查看: 4630|回复: 26
收起左侧

[技术探讨] MSE版区诚邀您一起探索MSE面纱下的魅力~Ver1.0beta

  [复制链接]
帅就是帅
发表于 2010-12-12 17:01:31 | 显示全部楼层 |阅读模式
本帖最后由 帅就是帅 于 2010-12-13 13:20 编辑

经过昨天的测试,我们看到了MSE的发力!其实,这个看似简单、智能的MSE含有丰富的内涵,在她神秘面纱下又有着怎样妖娆、妩媚、不为人知的魅力呢?MSE版区诚邀您一起探索MSE面纱下的魅力~[:27:]
那么,我在2L抛砖引玉,希望各路高手能探索一下,互馈饭友~
帅就是帅
 楼主| 发表于 2010-12-12 22:06:30 | 显示全部楼层
本帖最后由 帅就是帅 于 2010-12-13 12:53 编辑

1.MSE关键点(有重复和交叉):基因和启发、动态签名服务、行为监控、网络检查系统、SpyNet社区

2.基因与小红伞的广谱共性和区别?启发是动态还是静态,亦或两者皆有?(似乎有虚拟机)

3.动态签名服务(此签名非数字签名)
一方面MSE这一新的启发式签名利用动态转换技术在程序运行前模仿其行为。MSE 使用这些签名来寻找可疑行为的踪迹、与已知恶意软件相似的特征及其他异常操作,然后询问动态签名服务是应提交该程序进行分析还是将其终止。
另一方面,在进程启动后,Microsoft Security Essentials 还会监控未知程序采取的文件、注册表、网络和内核模式动作,以探查可疑行为。诸如不希望出现的网络连接(试图修改系统的授权部分或下载已知恶意软件内容)等动作都会触发动态签名服务更新请求。

何谓“动态转换技术”?按照后面所说的“在程序运行前模仿其行为”感觉就是动态虚拟启发。
从“另一方面”后,则是行为分析,只是如何(或者行为累积满足什么条件后)才能“触发动态签名服务更新请求”?


4.还是关于这个动态签名服务:
MSE本身就是实时内核监控防御各种威胁,其实时检查内核结构的完整性,一般而言,当有无法通过传统侦测检出的新型Rookit的攻击或者修改时就会向“动态服务签名”发送遥测和更新请求,这个过程可以看成是MSE和微软服务器之间的通讯连接。对于系统的一些程序更改行为首先通过特征、基因和启发检测是否匹配,并会与微软的服务器进行连接继续匹配这种程序,并下载相关信息处理威胁。(而不用等待下一次病毒库更新

5.关于SpyNet:
在SpyNet高级成员模式下,如果检测到由尚未进行风险评估的软件进行的更改,系统将询问您要允许还是拒绝。基本成员不会收到这种提示,更改将被直接允许。

而这个SpyNet,不仅仅只是一般的反馈报告什么的,很明显这里和行为分析与动态签名服务是相关联的,在高级成员模式下会更加交互。但此SpyNet究竟如何作用?是MSE单向提醒用户这个交互过程,还是由于之前的社区反馈,类似云做的双向反馈处理?


6.关于网络检查系统,即win7中mse2.0的NisSrv.exe进程,仅仅知道它基于网络协议防范已知漏洞的攻击,没有更详细的资料了。

7.另外补充一下2.0对rookit防御的改良,随便看看(一般没有提到):
而对于特别难于做出针对性防护的Rootkit恶意软件,MSE采用了大量新技术和改良技术来加强对Rootkit 和其他攻击性威胁的防御:

实时内核行为监控:MSE 的后盾是屡获殊荣的保护引擎,该引擎定期更新。 Microsoft 恶意软件保护中心的反恶意软件研究人员团队为该引擎提供支持,全天候针对最新的恶意软件威胁提供响应,只要计算机内核受到未通过传统签名检测出的新型 Rootkit 的攻击或修改,就会向动态签名服务发送遥测和更新请求。

增强的反隐藏功能:在 MSE 快速扫描和完整扫描过程中,我们支持采用直接文件系统解析(“Rootkit Revealer”方式扫描),这样我们就能够识别并删除被 Rootkit 隐藏在文件系统中的程序和驱动程序。

增强的实时 Rootkit 删除功能:Microsoft Security Essentials 可在清理过程中动态加载新的内核模式驱动程序,这样便可采取积极行动,从而成功删除部分高级 Rootkit。

Microsoft Security Essentials 客户还可通过产品支持访问我们的独立系统清理程序工具,该工具允许用户启动 Windows PE 环境,并在系统完全停止活动时对其进行扫描/清理。

8.实例说明一下:
昨天扫描区的成绩有目共睹,以前因为个人原因,没有装虚拟机,也是懒,没有去好好研究下,昨天也是实机沙盘测试的,也有几个要点:
◆“动态签名服务”的触发,并不仅仅是在双击运行后的行为监控过程,即使单纯的扫描过程也会出现,曾经在扫描区测试中出现过。
◆“动态签名服务”触发了,既然需要下载,必然依赖联网,和传统的主防也有很大差别。另外,所下载的处理信息是特征型还是规则型?如果断网,是否“动态签名服务”就会失效(虽然前面说依赖联网)。
◆正因为有了“动态签名服务”的下载过程,MSE也可以二次扫描,类似云扫描。
◆MSE的行为监控是非交互式的,只有它最终判断结果危险时才会提醒用户去处理,所以不会有类似毛豆的各种弹窗。另外,MSE的“主防”也感觉是那些4D的大杂烩,看不到,不清晰
◆关于入库,经过动态签名服务后查杀的样本很快就入库了(似乎是特征码查杀?)而在扫描过程结束后会提示你的“发送”,大多都是威胁等级较高,也很快入库。同时在行为监控过程中拦截后提示你的“发送”入库也是较快的。未验证,待高手试试,或者找找相关资料,嘿嘿,偷懒一下。


帅就是帅
 楼主| 发表于 2010-12-12 22:43:34 | 显示全部楼层
本帖最后由 帅就是帅 于 2010-12-12 23:20 编辑

本来不打算谈论这个话题的,因为相关资料实在太少了,很多东西都是自己的推测,出于负责任的态度不敢瞎说,但为了不使大家误解MSE,并激发对MSE的探索,活跃MSE版区的氛围,故提出来大家一起讨论学习。更希望大家能对MSE有一个新的认知,感受“简单”事物的“不简单”之处,体会MSE的独特魅力~
当然,高手研究后可另发帖说明,奖励嘛,不会亏待乃们的,MSE鼓励技术原创~~

klinxun
发表于 2010-12-12 23:36:00 | 显示全部楼层
本帖最后由 klinxun 于 2010-12-12 23:42 编辑

帅哥v5……看来mse有社区和主防的。为表支持,家中机器用正版win7号,64位,装上mse。适合家人用啊~
chenxi10000
发表于 2010-12-12 23:46:22 | 显示全部楼层
前排支持 纯支持 要人气 你懂的
tydc1990
发表于 2010-12-12 23:47:24 | 显示全部楼层
恩。。是要好好的支持一下~~  
期待高手进来详解。
帅哥 幸苦了。。
mexth
发表于 2010-12-13 07:53:25 | 显示全部楼层
支持一下了,奈何想说得基本都被帅帅说完了,有了更新的东西我也来补充下

评分

参与人数 1人气 +1 收起 理由
帅就是帅 + 1 支持探索~

查看全部评分

永远0不再犹豫
发表于 2010-12-13 08:50:00 | 显示全部楼层
好强悍哦
Rex_mse
发表于 2010-12-13 08:56:09 | 显示全部楼层
这个必须顶,帅帅最近为版区做的努力大家是有目共睹的
polluxkyo
头像被屏蔽
发表于 2010-12-13 09:04:18 | 显示全部楼层
W7一直都是微软套装
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 06:41 , Processed in 0.130363 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表