关于“帅帅”对Z龙说的MSE监控机制质疑的一些解释与测试【仅供参考】

驭龙

Z龙，绝不是一个有错误不承认的人，就像以前我有任何错误，我都会主动承认，但是这次，我在没有把我自己打败之前，我绝不会因此道歉，毕竟我还是不认为帅就是帅说的完全正确，如果我证实是我错了，我一定会道歉


帅就是帅在别的帖子里，跟Z龙说：

那个帖子里，仅仅因为排除火狐进程就定论MSE的监控不是基于硬盘读写而是进程的说法也是有错的排除进程后，该进程的所有操作包括读写硬盘内存神马的都排除了，其实并不是楼主的结论。。。。

所以，以前所谓的卡exe解决方案和把MSE当扫描器没啥区别。。。。

今天Z龙来做两个小测试，Z龙还是个人感觉MSE不是实时监控硬盘的读写，所以做这个测试，不能百分百的正确，所以仅供参考。

如果谁能证明MSE拥有像赛门铁克产品那样对硬盘拥有真正读写监控功能，Z龙将更正之前帖子里的错误



===================“监视计算机上的文件和程序活动”功能的测试========================

这是MSE帮助文档里对“监视计算机上的文件和程序活动”功能的描述：
该选项用于监视文件和程序何时开始在您的计算机上运行，然后通知您它们所执行的任何操作以及对它们采取的操作。 这很重要，因为恶意软件可以使用您安装的程序中的漏洞，在您不知情的情况下运行恶意软件或不需要的软件。 例如，在您启动某个经常使用的程序时，间谍软件可以在后台运行它自身。 Microsoft Security Essentials 会监视您的程序并在检测到可疑活动时向您发出警报。

通过帮助文件上的内容显示“监视计算机上的文件和程序活动”功能是监控程序的活动和读写，因此Z龙拿这个功能做一个小测试。











通过上面的测试，我们可以发现在不关闭实时监控功能，仅关闭“监视计算机上的文件和程序活动”功能的情况下，MSE的实时监控并没有监控记事本写入硬盘的病毒代码，所以Z龙还是认为MSE的实时监控，不是监控硬盘的直接读写，而是监控其它程序对硬盘的读写。

当然本测试还是不能代表一切，因为也有可能“监视计算机上的文件和程序活动”功能就是MSE 的实时监控，在关闭“监视计算机上的文件和程序活动”功能以后，MSE会提示实时监控关闭。

PS：Windows8系统里的Windows Defender已经采用了新技术，将使用文件系统过滤器来进行实时监测和防护
，所以再讨论MSE的监控系统是不是真正的读写硬盘监控，已经毫无意义。


===================排除Explorer以后，MSE真的在那只能是扫描器？==================











通过上面的测试，可以发现排除Explorer以后，MSE还是拥有实时监控能力，只是不对Explorer进行监控，如果遇到注入Explorer的病毒，MSE可能不会百分之百的报毒，所以排除Explorer虽然不卡，但是，还是不要轻易排除，不过对于上网习惯好的朋友来说，也不会有太大危险

驭龙

以上测试仅供参考，不能代表一切，仅是想说说Z龙为什么认为MSE不监控硬盘的直接读写的想法，别无他意，Z龙不会回复本帖，因为这个讨论已经毫无意义，因为Windows 8 内置的WD已经改变监控机制，MSE 3也必将改变，所以这个话题没有讨论的意义

mllyx

昨天已经卸载了MSE学习下

帅就是帅

好吧，说一点点话吧，小白一个，不敢夜郎自大，嘴笨，可能表达不太好，望海涵。

>1 LZ把火狐进程排除了，然后下载了恶意样本到硬盘，不报，故得出MSE的监控是基于进程而不是监控硬盘读写。

其实我强调的是这个逻辑错了。。。得出判断太草率了。。。

>2 LZ把explorer.exe给排除了，当然打开文件夹复制粘贴神马的都不卡了，问题是，这样安全吗？

难道malware就不能比如用CreatThread函数创建线程注入explorer.exe后为所欲为嘛。。。
举一个不恰当的比喻，一个士兵满身黄金甲沙场杀敌，巴特，他脱了裤子！so，一枪爆了他的菊就很easy了。。。
我说这样做和把MSE当扫描器没啥区别了是这个意思，不是说从此杀软不能监控，士兵木有防御力了（好歹他有盔甲吧）。。。
其实我认为，版主有时候说话，一些普通会员就会完全当金科玉律了，这样一来，可能在发表观点时要稍微谨慎一点，我自己确实无知，但真心不希望自己不负责任误导了不止三五个会员朋友，所以，有时候谨小慎微一些并不是不好。。。

>3 有时候呢，一些帮助文档，包括一些官方工程师的话，并不一定是正确的。。。

一些东西是为了帮助受众更容易使用产品，并不是从原理上的解释，甚至不少官方工程师的话都是错的或者可笑的，这一点想必很多大牛都有感受，所以，自己的学习、理解和领悟就很重要了。

坦白说，我自个都没弄明白为啥单独有个“监视计算机文件和程序的活动”选项，按我的理解和behaviour monitor 没啥差，本来就应隶属于监控嘛。。。但不是如LZ说仅监控读写硬盘，何况读写也有内存其它吧。。。。

稍微PS下，别说所谓的病毒代码就是EICAR的测试代码就好。。。

>4 其实呢，监控是一件很伟大的事情，不同的产品可能有不同的机制，比如同一样本：
①扫描报，监控报；②扫描不报，监控报；③扫描报，监控不报。
以上三种现象可能就是在同一个杀软中的。。。

扫描是遍历的，就不说了，监控捏，比如说，可能同一malware写入硬盘不同目录，这个杀软可能报或者不报。。。
可能有的杀软的监控有不同加权的阈值和机制，比如杀软F，也有可能针对不同的情况（这个真枚举不了数不胜数）也有不同的反应，比如一个前几天的例子：

中午和同事吃饭，因为一个同事数据安全的意识稍微薄弱了点，我就和他做了个试验。。。

我写了个样本，没有特意做免杀，也不拿出来丢人献丑了，VT 20/42 ，然后在他不知情的情况下进入他的硬盘 ，他的杀软是S（蛮不错的） ，嗯，因为我看了下，S可杀，所以木有太担心。。。然后，S 没有报，建议他扫描全盘，然后他很诧异的扫到了我写的那个样本。。。

这并不能说明S的监控很弱，相反我认为这是个很不错的杀软。。。

还有一点很想告诉LZ的，千万不要拿一两个样本的试验结果来逆向揣测整个杀软的啥啥机制
如果需要的话，至少数量级在10[sup]6[/sup]以上。。。。。
再PS下，监控压缩包也真是个蛋疼的鸡肋功能。。。。

还有，也不是什么 “MSE 3在这方面有了彻底的改变” 这种话。。。。。。。。。。。。。。。

很多产品，确实有问题，有漏洞，我也曾经心态不好嘲笑过鄙视过，可是当自己学的越来越多，反而觉得自己的苍白和汗颜，面前的东西太伟大太浩瀚，再小的一个领域里也会觉得太无力了。。。。

LZ虽然我承认确实有蛮多高亮的帖子有些些误导，但你肯试验的精神我也觉得很让人学习。。。。。我是懒了，工作也忙，本身就是业余小菜鸟，以后也不大可能从事计算机方面的工作。。。。所以看到你这样的活力还是很佩服。。。
有的话说出来会觉得那啥啥啥了点，本来一些话已经在你的PM中回复了，小建议也在里面。。。共勉

驭龙

帅就是帅 发表于 2011-9-21 00:19
好吧，说一点点话吧，小白一个，不敢夜郎自大，嘴笨，可能表达不太好，望海涵。

>1 LZ把火狐进程排除了， ...

>1 LZ把火狐进程排除了，然后下载了恶意样本到硬盘，不报，故得出MSE的监控是基于进程而不是监控硬盘读写。
>2 LZ把explorer.exe给排除了，当然打开文件夹复制粘贴神马的都不卡了，问题是，这样安全吗？

1我这个测试以后证明mse非监控真正的硬盘读写，当然我也不是说MSE弱，而是监控机制与其它杀软不同

2通过Procmon.exe你可以自己测试，就算排除Explorer凡是系统创建线程的时候，MSE都会同步创建，进行监控，而不是像你说的那样不监控线程。PS：没有几个人会天天自己下载病毒，正常用户，基本上中毒的机率还是很低的

下一代MSE机制不是我说换的，而是Windows8 里的WD已经改变，难道MSE就不能改变？

好了，我也不说别的，大家是在相互学习，而且我这个帖子已经证明我的观点，我先闪人

ELOHIM

我来观摩，都是管理员，版主在这里华山论剑哦！~    靖哥哥，老顽童，洪七公？嘻嘻！！

飞霜流华

accp.taotao 发表于 2011-9-21 09:45
我来观摩，都是管理员，版主在这里华山论剑哦！~    靖哥哥，老顽童，洪七公？嘻嘻！！

你是杨过

ELOHIM

wy1091727248 发表于 2011-9-21 12:10
你是杨过

   版主中午吃饭没有菜。。。只有肉……

認真就輸了！

来学习的，弱弱的问一句，MSE监控不如塞门？

飞霜流华

accp.taotao 发表于 2011-9-21 12:12
版主中午吃饭没有菜。。。只有肉……

反了，食堂涨价了，吃不起肉了