查看: 6175|回复: 0
收起左侧

[一般话题] 【机翻】改进的恶意软件检测

[复制链接]
ELOHIM
发表于 2016-11-22 03:03:01 | 显示全部楼层 |阅读模式
本帖最后由 ELOHIM 于 2016-11-22 03:15 编辑

Windows Defender 的上下文线索
Windows Defender Windows 10 中有所补救、 报告和恶意软件检测能力。上下文可以分为三个领域︰      
  • 本地上下文
  • 安全地持久化的上下文
  • 共享的全局上下文
本地上下文入口点上下文
Windows defender 在系统中的恶意软件渗透的特定方法。这意味着它可以针对这些高风险的"切入点",在高级扫描和更可靠地防止感染系统的特定威胁。
Windows Defender 使用标记 (motw 添加)在确定是否该文件最初从外部位置和水平扫描,是 web 的必需的。
除了 motw 添加 Windows Defender 跟踪每个文件的入口点上下文。这种情况下可在文件中使用,即使该文件是使用或在以后的某个时间执行。
高程变化的语境
Windows Defender 有一个新的同步扫描,钩在用户帐户控制 (UAC) 高程点执行深入扫描的进程或文件要求额外的特权。请参阅新技术选项卡上的反恶意软件扫描接口 (AMSI) 部分有关更多详细信息。
另一个指标的高程点上下文和安全事件追踪为 Windows 通道还提供了这种类型的上下文时进程完整性级别也被跟踪。请参阅新技术选项卡上的安全事件中部分有关更多详细信息。
安全地持久化的上下文

Windows Defender 跟踪,并将这些上下文中存储在安全的方式在其 Persisted 存储区,然后,它使用其行为 (或"启发式") 的监测发动机。
Persisted 商店允许 Windows Defender 保持文件和扫描引擎可以在稍后的时间使用的进程的状态。这允许工作流如下所示,与上面所述︰
  • 电子邮件到达通过 Outlook 或其他邮件客户端,并且用户将附件保存
  • 几天后,用户决定运行附件
  • 当运行时,该文件需要管理员权限 (通过 UAC 提示)
  • Windows Defender 是能够保持这种状态和确定的级别的扫描,需要去做,因为它知道该文件来自 Outlook 由于其 Persisted 存储区中的记录
共享的全局上下文
在 Windows 10,Windows Defender 利用的技术,如UAC 和 AMSI 扫描云保护和离线清洗外主要操作系统外壳构成的共享的一部分,"全局"级别的保护。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
wjy19800315 + 1 版区有你更精彩: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 02:16 , Processed in 0.131311 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表