【各位饭友羊年快乐】Microsoft AntiMalware家族反恶意软件引擎已经更新至11400.0

驭龙

本月的引擎更新终于在千呼万唤中始出来了


为啥之前没有更新预告？其他情况分析中。

本引擎更新的内容：
① 增强SypNet云反馈机制。
② Behavior Monitoring的全新功能体系，使用ETW（事件跟踪到Windows）的各种Behavior监控，诸如镜像加载、调整NT权限、注册输入设备、设置事件Hook、篡改进程、打开进程、打开线程、设置线程上下文、创建快捷方式、注册关机、写入内存等ETW的行为监控。
③ Behavior Monitoring的注册表监控中添加阻止注册表重命名、恢复、替换等。
④ Behavior Monitoring的网络数据发送，网络连接等。
⑤ Engine的各种优化和调整，以及合并前两个月的增量更新到基础库。
⑥ 搭配Microsoft AntiMalware 4.7平台，达到最佳效果。

以上是我个人的分析，并不是官方公布的内容，而且并非完整内容，仅供参考！

昨天我大舅来我家串门，所以我昨天上午就没有仔细研究Engine 11400版本的变化，昨天下午才开始研究的，当然我很菜，只能是看看添加什么新的String，更深层次的我就看不明白了，上面说的关于Behavior Monitoring新功能变化，源自11400与11302引擎内部String的对比结果，现在我发一下截图，给大家对比一下，这是我部份心得，跟大家分享一下吧。

11302引擎BM的一部分String。



11400引擎BM的部分String和新String。



11400大部分新String在这里。


单单从String角度看，11400引擎的第三张截图上就出现了很多11302引擎没有的新String了，我就是以此推断出新引擎11400有以上新功能的，当然仅看String的话是不可能看出真正变化的，需要更深层次的反编译和逆向工程，那个我就完全不行了，还是等真正的大牛反编译吧。

说实话从两三万条String中查找新String真的是累死人的，因此这次是我最后一次发MA Engine更新内容的分析帖，今后我就不发这种没有官方日志内容的分析帖了，毕竟我不是专业人士，加上我个人工作关系，也就没时间发这种耗时的浮浅分析帖了，所以抱歉了各位！

驭龙

ETW这些行为定义怎么才来啊，苦等很久了
http://www.microsoft.com/security/portal/definitions/whatsnew.aspx?Version=1.193.1264.0&Release=Released&Package=AM

Behavior:Win32/Etw_CreateLink	Severe
Behavior:Win32/Etw_LoadImage	Severe
Behavior:Win32/Etw_RegisterInputDevices	Severe
Behavior:Win32/Etw_RegisterShutdown	Severe
Behavior:Win32/Etw_SetEventHook	Severe
Behavior:Win32/Etw_SetThreadContext	Severe
Behavior:Win32/Etw_TerminateProcess	Severe

诗情画·毅

MA突破无限
龙大，我有个疑问，就是为什么MA的界面没怎么变化呢？是不是微软UI已经固定在这个界面呢？

lh9916

早上已经更新了：

hw090807

毫无预兆地就更新了

驭龙

诗情画·毅 发表于 2015-2-17 09:42
MA突破无限
龙大，我有个疑问，就是为什么MA的界面没怎么变化呢？是不是微软UI已经固定在这个界面呢？

我也觉得UI太古老了，不过，这个UI操作上还是十分简洁的

黑沙子

为什么每次WD的更新都是最后啊，感觉像后娘生的啊

wudiwusuowei

黑沙子 发表于 2015-2-17 12:02
为什么每次WD的更新都是最后啊，感觉像后娘生的啊

这个恰恰说明WD是亲娘养的，你想想先给MSE和SCEP的用户用，让他们当小白，测试没有问题以后，再给WD用，WD就是基本没什么大问题的版本了，这才是亲娘养的啊。

ujty

玩杀软的起码一半是只看界面的。。。所以mse不讨巧

ELOHIM

这个引擎是微软的小礼物之一，慢慢等WP10，。。。
新年快乐！~

hw090807

玩过头了... ...