼层 · 发表于 2010-3-14 18:43:13

可能是微软觉得对于绝大多数用户来说，只要给它提供安全保障的服务就可以了，至于这里面的详细原理是什么， ...
atongmu2 发表于 2010-3-14 18:37

我就是这样，我只看结果，对过程不重视。

[技术探讨] MSE系统事件背后的故事

评分