微软的病毒库

ANY.LNK

示例：




防病毒/反间谍软件版本：

1：大版本号，自微软系安全软件发布以来记忆中没有变化过。

413：月度更新的主要病毒库版本号（完全更新），涉及文件：mpasbase.vdm mpavbase.vdm







681：主要病毒库后的附加病毒库，每日多次更新（增量更新/Delta更新），涉及文件：mpasdlta.vdm mpavdlta.vdm








0：为特定动态安全情报更新预留的位置（不确定最初的含义），当版本号大于此限制，此动态安全情报失效



四个VDM均为DLL（动态链接库）文件（编译器倒是挺奇特的：MASM，但其内部都包括加壳加密的数据库（样本特征）（这不废话吗

引擎版本：

主要文件：mpengine.dll

1.1：版本号也是几乎没变过的

24050：月度更新的引擎版本，同月度更新的主要本地库一同下发，但是由于存在beta等测试渠道，因而实际编译时间要早于主要病毒库编译时间

（备注：大概是去年吧，此项和平台版本进行了更新同步）

5：疑似为紧急更新预留的位置

其他信息：包含了差不多3w6的各类函数，是实现微软系安全软件各项功能的主要组件

其他内容：

MpKslDrv.sys-为ARK驱动，Anti-Rootkit的一部分，版本号更新同引擎


之前常见于BTR.SYS的连用加载，现在似乎常驻了

---

先发到这里，看看以后会不会有其他更新

驭龙

引擎版本：

主要文件：mpengine.dll

1.1：也是几乎没变过的

这个真的是如此吗？1.1不变，不代表引擎变化小哟，十几年前MSE时代的引擎仅仅是4MB以下的小东西，现在17+MB了，通过内部函数看，完全已经不是一个东西了

MpKslDrv实际上是ARK驱动，清除rootkit的最重要工具，平时是不生成随机名称加载的，系统加载非系统的驱动，以及遇到rootkit样本，才会生成。
https://bbs.kafan.cn/thread-1098106-1-1.html

而基础特征库和增量更新库是不同的，增量更新是应急更新，其中也包含哈希拉黑以及特征基因入库，每个月一次的基础特征库是把上个月的增量更新完全融入，其中包含引擎的基因优化。
https://bbs.kafan.cn/thread-1775532-1-1.html

ANY.LNK

驭龙 发表于 2024-7-5 01:21
这个真的是如此吗？1.1不变，不代表引擎变化小哟，十几年前MSE时代的引擎仅仅是4MB以下的小东西，现在17+ ...

函数确实增添了不少，将近4w了，这里仅指版本号一直是这个，没有增加

我说为什么总是伴随随机命名的BTR.sys出现的呢，但至少在我的设备上，这个驱动已经不像多个大版本以前那样检测到Rootkit或者其他问题需要重启的时候再生成了，而是一直常驻了


实机，不会用来测试Rootkit，近期也没有遇到过要重启解决的样本


至于增量和基础病毒库，和我想的一样，没写进去，感谢补充

郢都离人

我很好奇win10停止支持后wd是个什么情况，会不会是只更新安全智能，不更新平台版本

小新爱打小怪兽

郢都离人 发表于 2024-7-5 00:39
我很好奇win10停止支持后wd是个什么情况，会不会是只更新安全智能，不更新平台版本

有可能，微软的这个更像是一体的，通过补丁来修复以前未知的漏洞，防止后门，然后wd就是流行病毒的高低搞定，一旦系统存在了漏洞，安全软件除非出专门的补丁，不然安全软件也不是那么好防护，但又听说10和11内核没多大区别，搞不懂，

popk

https://github.com/SafeBreach-Labs/wd-pretender 有VDM解析的代码

ANY.LNK

郢都离人 发表于 2024-7-5 00:39
我很好奇win10停止支持后wd是个什么情况，会不会是只更新安全智能，不更新平台版本

就以前的经验而谈，平台版本可能不会更新了，但引擎和库还会更新一段时间

ANY.LNK

popk 发表于 2024-7-5 17:22
https://github.com/SafeBreach-Labs/wd-pretender 有VDM解析的代码

这个依赖于CVE-2023-24934，但是目前这些版本不适用了

驭龙

ANY.LNK 发表于 2024-7-5 02:10
函数确实增添了不少，将近4w了，这里仅指版本号一直是这个，没有增加

我说为什么总是伴随随机命名的BT ...

你说的BTR是引导时移除工具，Boot Time Removal 这个东西，遇到顽固病毒的特征，它会在System32下生成随机名称的BTR tool在系统下次引导过程中删除上次重启之前被标记的文件，以此完成对启动优先级比较高的顽固样本的清除

ANY.LNK

驭龙 发表于 2024-7-5 18:02
你说的BTR是引导时移除工具，Boot Time Removal 这个东西，遇到顽固病毒的特征，它会在System32下生成随 ...

这个明白，System32\driver目录下生成，引导过程中删除标记的文件。

不过MpKslDrv.sys现在不在是需要处理Rootkit时再生成加载了，现在是一直常驻了