解密最近MSE查杀突飞猛进的原因之一，MMPC技术更新！(重新编辑翻译）

一晴空

wy1091727248 发表于 2011-7-9 20:19
好的呀，求之不得我1楼，你2楼，行不？

好吧~~~~今晚加油了啊我能不能求助Google....

飞霜流华

一晴空 发表于 2011-7-9 20:21
好吧~~~~今晚加油了啊我能不能求助Google....

都行，这是要是人工，就是头牛也得累死，谷歌、度娘，统统上~~~

驭龙

wy1091727248 发表于 2011-7-9 20:19
好的呀，求之不得我1楼，你2楼，行不？

白狮子，你好欺负人啊，那2L是1L的两倍半啊

不过这玩意翻不翻译都无所谓的，只需要翻译重点的几段文字就可以

一晴空

wy1091727248 发表于 2011-7-9 20:22
都行，这是要是人工，就是头牛也得累死，谷歌、度娘，统统上~~~

狮子，怎么回事~~~

飞霜流华

zdshsls 发表于 2011-7-9 20:24
白狮子，你好欺负人啊，那2L是1L的两倍半啊

不过这玩意翻不翻译都无所谓的，只需要翻译重点的几段文字 ...

其实我要翻一楼不是因为少，而是我已经翻好了6段了，所以坚决不能让清空抢走
我再通知下晴空吧，省的他全翻了，不能太累着他~~

飞霜流华

一晴空 发表于 2011-7-9 20:27
狮子，怎么回事~~~

这是让你借助工具减轻工作压力，下午我翻的时候，正好坐在机房的窗户口，动不动就有往下跳的冲动，能减轻些工作量就少些吧，对了，2楼的似乎比1楼多了不少，所以2楼的第15~18段就也给我吧~~

一晴空

微软恶意软件研究和响应中心
本文件仅供参考。 Microsoft不做任何明示，暗示，或法定的，在本文档的信息。
这份文件已打上“仅供参考”的记号，信息和本文件中所表达的意见，包括URL和其他Internet网站引用，如有变更，恕不另行通知。您承担使用它的风险。
版权所有© 2010 Microsoft Corporation版权所有。保留所有权利。
此处提及的实际公司和产品名称可能是其各自所有者的商标。

1


目录表
执行摘要................................................ ........................................... 3
原恶意软件............................................... .............................................. 4
当今的恶意软件：影子经济............................................ ................ 5
人们背后的MMPC .............................................. ................................... 8
MMPC任务................................................ ................................................ 10
帮助保护我们的客户和系统............................................. ........... 10
快速响应爆发的恶意软件............................................. ...... 11
在威胁前瞻和保护中心给客户的建议.......................... 11
MMPC网站................................................ ........................................ 11
恶意软件百科全书................................................ ............................. 12
MMPC博客................................................ .............................................. 12
安全情报报告............................................... ..................... 12
参与的伙伴关系............................................... ................................. 13
复杂的案例研究：流氓有害软件.................................... 14
打击流氓有害软件.............................................. ................ 15
统战部：微软安全中心............................................ ........... 16
微软安全工程中心.............................................. ........ 16
微软安全响应中心.............................................. ............ 16
结论................................................ .................................................. 。 18
附录：资源............................................... ........................................ 19


2
执行摘要
有害软件（恶意软件），被设计以损害用户的计算机，一台服务器，或网络;或以造成伤害的计算机用户，窃取个人或敏感信息，通过各种欺诈用户骗取资金，和其他有害的业务。蠕虫，木马，病毒，和流氓软件的一些最流行的恶意软件类型。
本文讨论的恶意软件的不断变化的性质，并介绍了Microsoft恶意软件保护中心（MMPC），这有助于帮助世界各地的恶意软件和潜在有害软件危害下的计算机和系统反恶意软件研究人员组成的团队。
研究和开发工作的MMPC支持全世界每个月600多万台计算机系统上广泛运行的Microsoft产品和服务范围。从这些系统的数据分析中提供了一个高层次的洞察力，使MMPC迅速和有效地应对恶意软件爆发无论在何时何地发生。对于客户端的反恶意软件技术，MMPC支持更多的技术讨论，请参阅微软反恶意软件技术1。

3

                                                   
1 http://go.microsoft.com/?linkid=9768949

恶意软件的起源
恶意软件在20世纪80年代开始，如在1986年的主机引导扇区病毒，1988年互联网的分布式莫里斯蠕虫程序。这些病毒大多被设计为用户创造的浩劫。使用受感染的计算机的人可能会看到嘲笑消息或奇特的视觉效果。
早期恶意软件试图在地下世界与另一个连接在戒备森严的病毒交换（VX）论坛，并了解他们所创建的破坏吹嘘黑客的恶名和尊重。微软首席架构师Jimmy Kuo在MMPC说，在那些日子里，一个软件程序员可以看看恶意代码的完整性，在一个地方，并破译它是做什么。这是独特的理解。
其实，早时引导扇区病毒是非常小的。他们融入一台计算机的主引导记录，其中只有512个字节。恶意代码不能超过大约100个​​字节，这就意味着，恶意软件可能只有30至40指示计算机组成。
在20世纪90年代后期和21世纪初，宏病毒和其他邮件群发（如Melissa和I LOVE YOU），远程访问木马（大鼠）开始广泛散发。这些程序中使用电子邮件，即时消息或电子邮件附件，自己从一台计算机传播到另一台。黑客使用恶意软件破坏网络流量或骚扰目标网站。例如，他们可以利用分布式拒绝服务（DDoS）攻击，被洪水攻击的网站接收了大量的流量，网站会崩溃，使合法用户无法使用。 （欲了解更多有关恶意软件相关的术语的信息，请参阅MMPC词汇。）
即使恶意程序开始使用1000字节到2000字节，他们足够小，程序员也可以把握代码尺寸和它的目的是做什么。 Visual Basic ®中编写的宏病毒在Microsoft ®开发系统可以打印和分析

4


当今的恶意软件：影子经济
如今，流离失所的专业罪犯成为业余病毒作者。 VX论坛已演变成广泛的网上黑市的产品和服务提供了一个全面的选择。
许多这些产品和服务有关的僵尸网络，它可以用来分发和安装其它恶意软件。僵尸网络是已经感染了恶意软件的电脑网络和犯罪分子暗中进行远程控制。恶意软件往往随着时间的推移进化成僵尸网络。越来越多，恶意用户创建简单的客户端和移动到云僵尸网络的复杂性。
攻击者经常使用社会工程手段，引诱用户安装恶意软件。社会工程，需要利用人性，而不是在软件中的缺陷。例如，网络钓鱼诈骗，使用虚假电子邮件或试图欺骗人泄露个人信息的网站。
一个僵尸网络可以被用来作为一个平台，为各种犯罪活动，根据经营它的人如何选择配置各个节点。被感染的计算机组成的僵尸网络发送垃圾邮件，攻击其他计算机，进行DDoS攻击，并试图访问机密数据。用户往往不知道自己的电脑被用于恶意目的。僵尸网络也可以用来进行点击欺诈，迫使用户访问每次点击付费的网站。
下图显示了在行动的僵尸网络的一个例子。

5



僵尸网络的创作者可能会尝试个别的恶意活动，或他们可能会返回一个黑市论坛和宣传其新的网络服务。卖方可提供恶意软件的工具包，使未来的僵尸网络的创作者建立自己的僵尸网络。现有的僵尸网络的所有者可以租他们的网络，垃圾邮件和攻击，或以新业主出售的机器人集合。
其他卖家提供的被认为不太可能采取执法的命令和控制服务器的IP地址或主机列表。或者，他们可能会出售，如加壳公用事业和加密，他们声称由目前的反恶意软件产品，使恶意软件检测不到。
下图显示了两个例子僵尸网络软件和服务在网上黑市出售。

6


                  
                  
黑色的市场往往具有合法电子商务的特点，如“卖家核实”经营者断言的网站是值得信赖的，甚至很多昼夜为了购买技术支持，这种状态的黑客日子已经一去不复返了。恶意软件是目前与世界各地的有组织犯罪。

7


人们背后的MMPC
恶意软件的崛起，产生新的领域的专家：反恶意软件的开发和研究人员。这是微软反恶意软件首席研究员彼得 - 费利，代表了发展反恶意软件行业前甚至存在于现在的MMPC这样的人。
彼得在20世纪80年代曾在高中使用苹果II系统。海盗（病毒）也相当猖獗，并迅速蔓延，这是病毒的早期形式。正如彼得解释说，“它成为写反恶意软件的必要条件，为了保护自己的软件程序和我的朋友。它能够促进我们之间的竞争思考潜在的新的病毒行为，然后击败他们“
另一个长期从事反恶意软件业务的专家是微软病毒研究和响应中心的管理者Jakub Kaminski。访问和控制计算机通过直接输入/输出，基本输入/输出系统（BIOS），操作系统调用是最有效的方式工作，对早期的电脑，Jakub和他的同事们没有经验。为反恶意软件研究员打好了良好的基础
“我一直在做一些低层次活动，编程和调试一段时间，在不同的平台和微处理器，，”Jakub说，“通过8080，8085，8086，Z80的。它只是发生在90年代初，我的知识和经验相匹配，是一个潜在的反恶意软件研究员的要求。开始在墨尔本的Cybec的工作与反恶意软件研究开始了我18年的职业生涯。“
作为今天MMPC的一个经理，Jakub仍然享有一个实用的方法：“我期待在恶意软件样本，参与实验室的日常工作​​。”但Jakub可以作证，20世纪90年代初以来，反恶意软件领域经历了极大变革。
“前所未有的，有一个恶意软件和反恶意软件相关的信息，”他说。 “与此同时，有一个有海量的信息库。不幸的是，大部分的信息或相互矛盾的数据或相同的（真实的或不真实的）的故事只是平淡返流。一是学习良好的可靠的来源和值得信赖的人的价值。当然，理想的是靠自己，但恶意软件在过去几年不断增多

8


多样性已几乎不可能。这些天，我依靠我的队友们集体的大脑。“
2006年，微软聘请了资深病毒猎人温尼文森特担任MMPC总经理。文森特带来了超过15年的经验和专长，微软，他同时在赛门铁克和McAfee的反恶意软件的反应实验室任职并有接触和联系。
文森特也带来了反恶意软件的研究和响应的视野。他知道，作为恶意软件的复杂性和隐藏风险的扩大，反病毒将需要一个新的专业知识水平。今天，反恶意软件研究员需要为数学与计算机安全奉献激情。

9


MMPC的使命
MMPC在行业最有经验的反恶意软件组织之一。它的使命是帮助保护客户和系统，快速响应恶意软件爆发，提醒客户，从事宝贵的伙伴关系。
帮助保护我们的客户和系统
微软反恶意软件产品和服务，帮助保护每个月在270个国家和地区的600多万台计算机。
MMPC团队密切合作，与微软的产品团队，以帮助确保产品有最新的反恶意软件定义，并能提供准确和可操作的，可用于进一步的研究中使用的遥测数据。 MMPC的反恶意软件研究提供许多微软的产品和服务，包括：
·Microsoft Security Essentials
· Microsoft Forefront® Endpoint Protection
· Windows Live™ products and services
· Internet Explorer®
· Bing™
· Microsoft SharePoint® products and services
· Microsoft Malicious Software Removal Tool (MSRT)
· Windows Defender
· Windows Intune™
文件扫描工具，所有这些技术使用微软的反恶意软件引擎定义文件，它包含数以千计的恶意软件和潜在有害的软件的不同检测签名。这些检测签名的安全性更新的关键环节。他们不断更新收集遥测。
微软安全产品所产生的遥测数据，包括对一般的计算机的地理位置（不准确的地方或个人信息）的信息。这个数据使MMPC能够比较在世界各地的不同地点的感染率，模式和趋势。

10


适用于IT专业人员的专家提示：
“了解你的企业，并学习如何消除像FunLove或Conficker蠕虫病毒。十年过去了，我们仍然有一些老的网络用以感知病毒。“
乔哈特曼，微软的首席架构师，MMPC
快速应对恶意软件爆发
从数以百万计的电脑接收遥测和经营的研究和响应实验室的全球网络，MMPC可以识别新的威胁，在几小时内。实验室在雷蒙德（美国华盛顿），都柏林（爱尔兰）和墨尔本（澳大利亚）与额外的研究人员在帮助世界各地的其他地点，确保响应团队始终在线。
适用于IT专业人员的专家提示：
“不要忘了紧急恢复过程。你迟早需要那些。您可以选择使用就可以了。“
Jakub，微软病毒研究和响应管理，MMPC
客户就威胁环境和保护
MMPC通过多种渠道向公众散布恶意软件的信息和安全信息。

MMPC网站
MMPC网站是一个恶意软件的信息，安全信息和定义更新的中央来源。这个网站还提供了一个地方，客户可以提交病毒到MMPC以分析样品恶意代码。因为威胁可以有所不同的产品，区域，和客户，遥测从客户端获得

11


意见书帮助MMPC更好地了解和预测的威胁环境。
恶意软件百科全书
在MMPC网站，恶意软件的百科全书提供数千当前面临的威胁，包括有关每种威胁的技术信息的详细分析，读者如何能确定自己的电脑是否被感染，以及如何从威胁中恢复或完全避免接触到它。
适用于IT专业人员的专家提示：
“允许您信任的应用程序，阻止一切其他非信任程序。”
彼得费利，微软首席反恶意软件研究员，MMPC
MMPC博客
世界各地的专家作出贡献，如当前的恶意软件爆发和安全会议的主题MMPC博客。 MMPC博客不仅讨论微软的产品，也关注攻击和漏洞，其他广泛使用的软件和网络属性，如流行的社交网站。
适用于IT专业人员的专家提示：
“不要启用ActiveX控件，在浏览网站时”
彼得费利，微软首席反恶意软件研究员，MMPC
安全情报报告
微软定期发布的安全情报报告（SIR），一个不断变化的威胁环境和趋势的综合评价。来自世界各地的600多万台计算机的数据进行详细分析，帮助IT专业人员，健全的风险管理决策和确定潜在的调整，其组织的安全态势，如更严格的安全政策。它还提供了来自Microsoft IT小组和产品，如必应（bing）和Internet Explorer团队的案例研究。

12


适用于IT专业人员的专家提示：
“如果你想为自己获得豁免，不让它使用策略。”
Jimmy Kuo，微软的首席架构师，MMPC
SIR网站上的信息分为以下部分，以帮助IT专业人员发现正是他们正在寻找他们在演示文稿中的信息，企业决策者：
·精选情报的重点专题，如僵尸网络或特定的恶意软件家庭。
·主要研究结果揭示了来自微软的安全分析师的数据和趋势分析。
·参考指南提供的主要结果（涉及的讨论点的定义）。
·风险管理建议，以帮助保护组织的软件和人的技术。
·全球威胁评估研究全球僵尸网络和恶意软件的感染率。
参与伙伴关系
MMPC从事广泛的反恶意软件行动。它与研究人员，合作伙伴，竞争对手，以及独立软件厂商（ISV）全球合作。它也与执法机构寻求逮捕袭击者。

13


复杂的案例研究：流氓安全软件（FAKEAV）
一个特别有害的恶意软件类型，说明复杂的恶意程序已成为流氓安全软件，也被称为恐吓软件。流氓安全软件的设计看起来像合法的安全软件，有时甚至模仿Windows安全中心，如下图所示。（即是fakeav之类的）

当一台计算机实际上不是病毒，流氓安全软件警告中可能会报告一个病毒。

14关于社工学利用-----FAKEAV


流氓安全软件下载后，打入一个过程的计算机名为injection。进入注册表，注入合法的程序本身，然后删除自身的原始版本。
用户开始看到覆盖在屏幕上的弹出式广告，当他或她浏览互联网。渐渐地，恶意软件禁用更多的功能，造成不便的用户，并引诱他或她付出什么，看来是一个反恶意软件程序。
用户支付程序后，程序提供代码，删除它引起的弹出式广告和其他干扰。但是，它留下的恶意代码运行的其他部分。例如，它可能会禁用Windows更新或禁用合法的反恶意软件的更新。它可能会阻止用户访问合法的反恶意软件供应商的网站。
确保它是合法的反恶意软件，流氓安全软件可能安装其它恶意软件。该软件可能潜伏，直到它检测到一个特定的事件，如当用户输入一个银行帐户号码，。然后，它激活，并开始收集用户的击键，记录密码，社会安全号码，出生日期，以及其他个人信息。
诈骗者可能再把用户的信用卡号码或密码卖给其他犯罪分子。他们可能会改变他们的公司名称，改变信贷机构，他们使用的是条例草案的用户，并消失才可确定。
打击流氓安全软件
回想了一会儿引导扇区病毒，100字节和30至40指令受感染的计算机。一个反恶意软件研究员打击流氓安全软件面临不同规模的问题：这些恶意程序运行到100千字节的范围内，或者30000的指令。
当今的恶意软件通常是压缩或加密。之前研究人员就可以开始评估代码，他们必须确定压缩算法，解压缩软件，然后破译它。评估的代码，意味着不仅是明显的恶意软件，而且键盘记录器或其他隐藏的方案，可能在稍后的日期开始收集数据，或者利用计算机控制的。
它的这种复杂的攻击软件，需要深厚的专业知识水平。 MMPC团队的专业知识，但它不单独工作。
-----------------------------翻译完成-------------------分割线----------------------------------------------------

飞霜流华

一晴空 发表于 2011-7-9 21:58
微软恶意软件研究和响应中心
本文件仅供参考。 Microsoft不做任何明示，暗示，或法定的，在本文档的信息。 ...

纳尼这么快，看来我要加紧了~~~

mexth

一晴空 发表于 2011-7-9 21:58
微软恶意软件研究和响应中心
本文件仅供参考。 Microsoft不做任何明示，暗示，或法定的，在本文档的信息。 ...

不容易啊，支持一个了

灰常银

MSE几个进程了（我烦多进程的） 资源占用怎么样（最好有截图，和小a比呢） 如果这两个都满意的话 就用MSE 毕竟修复能力不是小a能比的 只是可惜了小a的网页防护了（小a有时侯不稳定也是个问题）