4.0的样本收集以及MAPS：不是主防的云保护

飞霜流华

刚刚准备睡觉去，突然呢，MSE弹窗了



这是便携版闪游的文件，在电脑里已经有几天了，此前2.1的时候没有任何反应，刚装上4.0没多久，就弹窗要求上传分析了。

从前只有自己手动扫描，遇到可疑文件才会要求上传，而这次没有手动扫描，也会要求上传，并且有提示而不是偷偷上传，MSE的后台扫描和样本收集机制似乎有了很大的提升。

---

好吧，4.0发布了，大家都很兴奋，测试区因为这个月必须用2.1版本，所以4.0的成绩要下个月才能看到，敬请期待。

今天晚上暂时卸载了2.1，安装了4.0，看了下，基本功能没有多大变化，相对于1.0=》2.0的改变，4.0相对于2.1的变化是微不足道的，最引人注目，无外乎MAPS，对此，有一点个人看法，提出来大家讨论一下。

首先说一下，4.0出来了，别犯综合症。我看到很多人说，“我本来用xxx，现在我要换MSE”，这个真心没必要。

人应该走在杀软前面，而不是追着杀软跑。虽然我个人也很希望没有更多的人用MSE，但是国外区的杀毒都很优秀，这么追着跑来跑去，其实效果不大，反而会把自己迷失了。

好吧，进入正题。

首先，讲一下Microsoft SpyNet（2.1版本的MSE社区，MAPS前身）。

Microsoft SpyNet 是一个在线社区，可帮助您选择响应潜在威胁的方式。 该社区还有助于停止新感染的传播。 可以选择发送有关检测到的软件的基本信息或附加信息。 附加信息可帮助 Microsoft 创建新的定义来更好地保护您的计算机。 发送的信息可包含检测到的项目在计算机上的位置（如果已删除病毒、间谍软件和潜在的有害软件）。 将自动收集和发送此信息。

从介绍很容易看出，MS社区的主要功能，是向微软发送检测到的潜在恶意软件，是单方面的，有助于下次定义更新实现防护。

接下来，看一下Microsoft Active Protection Service (MAPS) 。

版区目前介绍有很多，详细的我就去不去说了，截取许可协议的介绍。

在“基本”成员身份下，如果软件启用，MAPS 可以向 Microsoft 报告恶意软件和其他形式的可能不需要的软件的相关信息。如果 MAPS 报告包含软件可以删除的恶意软件或可能不需要的软件的详细信息，MAPS 会下载最新的签名以进行删除。MAPS 也可能发现“误报项（最初确认为恶意软件结果发现不是）并进行纠正。在某些情况下，个人信息可能被无意发送至 Microsoft。

根据这段介绍，我归纳为三点：

①发送恶意软件信息；
②如果报告中包含的恶意软件已经包含被入库但是该定义尚未发布，那么，将会下载实时签名进行防护，加以处理（有点DSS服务加强版的意味）；
③纠正误报。

由此可见，MAPS服务是双向的，既有用户向微软报告威胁，又有实时下载签名进行保护，所以是active（主动）。

基于的技术，还是最基本的特征码，只不过大大缩短了对威胁的响应时间，实现实时应对最新威胁效果。

这里要加以区别的是，这并不是主动防御，不会基于行为进行拦截，而是依然针对文件进行防御。

理论上，还是可以与目前的主防产品共存而不出现较大的问题（微小的隐性冲突肯定无法避免）。

就目前而言，MSE还不存在完整意义上的主动防御，实时保护包含的“行为防护”功能也不具备主防的完整定义。

该选项用于监视传统防病毒检测方法可能无法检测到的可疑模式的行为集合。

根据官方的定义，行为防护只是监视行为，而不是拦截危险动作，意义在于将可疑文件行为上传微软帮助分析，加快入库，缩短响应时间。

以上便是个人的一点看法，欢迎指正。

那时、那景

希望以后MAPS应该说更强

simon92

学习了

寒山竹语

如果说特征码技术发挥到极致且平衡的软件，那么只有微软的mse了。

88865ff

mse加数字卫士仍然是极品组合

ELOHIM

我喜欢这个功能!~  云的端倪初现^

maximilian2012

学习了。

delta66

MSE会越来越强大的

吹自田野的风

至少有了个云了，好事啊！

munchen

感谢分享。MSE依旧那么的安静。
话说计划任务改下参数依旧能够使用的，把MpCmdRun.exe重新定位到当前文件夹就可以了