好吧，我承认我被Cloud Protection技术勾搭回来了，揭秘暗藏不露DSS=动态签名服务

驭龙

好吧，我被最近的Cloud Protection技术很满意，加上过几天是引擎更新的日子，所以我回来坐等新引擎，随便来点技术类的小内容跟大家分享一下。

我安装的是由企业版2015年2月4日发布的System Center 2012 R2 Endpoint Protection CU4安装包改造的Microsoft Endpoint Protection 4.7.203版本。

SCEP 4.6最新安装包


改造成已知最新版本的Microsoft AntiMalware 4.7.203版本


我在样本区下载Rootkits以及CTB-Locker和Flash Exploit 0311等样本，全部被MA横扫，其中有一部分是动态签名服务报的，也就是Dynamic Signature Service技术，当然现在已经融入先进的后台Cloud Protection技术和Behavior Monitoring的遥测技术，MA在2014年的重头戏，可以在MA保护日志和系统日志中查询，以下是DSS和BM遥测的一个基本日志详细内容：

************************************************************

2015-02-09T02:44:20.212Z DETECTIONEVENT Trojan:Win32/Alureon.GH file:G:\Virus\infected\变态\变态.exe;
2015-02-09T02:44:20.213Z DETECTION_ADD Trojan:Win32/Alureon.GH file:G:\Virus\infected\变态\变态.exe

BEGIN BM telemetry
GUID:{79B7B8CE-4A65-4EB5-B908-EE3566B77601}
TelemetryName:Behavior:Win32/DroppedKnownMalware
SignatureID:41453017067075
ProcessID:21172
ProcessCreationTime:130679234579635329
SessionID:1
CreationTime:02-09-2015 10:44:19
ImagePath:D:\Program Files\7-Zip\7zG.exe
ImagePathHash:CFD6E7BF357E91ED919190EA0C8EC3BB12DC48B151ABC327A80A0A8F7B73FB73
TargetFileName:G:\Virus\infected\变态\变态.exe
END BM telemetry

2015-02-09T02:44:20.407Z DETECTIONEVENT Behavior:Win32/DroppedKnownMalware file:D:\Program Files\7-Zip\7zG.exe;process:21172;
2015-02-09T02:44:20.435Z Task(GetDeviceTicket -AccessKey 74D069CD-8CCF-46F5-8BC4-48706A6FA6DA ) launched as network service
Dynamic Signature has been received
Dynamic Signature Type:Signature Update
Signature Path:D:\ProgramData\Microsoft\Microsoft Antimalware\Scans\\RtSigs\Data\3aa108b910c447adbed5c2606686e58c610ccaa6
Dynamic Signature Compilation Timestamp:01-01-1601 08:02:22
Persistence Type:VDM Version
Source Version:282295603625985
Expiration Version:282295603625985
DSS Timeout:Received results after timeout
2015-02-09T02:44:20.810Z Dynamic signature received
Begin Resource Scan
Scan ID:{4D11AE6F-9DDF-4DDE-B935-A3EA4B0193DF}
Scan Source:6
Start Time:02-09-2015 10:44:13
End Time:02-09-2015 10:44:21
Explicit resource to scan
Resource Schema:file
Resource Path:G:\Virus\infected\D65CC2BEED0F11AD0520C92023AC2709\D65CC2BEED0F11AD0520C92023AC2709
Result Count:1
Threat Name:Trojan:Win32/Chebri.D
ID:2147661759
Severity:5
Number of Resources:1
Resource Schema:file
Resource Path:G:\Virus\infected\D65CC2BEED0F11AD0520C92023AC2709\D65CC2BEED0F11AD0520C92023AC2709
Extended Info:42226962775122
End Scan
************************************************************

更多的内容我就不发了，太浪费帖子的空间。

我在上次发技术帖的时候，也就是去年十月，本有第三弹的内容，但由于其他原因，没时间发帖，现在我把那时候已经测试完成的内容发上来，大家看完以后会明白为什么我们看不到MA的MAPS也就是Cloud Protection效果的原因。

先说一下，我用的是当时的最新版SCEP 4.6，样本是MA全部清空的样本。

测试方法是把SCEP的VDM特征库文件删除，仅保留MA Engine文件，然后扫描MA全部可杀的样本，因删除了特征库，应该是不能再发现病毒的，可MA却报了很多威胁，大概是12个（显示数，不是样本数）样本，实际上这些全部是DSS也就是动态签名服务的云查杀，如图所示，DSS的报毒名并非固定而是以样本类型而报毒名。
动态图：


不过下载的DSS签名文件并不是12个，这个是让我有一点奇怪的地方，具体情况那时候没有仔细分析，不得而知。


系统日志上可以确认确实是动态签名服务查杀了之前的样本，这就确认MA Cloud Protection报毒名是跟本地病毒库没有什么报毒名标记的。


总结一下上述测试，不难发现，MA在没有本地特征库的情况下，单独依靠DSS即动态签名服务的情况下，报毒名没有任何云防护标记，是根据样本类型而报毒名的，这就是我们在正常使用中，几乎看不到MA那传说中Cloud Protection技术效果的原因，只有通过系统日志和MA日志才能发现MA的DSS威力。
注：只有企业版的System Center Endpoint Protection才有最强的Cloud Protection效果，其他版本的MA云防护是弱于SCEP的。
http://bbs.kafan.cn/thread-1805062-1-1.html

huihui458

板凳呢，我要坐下来看

Miostartos

又回来啦

munchen

还是MA系列的最省心了

zandalong

呵呵...有些好奇。

hw090807

每次龙大回来MA区，总有猛料报。
看来我选择微软豪华套餐没错

驭龙

STCn1000 发表于 2015-2-9 18:34
又回来啦

我是为了过几天的新引擎而回归的

驭龙

hw090807 发表于 2015-2-9 19:36
每次龙大回来MA区，总有猛料报。
看来我选择微软豪华套餐没错

其实MA还是有一点弱小的，毕竟是基准线啊。

PS：无奈啊，卡饭不能发动态图了，我还要去重新编辑图片，唉

Miostartos

驭龙 发表于 2015-2-9 20:18
我是为了过几天的新引擎而回归的

我最近倒是跑到毛豆去了
然后发现样本区某人的CCE和毛豆本体查杀率差距大的离谱

驭龙

STCn1000 发表于 2015-2-9 20:23
我最近倒是跑到毛豆去了
然后发现样本区某人的CCE和毛豆本体查杀率差距大的离谱

实际上Comodo也就是防火墙和HIPS非常的强大，AV组件，我没有接触过，不清楚