【机翻】改进的恶意软件检测

ELOHIM

Windows Defender 的上下文线索

Windows Defender Windows 10 中有所补救、 报告和恶意软件检测能力。上下文可以分为三个领域︰      

• 本地上下文
• 安全地持久化的上下文
• 共享的全局上下文
  

本地上下文入口点上下文

Windows defender 在系统中的恶意软件渗透的特定方法。这意味着它可以针对这些高风险的"切入点"，在高级扫描和更可靠地防止感染系统的特定威胁。

Windows Defender 使用标记 （motw 添加）在确定是否该文件最初从外部位置和水平扫描，是 web 的必需的。

除了 motw 添加 Windows Defender 跟踪每个文件的入口点上下文。这种情况下可在文件中使用，即使该文件是使用或在以后的某个时间执行。

高程变化的语境

Windows Defender 有一个新的同步扫描，钩在用户帐户控制 (UAC) 高程点执行深入扫描的进程或文件要求额外的特权。请参阅新技术选项卡上的反恶意软件扫描接口 (AMSI) 部分有关更多详细信息。

另一个指标的高程点上下文和安全事件追踪为 Windows 通道还提供了这种类型的上下文时进程完整性级别也被跟踪。请参阅新技术选项卡上的安全事件中部分有关更多详细信息。

安全地持久化的上下文

Windows Defender 跟踪，并将这些上下文中存储在安全的方式在其 Persisted 存储区，然后，它使用其行为 （或"启发式"） 的监测发动机。

Persisted 商店允许 Windows Defender 保持文件和扫描引擎可以在稍后的时间使用的进程的状态。这允许工作流如下所示，与上面所述︰

• 电子邮件到达通过 Outlook 或其他邮件客户端，并且用户将附件保存
• 几天后，用户决定运行附件
• 当运行时，该文件需要管理员权限 （通过 UAC 提示）
• Windows Defender 是能够保持这种状态和确定的级别的扫描，需要去做，因为它知道该文件来自 Outlook 由于其 Persisted 存储区中的记录
  

共享的全局上下文

在 Windows 10，Windows Defender 利用的技术，如UAC 和 AMSI 扫描，云保护和离线清洗外主要操作系统外壳构成的共享的一部分，"全局"级别的保护。