[驭龙归来总汇]Microsoft AntiMalware家族的超级大揭秘，绝对大饱眼福，M粉丝值得一看

驭龙

本帖内容仅供参考，如有错误请多多包涵，本人是菜鸟级的业余爱好者，不是专业人士，不可能没有错误，还望见谅。

本帖源自驭龙回归系列作品的总汇：
Microsoft AntiMalware家族，DSS动态签名服务的静态与动态云查杀
Microsoft AntiMalware家族，NIS网络检查系统的全新解析，独特的网络实时行为监控
Microsoft AntiMalware家族，MSE预发行版本，因何而存在？MA架构解读
Microsoft AntiMalware家族，MSE、SCEP、FEP、WIEP、WD共同的起源，MA反病毒客户端
Microsoft AntiMalware家族，绝对利刃之动态启发和动态转换，MA的动态防御体系


Microsoft AntiMalware家族，DSS动态签名服务的静态与动态云查杀

现在说的动态签名服务 Dynamic Signature Service 简称DSS，不是什么新功能，为何我现在要重提此功能？是因为最近效果非常的不错，以前N年见不到一次的，现在却时常出现，现在我来简单的介绍一下DSS。



DSS的官方介绍：

动态签名服务

要想发挥作用，保护措施不能落后过时。动态签名就是一种用以检查可疑程序是善是恶的方法。在可疑程序运行之前，Microsoft Security Essentials 会佯装运行该程序以确定该程序要做什么。这样便给程序分配了专用签名，而我们将对照善意程序和恶意程序数据库检查这些签名。程序即便在获得批准之后也会受到监视，以确保这些程序不会有任何潜在危险举动，例如建立意外的网络连接、修改操作系统的核心部分或下载恶意内容。

若要查找有关 Microsoft Security Essentials 可帮助防御的所有最新威胁的信息、定义更新和分析，请访问 Microsoft 恶意软件防护中心。

动态签名服务实际上是分为动态和静态两个类型。

静态动态签名服务：
Microsoft为了确保误报，刚刚分析出的威胁，是不会马上入库的，而是放在Microsoft的云服务器上，在本地的MSE如果发现可疑文件，会发送一条消息给Microsoft恶意软件保护中心的服务器，如果云数据库中存在此威胁，云服务器会将一个小于1KB大小的特征库，发给本地的MSE，文件路径为：C:\ProgramData\Microsoft\Microsoft AntiMalware\Scans\RtSigs\Data的文件夹。

MSE会加载本临时特征库，查杀尚未入库的威胁，威胁的名称后面会有*（现在的云报法已经不固定名称，有时候普通报毒名也是DSS杀）Detplock，如Trojan:Win32/Detplock，见到Trojan:Win32/Detplock（现在是带！plock的报毒名后缀，就是DSS杀）基本上就可以确定是动态签名服务发威了。

动态签名服务的静态实时监控


但是，没有永久的动态签名服务报的威胁，在Microsoft确定新特征代码不会误报正常文件以后，会把云服务器的新威胁特征代码，添加到最新发布的特征库中，本地MSE更新最新的特征库以后，会把之前已经使用现在却已经入库的动态签名服务特征库删除，因为特征库已经包含该威胁的特征代码。

虽然本地的MSE会抛弃已经入库的动态签名服务特征代码，不过Microsoft的云服务器依然保存这些特征代码，为那些没有最新特征库的本地MSE提供服务。


动态签名服务的动态：
如果实时监控和扫描没有发现威胁的可疑代码，在威胁被双击运行以后，MSE的行为监控会继续监视文件的运行和内存行为，一旦发现存在可疑的行为，行为监控会链接到Microsoft云服务器，如果云服务器中有包含该可疑行为的动态签名服务特征，云服务器会把特征代码发给本地的MSE，获得特征代码的MSE会立即阻止威胁活动，同时删除该威胁，清理威胁的部分破坏。

双击样本以后，动态签名服务的动态监控



总体来说，动态签名服务实际上就是云查杀是一部分，同时也包含云防御，是一种对付最新威胁的应急手段，之前效果不是很好，但是最近效果非常的不错，尤其是对付高危的威胁，效果十分不错。


注：本帖仅代表我个人看法，与卡饭和特殊组无关，如有转载，请注明卡饭会员驭龙原创内容！

ikimi

相关资料阅读：
1、http://bbs.kafan.cn/thread-1633371-1-1.html；
2、http://bbs.kafan.cn/thread-1633815-1-1.html；
3、http://bbs.kafan.cn/thread-1635501-1-1.html；
4、http://bbs.kafan.cn/thread-1637887-1-1.html；
5、http://bbs.kafan.cn/thread-1638914-1-1.html。

驭龙

今天我们要说的不是Norton Internet Security 而是我们Microsoft AntiMalware的功能组件：Network Inspection System，中文名：网络检查系统，缩写与诺顿互联网安全一样是NIS。

关于网络检查系统，它经历了多个进化阶段：

第一阶段：MSE 2.0~MSE 4.0时代，它仅仅是一个预防漏洞入侵的防御功能，系统补丁如果全部安装，它几乎没有太大的用处。

第二阶段：MSE 4.1的重写网络检查系统，已经不是之前意义上防御系统漏洞的功能，而是防御一些特定病毒的网络攻击，但是它不包含整个特征库定义，仅包含特定的病毒入侵，具体防御的特征定义，该功能是网络协议层的入侵保护，因此与传统用特征库监控HTTP的网页保护不同，它仅针对特定威胁的入侵，不是全部的网页威胁。

第三阶段：也就是Microsoft AntiMalware的4.2以后版本，主要是为Windows 8.1系统中的Windows Defender而再度改进，功能再一次改变，这一次的改变，可以说是让网络检查系统重获新生，成为Microsoft AntiMalware独家功能之一，成为一个强大的保护功能。


补上官方简单介绍：

提供了一个新的保护功能，结合已触发的可疑文件，可能需要进一步分析遥测和示例提交该产品中包含其他可疑行为监视可疑的网络活动。

简单介绍一下最新网络检查系统，现在的网络检查系统实际上可以被分为Network Real-Time Inspection，中文名：网络实时检查，缩写为：NRI。以及之前第一代网络检查系统，两个部分，网络检查系统部分就不多说了，我们重点说的是网络实时检查。

网络实时检查与之前的Behavior Monitoring，中文名：行为监控，二者合并的功能是Network Real-Time Inspection Behavior Monitoring，中文名：网络实时行为监控，缩写：NRI BM，拥有检查进程和文件的网络行为、注册表、内核修改等等行为的监控，如果确定某些文件或程序存在网络实时检查特征库的恶意行为，将会等待云阻断，也就是网络实时检查将动用DSS，也就是动态签名服务链接到Microsoft云服务器，查询该可疑的网络行为是不是新的威胁。

备注：NRI BM并不等于BM

其中NRI BM的网络层可疑行为特征库，为24条威胁家族的网络行为定义，如果想了解这些定义的威胁家族类型，可以查看C:\ProgramData\Microsoft\Microsoft Antimalware\Network Inspection System\Support\NisLog.txt

[On ] Sig {0ba185cf-007f-468f-b01e-e83c6f60a829} Other:Win/BIFROSE.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {60a54817-6315-4ffa-aee4-a51eefb054a0} Other:Win/CLEAMAN.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {c0af4a50-8911-436c-830f-797b419b55b0} Other:Win/CYCBOT.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {530607d9-8e4d-44c2-91da-4951e9c11550} Other:Win/FAKEPAV.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {e43c8ce3-4ab0-4c32-a59d-7a6f57a0e379} Other:Win/FAREIT.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {f3c5a901-58f4-4357-b1f2-fa27b8080c0c} Other:Win/GROZLEX.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {fad62e2d-5c87-4294-b281-2f1a82ab1eea} Other:Win/HARNIG.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {ed4aa3ca-40fb-409a-9294-77699e69f349} Other:Win/HOTBAR.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {829c21c6-0714-4edb-a5b5-386beca031fa} Other:Win/LOLYDA.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {0d81f25a-0b4f-417f-b8f7-40a3d25fd943} Other:Win/MYFWUS.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {64766320-0ca6-4173-a4dc-ca8d7eb81d0d} Other:Win/PAMESEG.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {04cc148e-e83a-4569-a891-cc89318ccaf2} Other:Win/RAMNIT.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {91bb65e2-2c89-4d35-ae78-8c9f189cdc57} Other:Win/RENOS.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {db9aeca3-583f-466a-aafd-e2039bd3adfc} Other:Win/SIMDA.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {0751ede2-b4a7-41e0-8980-d253abbb665e} Other:Win/SIREFEF.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {16e6088b-ab72-434d-8cc2-d51fdfe0dfa3} Other:Win/SWIZZOR.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {672f7fe9-e909-4424-97dc-a4062f8b35bb} Other:Win/VOBFUS.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {56a9c37d-c665-4d95-a1e4-4fb00afee93a} Other:Win/VUNDO.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {f5a8ca50-4ba6-453c-9af0-c3cfac70bf1d} Other:Win/WALEDAC.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {ecfaaf2a-e527-4537-90de-32af3a723440} Other:Win/WINWEBSEC.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {7819b4af-3b7d-47c4-999a-3e0254739da1} Other:Win/XTRAT.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {17b5a0b2-7d7e-40a2-848b-c09a9a84c3b9} Other:Win/ZBOT.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {7d299124-5ed1-4be4-942f-07b7aa8a9d7c} Other:Win/ZEGOST.HTTP.HTTP!NIS-0000-0000 -
[On ] Sig {078d1c6d-456a-40c5-95ff-e710e0e67f22} Other:Win/ZWANGI.HTTP.HTTP!NIS-0000-0000 -

换一种介绍，大家可以更好的理解网络实时检查的效果，我们以FakepAV家族的威胁为例，简单说一下网络实时行为监控的效果。

比如说一个系统中存在一个Microsoft AntiMalware无法识别的新型未知FakepAV，当FakepAV发动出站行为（在网络层），该行为与Microsoft AntiMalware的网络实时行为监控特征库中FakepAV行为相同，Microsoft AntiMalware将会等待云拦截该行为，达到防御的效果。

但是，大家要注意的是网络行为实时监控大多数的时候，也就是在非网络检查系统特征库的可疑网络行为，并不可疑的网络行为拦截，而是发起动态签名服务与微软恶意软件保护中心的云服务器连接，查询最新动态签名服务的特征库。

现在大家是不是明白Windows 8.1系统中内置的Windows Defender与Windows 8系统的Windows Defender有何不同了吧？

值得注意的是网络检查系统的NisSrv服务名称，已经被Microsoft修改为Network Real-Time Inspection，或许以后网络检查系统真的会彻底改名为网络实时检查。



本想测试一下网络实时行为监控的威力，可在样本区转了十几天，真正的高危威胁，没有过Microsoft AntiMalware的，即使是有过MA的威胁，可这些威胁没有可疑的网络行为，因此不能测试网络实时行为监控的真正威力，有一点遗憾。

看过这篇帖子，大家还会觉得Microsoft 安全体系中防出站威胁不好么？其实我们想到的事情，Microsoft怎么可能会想不到，不是吗？

另外，Windows XP系统无法使用此功能，因为NRI BM依托于网络检查系统，而网络检查系统依托于Windows NT 6.X的WFP 也就是Windows Filtering Platform 中文名：Windows 筛选平台，因此Windows XP系统无法使用网络检查系统和网络实时行为监控。


注：本帖仅代表我个人看法，与卡饭和特殊组无关，如有转载，请注明卡饭会员驭龙原创内容！

驭龙

想必大家都有一个疑问，那就是MSE预发行版本，为何一直发个不断，却无法安装在Windows 8及以上版本的操作系统上，Microsoft想做什么？为何是这样的情况？

今天，我来说实话，好像可能会伤Windows 7系统用户的心，但是，我说的是事实，首先我们先不急着说这件事，而是先说一件其他的事情，之后我们可以更好的了解我们的核心问题。

大家应该还记得MSE 2.1.1116之前的版本，除了反恶意软件客户端版本之外，还存在Security Essentials版本吧。



在MSE步入4.0时代以后，原本相差一代版本的Security Essentials版本与反恶意软件客户端版本同步版本号，实际上这已经预示着大变革的开始。



到了MSE 4.1时代，这种变革已经完成，那就是不再存在Security Essentials版本号，软件版本完全被反恶意软件客户端版本取代。



大家会奇怪我为何会介绍起MSE的版本发展？实际上这与本主题是息息相关的，好了，废话结束，言归正传。

在MSE 四代之前，软件结构是分为EPP也就是Security Essentials版本，mp_mabits也就是反恶意软件客户端版本，还有软件语言包三部分组成。

但是在进入MSE 四代以后，三个部分的结构完全合并为EPP一个架构，也就是现在的反恶意软件客户端版本这一个架构，由于MSE 二代的反恶意软件客户端版本是3.0，而统一版本号之后是以反恶意软件客户端版本版本算版本号，这就是为何只有MSE四代，没有三代的根本原因。

反恶意软件客户端四代开始，无论是MSE SCEP FEP WIEP都是一个共同的EPP结构，为了区分不同版本和不同版本的功能策略，应运而生了动态链接库EppManifest.dll文件，它就是确定EPP架构安装以后是什么版本的核心，它包含了不同的配置策略，MSE不能安装在Windows 8系统上也是EppManifest.dll内部策略问题，实际上EPP架构是支持Windows 8 系统的，只要EppManifest.dll版本是SCEP资源配置文件，那EPP就可以安装在Windows 8 系统上。

还记得我最早放出的软件升级包吗？实际上升级包就是一个完整的EPP架构，只不过没有EppManifest.dll配置文件，你的系统上是什么版本EppManifest.dll就会安装什么版本的配置，这就是之前通用升级包的秘密。SCEP 4.4预发行版本，就是因为我把MSE 4.4预发行版本的配置文件更换为SCEP的EppManifest.dll，才会出现破解版的SCEP 4.4预发行版本。

说了这么多，大家是不是明白为何存在MSE 预发行版本了呢？

实际上现在测试的MSE预发行版本转为正式版以后，只需要修改一下EppManifest.dll，就会变成正式版的SCEP和正式版的Windows Defender。

说一句不好听的，Microsoft把Windows 7系统的用户当成实验田，安装最新版本的MSE预发行版本来测试新版本的EPP，也就是反恶意软件客户端，软件稳定没问题以后，直接替换EppManifest.dll配置文件，将正式版的反恶意软件客户端更新给Windows 8以上系统的用户。

这就是Microsoft Security Essentials 预发行版本不能安装在Windows 8以上版本操作系统上，却一直存在的重要原因之一。


注：本帖仅代表我个人看法，与卡饭和特殊组无关，如有转载，请注明卡饭会员驭龙原创内容！

驭龙

今天来科普Microsoft AntiMalware发展历程和重要的发展变化，因版本发展限制，采用Forefront系列和MSE系列混合介绍的方式介绍。

备注：一些版本图片源自网络，有水印请见谅，以后有时间会替换带水印的图片！

Microsoft AntiMalware第一代：
先说Microsoft AntiMalware的起源版本，初代版本OneCare和Forefront Client Security 1.0

关于Windows Live OneCare 这里就多做介绍了，MA版本与FCS相同，这里仅说FCS 1.X系列版本。

FCS是Microsoft第一代反恶意软件客户端，具有的特色是：
访问保护内核模式，微过滤器（Windows过滤管理器）
用户模式扫描
系统配置，IE浏览器中添加组件和配置
IE浏览器和Office下载
服务与驱动
运行应用程序
调度和手动扫描
保护基础设施免受事件爆发期间

同时利用Vista的NTFS文件系统格式支持

Forefront Client Security 1.5最后版本截图



FCS 一代大部分技术还是收购来的，融入部分自家技术，已经是当时很先进的技术了，一直是经典版本。

版本周期为2006年第四季度到2010年第三季度，是主要服务周期。


Microsoft AntiMalware第二代，双版本之Stirling Beta：
关于Forefront Client Security 二代，是一个非常特殊的版本代号为Stirling，仅仅发布Beta 2版本，就被放弃了，继任者是Forefront Endpoint  Protection 2010版本。

Forefront Client Security 2.0 Stirling Beta版本，绝对珍藏版截图。



再多发几张图。





主要的改进和特色为：
综合anti-virus/anti-spyware提供实时保护
使用Windows过滤管理器
保持稳定运行
实时扫描病毒和间谍软件
动态转换（Dynamic Translation），微软独家
最大限度地提高扫描速度：解密和恶意软件仿真代码与本机代码执行速度
其他保护功能：
隧道检测签名，删除rootkits和高级系统清洗：自定义补救措施（重新创建注册表项，恢复设置）
事件防洪：盾爆发期间从被感染的客户报告的基础设施
基于行为的启发式分类方案

Integrated anti-virus/anti-spyware agent delivering real-time protection
Uses Windows Filter Manager
Maintains stable operation
Scans viruses and spyware in real-time
Dynamic Translation
Unique to Microsoft agent
Maximizes scanning speed: Decryption and code emulation of malware with speed of native code execution
Other protection features:
Tunneling signatures for detecting and removing rootkits
Advanced system cleaning:  Customized remediation (recreating registry entries, restoring settings)
Event Flood Protection:  Shields reporting infrastructure during outbreak from infected clients
Heuristics for classifying programs based on behavior

FCS 二代取消了一代的主动控制系统设置更改，是智能化的开始。

该版本没有正式版，版本周期非常短，是在2008年第四季度问世，之后被放弃。


Microsoft AntiMalware第二代，双版本之Microsoft Security Essentials 一代：
我们先去个人市场吧，虽然FCS 二代 Stirling被放弃，但并不意味着Microsoft AntiMalware二代被放弃，我们的Windows Live OneCare继任者Microsoft Security Essentials一代，就是在Stirling基础上改进而来的版本。

Microsoft Security Essentials 一代截图。



主要特色：
不仅仅拥有Stirling的一切改进，同时查杀引擎也有重大改进
加入Microsoft的SpyNet云社区查杀，Dynamic Signature Service 动态签名服务等功能

版本周期为2009年第二季度到2010年第四季度。


Microsoft AntiMalware第三代，酣畅淋漓的进化：
回到企业版本这边，Forefront Client Security的新一代版本Forefront Endpoint Protection 2010已经到来，共同到来的是MSE 二代，Microsoft AntiMalware版本升级到第三代。

Microsoft Security Essentials 二代截图。
】


主要改进和新功能：
防火墙集成，Microsoft Security Essentials 安装程序允许您打开 Windows 防火墙。
行为监控，监视应用程序的行为，检测到可疑行为以后通过SpyNet在线社区发送至Microsoft Malware Protection Center（微软恶意软件保护中心）进一步分析。
新增和改进的保护引擎：更新的引擎提供了增强的检测和清理功能，并改进了性能。
新增了关于CPU的占有率限制，在这里面用户可以根据自己电脑的实际情况来进行自定义设置，来避免在MSE执行扫描任务的时候资源占用率过大导致出现慢卡的情况。
全新的DIY监控，最明显的就是可以自定义监控系统中的传入或传出文件；隔离文件的比较大的问题，现在可以通过自行设定保存时间处理这些隔离文件了！
网络检查系统，防御针对Windows系统已知和未知漏洞，保护没有及时安装Windows漏洞补丁的用户，免受攻击。注意：Windows Vista以上版本的Windows系统才能支持，XP系统不支持此功能！

同时Microsoft AntiMalware 三代还增强了行为监控和动态转换技术，查杀引擎架构发生巨变。

版本周期为2010年第三季度到2012年第二季度。


Microsoft AntiMalware第四代，不断进步的版本：

在MA四代之前，软件结构是分为EPP也就是Security Essentials版本，mp_mabits也就是反恶意软件客户端版本，还有软件语言包三部分组成。

但是在进入MA四代以后，三个部分的结构完全合并为EPP一个架构，也就是现在的反恶意软件客户端版本这一个架构，由于MSE 二代的反恶意软件客户端版本是3.0，而统一版本号之后是以反恶意软件客户端版本版本算版本号，实际上MSE 二代就是Microsoft AntiMalware的第三代。

Microsoft AntiMalware四代是随时更新的版本，平均三个月或四个月一个小新版本

MA 4.0正式版
自动清除恶意软件威胁；
改进的性能，提升系统流畅性（减少卡机现象）；
新的改进型反病毒引擎，增强查杀能力；
简化的用户界面，减少用户操作；
SpyNet在线社区改名为Microsoft Active Protection Service（微软主动保护服务）；
软件客户端版本号同步反病毒客户端的版本号4.0；
取消实时保护监控的自定义设置功能。



MA 4.1正式版
Security Essentials 客户端版本与反恶意软件客户端合并，取消Security Essentials 版本信息；
云清洁修复，增强恶意软件清理，从云端下载清洁版本从而修复恶意软感染过的系统文件；
重新设计的网络防护引擎，提供了更好的防护性、可扩展性和性能；
完善启动体验；
主进程增加自我保护，任务管理器无法结束，MSE内核进程。



MA 4.2正式版
自动反馈未知文件，将电脑上未识别的文件通过MAPS（微软主动保护服务）传输到MMPC（微软恶意软件保护中心）帮助反病毒分析师确定未知文件是否是新的威胁，从而及时将威胁写入特征库；
再次提升自我保护能力；
优化软件功能，修复一些BUG，提升使用性能。



MA 4.3正式版
增强自我保护能力；
改进系统性能；
改进Microsoft Active Protection Service传输，增强Dynamic Signature Service查杀效果；
全新Network Inspection System 名称为Network Real-Time Inspection Behavior Monitoring，中文名为网络实时行为监控。



版本周期为2011年第四季度到今天2013.10.09，仍在继续发布新版本，最新预发行版本为MA 4.4

这就是Microsoft AntiMalware的发展和起源，期待着MA第五代的大爆发吧，通过以上介绍，是不是已经了解MA的发展史了？


注：本帖仅代表我个人看法，与卡饭和特殊组无关，如有转载，请注明卡饭会员驭龙原创内容！

驭龙

本帖内容仅供参考，如有错误请多多包涵，本人是菜鸟级的业余爱好者，不是专业人士，不可能没有错误，还望见谅。

现在为大家揭秘的是驭龙回归系列的最后一篇帖子，由于涉及到的技术层面太多，难免有遗漏和错误，同时部分英文为机器翻译，请各位见谅。

Microsoft AntiMalware的动态防御：
很多人认为MA没有主动防御，实际上MA是拥有属于自己的防御体系的，涉及到的技术很多，包括基于基因和启发的行为检测的动态启发，以及代码仿真，还有Microsoft自家的Dynamic Translation 中文名为动态转换的技术，当然不能忘记之前帖子说的动态签名服务的动态云拦截。

Forefront Endpoint Protection 2010 uses system behavior and file reputation data to identify and block attacks on your systems from previously unknown threats. Detection methods include behavior monitoring, emulation, and dynamic translation.

Forefront Endpoint Protection 2010 使用的系统行为和文件信誉数据，来识别和阻止以前未知的威胁，使您的系统免受攻击。检测方法包括行为监控，仿真和动态转换（Translation是翻译，但称为转换更贴切）。

当初很多人认为MA的行为监控是一个普通的传感器，发现可疑行为不具备拦截能力，而是链接到Microsoft Malware Protection Center既微软恶意软件保护中心的云服务器，调用动态签名服务来拦截，而上面的官方介绍被看做是噱头，但事实真的如此吗？（各位先不要急着下结论，请耐心看完本帖）

为了本帖，我前几天去请样本区的墨家小子帮忙，收集了一些样本，我从中提取了四个（其中也有上次消停提供的样本）双击以后被MA拦截的样本，来进行测试。

注：几个样本不能说明任何问题，仅供参考，不代表最终结果！

我是使用半个月之前的特征库和断网测试，不存在动态签名服务和特征码查杀的情况。



逐一双击四个样本，其中一个样本释放出的DLL被特征码查杀，母体被MA动态技术拦截进程，其他三个样本全部被动态技术直接拦截。









现在将System Center Endpoint Protection的行为监控关闭，再次双击这四个样本，其中两个Zero Access样本成功自我删除，SCEP除了特征码拦截之前的那个DLL衍生物之外，毫无反应。









通过如上的简单测试，可以简单的说明，Microsoft AntiMalware家族的行为监控，是拥有拦截能力的，但是，仅仅是拦截高危的威胁行为才会拦截，如果是低威胁的可疑行为，MA的行为监控，还是不拦截，仅仅是调用云服务器，来检测动态签名服务的动态签名查杀。

为了让测试更可靠，我借用火绒剑，来记录了开启行为监控和关闭行为监控的双击样本记录，其中尾数是1的TXT是开启行为监控的记录，2是没有开启行为监控的记录，我筛选掉了对注册表的获取和打开选项，要不然记录太大了。
该文件中还有事件日志的记录，其中是我多次测试的结果，其中有低威胁的行为监测记录。
DT 记录.7z
点击文件名下载附件


事件.7z
点击文件名下载附件


在测试过程中，事件日志还记录了行为监控的低威胁（火绒剑驱动触发中级别的仿真）的行为记录，是通过动态仿真识别出来的，当然这些可疑行为，行为监控是不拦截。







通过如上测试，大致可以确定Microsoft AntiMalware的行为监控是具有强大的拦截能力，它是一个混合型的动态防御体系，其中包括：以基因和启发为基础的行为分析和代码仿真，以及动态转换技术，当然还有文件信誉，这是Microsoft AntiMalware三代的突破技术。

可疑文件的上报，MA的信誉服务，在MA四代时得到大升级。



绝对利刃之动态启发：
在MA的动态防御体系中，动态启发式分析是最重要的部分之一，只有当它确定威胁的时候，MA才会拦截运行中的样本，但是，它是拦截的内存中分析完成的威胁，因此动态启发报的威胁，样本本体不会被MA隔离或者删除，动态启发报的威胁是运行中的进程ID，这就是MA不会删除威胁本体的原因，它只是解决掉运行中已经分析完成的恶意进程行为。

当初在2009年的时候，Forefront Client Security 2.0代号：Stirling 之所以被取消（应该说是推迟发布，之后正式版为Forefront Endpoint Protection 但是版本却是新一代的MA 3.0而不是之前的MA 2.0），就是为了添加新技术，其中就包括基于行为技术的动态签名服务和全新的高级启发式（下面说补充Stirling的高级启发式，但是当时的Stirling并没有发布，仅仅是Beta版，那时候该高级启发式技术是全新的技术）等先进技术。

Additionally, we are investing significantly in a behavior-based technology called Dynamic Signature Service to help deliver more comprehensive endpoint protection for zero day attacks.  This will complement the "Stirling" suite's advanced heuristics, dynamic translation and real time application scanning for kernel level malware with a sophisticated approach to on-demand threat mitigation.

此外，我们正大力投资在基于行为的技术称为动态签名服务，以帮助端点实现更全面的零日攻击保护。这将补充“Stirling”套装的高级启发式扫描，动态转换和实时应用程序的内核级别恶意软件扫描，用复杂的方法，按需缓解威胁。

现在的Microsoft AntiMalware 4.X代，动态启发式分析已经变得更强大了，其实MA的启发式技术真的是不错的。

在动态启发报毒的时候，威胁路径被进程ID取代。





接下来，我把SCEP的实时保护中“监视计算机上的文件和程序活动”，也就是常规的文件监控关闭，再次双击威胁样本，其中有两个样本依然被动态启发式分析完成解决掉了，但是，另外的没有被报。





尽管动态启发式分析是独立的启发式行为基础算法，但它还是与威胁特征库签名的基因相连动的，动态启发虽然能够独立使用，不过配合特征基因才能达到更好的效果。


多面的行为监控：
上面提到基于行为技术的动态签名服务，当Microsoft AntiMalware三代发布的时候，行为监控的官方介绍是这样的。

实时系统行为监视
Microsoft AntiMalware 利用一个由已知恶意软件的特征和行为组成的定义数据库。实时系统行为监视功能使用传感器来检测可疑进程、文件、注册表和内核操作，以帮助识别新威胁。并且会通过每次的月度更新添加新传感器。基于通过我们的动态转换技术实现的模拟行为的泛型和启发式规则集使单个签名能够检测数以千计的变体。Microsoft 安全响应中心每月会从世界各地 6 亿多台的 PC 中收集威胁，并进行评估。每天多次编写和部署新签名，以便在需要时可以使用这些签名。

官方还有另一句话。

•New Antivirus Engine -  Highly accurate and efficient threat detection protects against the latest malware and rootkits with low false positive rate.   
•New behavioral threat detection -  Protection against “unknown” or “zero day” threats provided through behavior monitoring, emulation, and dynamic translation.
•Dynamic Cloud Updates: On-demand signature updates from the cloud for suspicious files and previously unknown malware

•新的杀毒引擎 - 高精度和高效的威胁检测抵御最新的恶意软件和Rootkit，同时误报率较低。
•新的行为威胁检测 - 对“未知”或“零日”的威胁，通过行为监测，仿真和动态转换，提供保护。
•动态云更新：按需签名更新，从云可疑文件和以前未知的恶意软件。

由此可见，行为监控不仅仅是一个动态签名服务的传感器而已，加上动态启发和代码仿真以及基因和启发式的分析，全部包含在实时监控中的行为监控，正确的说实时监控中行为监控是包含两部分的，分别是行为监控传感器＋动态签名服务和基因、启发动态分析＋代码仿真＋动态转换。

行为监控＋动态签名服务的完整官方功能图解。



正由于组成Microsoft AntiMalware行为分析技术的是两部分，这就是之前为什么大部分人都认为MA的行为监控仅仅是可疑行为的监控器，而不是行为阻断的原因，现在大家是不是明白帖子一开始的测试，为什么在关闭行为监控以后，没有动态启发式分析和动态转换进行的拦截原因，实际上说MA行为监控没有拦截能力的人并没有错，因为毕竟动态签名服务那部分的行为监控真的是传感器，没有拦截能力，因此在MA的行为分析问题上，并没有谁对谁错的情况。


奇特的动态转换技术：
说到动态转换技术，我可真的是有很多感触，两年半之前，我曾经分析过动态转换，但是，当时的官方资料不完整，我所解读的DT是不完整的，这次我将完整的解读DT的工作原理跟用途，首先我要说的是DT不是Microsoft AntiMalware的唯一虚拟技术，MA还有虚拟技术是Virtual Files System简称VFS的虚拟技术，它是可以对文件进行静态虚拟分析的技术，当然VFS是跟DT有密切关系的，也就是二者也可以算是一体，因为VFS深度分析的时候，就会动用DT，而DT也离不开VFS，因此MA的虚拟化能力还是不错的，但不是那种保护系统的功能。

当初Microsoft说Dynamic Translation 中文名为：动态转换，缩写DT是独家技术，工作原理是这样的。

一个可疑的文件（未知威胁）在系统上试图运行的时候，MA的实时保护驱动（应该是MpFilter驱动）会截获该未知威胁，然后使用DT技术，在一个虚拟环境中，来通过DT技术，模拟未知威胁的代码行为，释放出未知威胁的行为以后，基因和动态启发式分析，将分析基于行为的特征，确定为未知威胁为恶意文件，MA将阻止未知威胁的运行，拥有DT替换掉了未知威胁的操作，未知威胁不会对系统产生破坏。*（我认为有不足，完全不如滚回威胁操作好）

动态转换替换未知威胁真实操作示意图。



大家注意上图中左侧绿色标记里的未知威胁行为操作代码，被动态转换技术安全的在虚拟环境中由DT的代码替换，成为右侧橙色标记中的虚拟操作，这样未知威胁的行为将暴露无遗，同时操作行为又不会影响真实的系统，动态启发式分析虚拟环境中的未知威胁真实行为，便可大大的提高动态启发的效果，发现未知威胁，并且拦截威胁的运行。

官方的DT操作流程示意图。



我菜鸟级的翻译一下操作流程示意图。



现在完整的解读一次“基因和动态启发行为分析与动态转换技术的协同工作，流程图。

官方原文流程图。



我简单翻译的流程图。*（我英语非常差，如有错误，请多多包涵）



一个可疑的文件（未知威胁）在系统上试图运行的时候，MA的实时保护驱动（应该是MpFilter驱动）会截获该未知威胁，然后使用DT技术，在一个虚拟环境中，来通过DT技术，转换未知威胁的代码行为，释放出未知威胁的真实威胁行为以后，基因和动态启发式，将进行基于行为特征的分析，确定为未知威胁为恶意文件，MA将阻止未知威胁的运行，由于过程是在虚拟环境中完成，真实系统受到的影响不大。

动态转换技术的大致工作原理和作用，差不多就是这样了，我很期待着它的升级，现在的DT虚拟化还是有一点不足之处，而且检测的能力还是不如其他家的主动防御强悍。

关于Microsoft AntiMalware的动态防御体系，这次就先说到这里，本帖中如有错误，还请各位见谅，技术大牛请勿见笑。

当然本帖的内容，并不是MA的全部技术，仅仅是一部分，因为MA一直在进步，本帖的介绍是针对于Microsoft AntiMalware 4.4之前版本，并不代表着以后的版本，MA的技术一直在前行，今后必然还会有新的变化，让我们一起期待着Microsoft AntiMalware的不断进步吧！


注：本帖仅代表我个人看法，与卡饭和特殊组无关，如有转载，请注明卡饭会员驭龙原创内容！

aidazhongguo

好！

zandalong

此贴必火！
纯纯的技术贴啊！

woys123

亏我玩了那么久的MSE，原来还是什么也不知道

csjolin

学习了！