Microsoft Security Essentials 2.1 特征码及行为分析防御测试

hj5abc

主动防御 发表于 2011-8-25 00:02
你所谓之判断是否需要上报，扫描完成后就出现相关弹框了，我的测试贴里就有。

这应该是启发分析器的工 ...

扫描或运行的可疑项都会要求上传SpyNet

运行后触发行为监控会要求联网查询该文件是否病毒(应该是云端的库，只是还未入本地库)，或者要求上传；

MSE有行为特征码，不过只是用来监视，不用做直接拦截。

比如，我常用7zip解压病毒，经常会受到上传7zG.exe文件，因为MSE判断7zG.exe是可疑的，会在日志中出现Behavior:Win32/DroppedKnownMalware的检测项。但是MSE不提供直接拦截功能，和我们平时说的主防差别很大。

klinxun

hj5abc 发表于 2011-8-25 00:11
扫描或运行的可疑项都会要求上传SpyNet

运行后触发行为监控会要求联网查询该文件是否病毒(应该是云端的 ...

记得dl123100大牛说过mse没有hips的……
双击报毒是动态签名的作用吧？

hj5abc

klinxun 发表于 2011-8-25 00:22
记得dl123100大牛说过mse没有hips的……
双击报毒是动态签名的作用吧？

对，不过就我用MSE时运行无数样本都没见过一个。

或许真像MMPC介绍的那样，针对emerging threat那我就没什么可说了；这就说明可能，对于高度危险流行的样本，MMPC对紧急的病毒先入到云端库，缩短了下载定义再查杀的时间，而触发这种查询云端库的就是MSE存在的诸多传感器，其中包括行为监视。仅此而已。

3729833

我都不指望MSE的行为防护能起作用，SONAR才是王道

一晴空

hj5abc 发表于 2011-8-25 00:30
对，不过就我用MSE时运行无数样本都没见过一个。

或许真像MMPC介绍的那样，针对emerging threat那我就 ...

正解
确实是如此，一般由行为监控触发动态签名服务，再上传至云端

あ掵㊣峫淰℡

hsezbmh 发表于 2011-8-24 14:43
从广义上来说mse的行为监控也算是主防，但算是很基础的，原来测试mse的时候曾经做过双击测试，一般双击能拦 ...

这一个两个只拦截繁衍物

あ掵㊣峫淰℡

主动防御 发表于 2011-8-24 16:25
这确实低了点。。

据说Bitdefender的活病毒控制，BHV效果不错，但是没回滚。

bit不仅没回滚，而且误报很大

sonar和idp是同宗

あ掵㊣峫淰℡

hj5abc 发表于 2011-8-25 00:30
对，不过就我用MSE时运行无数样本都没见过一个。

或许真像MMPC介绍的那样，针对emerging threat那我就 ...

1月份我测试的时候拦截过，可惜只是拦截繁衍物

bbs2811125

主动防御 发表于 2011-8-24 14:41
千万别加HIPS。

我喜欢瑞星木马行为，360云智能主动防御（单步拦截），诺顿 SONAR（多步分析）以及 微 ...

ESET的那个hips有点像早期的毛豆，当然效果另说
鼠标点得可以让你抓狂，除非你允许所有