搜索
查看: 4267|回复: 2
收起左侧

[技术探讨] 谈谈microsoft defender的关键功能:云提供的保护和自动提交样本

[复制链接]
正义羊
发表于 2020-12-30 20:59:44 | 显示全部楼层 |阅读模式
本帖最后由 正义羊 于 2020-12-30 21:28 编辑

microsoft defender的关键功能:云提供的保护和自动提交样本
wannacry勒索攻击提醒我们所有人,我们的系统确实非常脆弱。尽管microsoft defender曾经是基础的反恶意软件,但它现在已经成为最可靠的反恶意软件之一,甚至比某些最受欢迎的反恶意软件还要好,它可以提供近乎即时的保护。



根据微软的说法,“microsoft defender检测到并阻止的所有恶意软件中,大约96%只在一台电脑上观察到一次”,这证明了现代攻击的多态性和针对性,以及威胁的碎片状态。因此,第一次发现就阻止了未知恶意软件是一种关键的保护功能。

云提供的保护


根据windows安全中心界面,云提供的保护功能“通过访问云中的最新保护数据更快地提供增强保护”。

microsoft defender的云提供的保护功能比大多数其他反恶意软件的云保护功能更加强大。云提供的保护和自动提交样本使microsoft defender能够在第一次发现就成功阻止了几乎所有从未出现的新威胁。microsoft defender通常使用机器学习模型来检测恶意软件,97%的恶意软件都会被识别。借助云提供的保护功能,当遇到未知文件,microsoft defender无法做出最终决定时,它可以请求云服务进行进一步检查。microsoft defender可以在确定文件可疑时向服务器发送所有与可疑文件有关的数据,决策不是完全通过microsoft defender做出,而是通过上传文件到服务器,通过行为分析、启发式检测、机器学习模型和大数据分析等多种方式做出决定。在等待云服务的信息时,microsoft defender会锁定这些文件,防止它们对系统造成危害。然后,microsoft defender根据从云服务收到的信息采取行动。微软的服务器发送一个近乎即时的响应,告诉microsoft defender文件很危险,或者请求对文件样本作进一步分析,或者告诉microsoft defender,文件是安全的,可以正常运行。默认情况下,microsoft defender发送数据后等待最多10秒就能收到来自云保护服务的响应,如果microsoft defender没有在发送数据后的10秒内接到信息,它会让可疑文件运行,如果网络连接正常,这应该足够了,接到发送的数据后,云服务通常不到一秒就做出响应,确定该文件是安全的还是危险的



自动提交样本


microsoft defender指出,在打开自动提交样本时,云提供的保护的效果最佳。这是因为云提供的保护确定文件可疑时,microsoft defender要将其自动上传到服务器,深度分析这个文件。

此功能不会随意地将文件从系统上传到服务器,它只会上传exe文件和其他程序文件,它不会上传文档和其他可能包含个人数据的文件,如果文件可能包含个人数据,但看起来可疑(例如word文档可能包含危险的宏),则在将文件发送到服务器之前,系统会发出提示。

当文件上传到服务器后,会快速分析文件及其行为,以确定它是否危险。如果发现文件有危险,它将在你的系统上被阻止。下次microsoft defender遇到其他人的系统里有这个文件时,无需额外分析即可阻止该文件。

这里还有一个手动提交样本的选项,这会跳转到microsoft网站上的恶意软件分析页面,可以在那里手动上传可疑文件。但是,使用默认设置时,microsoft defender将自动上传疑似危险的文件,并且几乎可以立即阻止这些文件,你甚至不知道文件已上传,如果文件危险,基本上在几秒钟内就被阻止。

为什么要保持打开这些功能?

我建议保持打开这些功能,以保护系统免受恶意软件的攻击,恶意软件可能会很快出现和传播,并且microsoft defender无法通过频繁更新本地恶意软件库来阻止它们。这些功能可以使microsoft defender更快地响应新的恶意软件,并阻止从未见过的恶意软件。

microsoft defender确定是可疑文件时,会自动锁定该文件,基于云的保护会发送该文件,服务器收到了上传的文件,分析之后确定为恶意软件,并创建了记录,然后告诉microsoft defender将其删除,之后,由于创建的记录,该文件在其他受microsoft defender保护的系统上都会被阻止。因此,应该保持这些功能处于启用状态。与云提供的保护服务切断,microsoft defender可能没有足够的信息,将不得不自己做出决定,从而可能允许危险文件运行。使用基于云的保护服务深度分析,该文件被贴上恶意软件的标签,并且将来发现该文件的所有受microsoft defender保护的系统都会知道该文件是危险的。

如何在windows 10安全中心打开/关闭基于云的保护和自动提交样本?

默认情况下这两个功能是打开的,可以通过windows安全中心来查看它们当前是否为打开状态。

通过任务栏或开始菜单打开windows安全中心,点击病毒和威胁防护选项卡。



点击管理设置按钮。



在这里可以打开或关闭这两个功能。



如果不希望microsoft defender与云服务发送和接收数据,可以关闭这两个功能。我不建议关闭这些功能,因为这样会降低microsoft defender保护的及时性。

       microsoft defender提供多种下一代检测和防护技术提供近乎即时、自动化的防护。为了动态识别新的威胁,充分利用这些下一代技术的强大功能和速度,microsoft defender可与云服务无缝协作,从而带来最佳的防御效果。microsoft defender云服务不只是保护存储在云中的文件,利用服务器的最新恶意软件库对文件进行扫描,还使用了分布式资源和机器学习,和360安全卫士等反恶意软件不同,360以前的鉴定器很多情况下显示1秒内就完成鉴定了,其实要么是查询,鉴定的文件已经是已知文件了,要么是QVM引擎的扫描结果,现在360安全卫士遇到未知文件时也只是上传,也没有锁定未知文件,分析速度也慢,而microsoft defender可以在发送数据后的几秒内通过服务器分析并拦截新威胁,而且在这期间锁定了可疑文件通过行为分析、启发式检测、机器学习模型和大数据分析等多种方式确定文件是否安全,这样新威胁几乎不可能有机会成功入侵microsoft defender保护的电脑。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
曲中求 + 3 感谢提供分享

查看全部评分

风林12刀
发表于 2020-12-31 10:56:56 | 显示全部楼层
学习了,支持大佬
遨游宇宙
发表于 2021-1-1 07:48:37 | 显示全部楼层
就怕云不稳定,而且未收到服务响应就让位置文件运行太可怕了,至少要出一个提示
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 湘ICP备2021004765号-1 ) GMT+8, 2021-4-21 09:19 , Processed in 0.127163 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表