本帖最后由 驭龙 于 2025-4-15 23:05 编辑
本帖有可能会长期更新MD版本开发的最新情报,虽然有版本信息,但没封装好的安装包,所以只提供版本号和大概更新日期(非正式版)
2025年4月15日,更新内容:
本帖快两个多月没更新了,大家可能以为是我忘记本帖了,实际上是没有值得更新的内容,因为25030.2版本我用一个多月了,没啥变化,我就没啥说的,但今天Microsoft发布了MD 4.18.25040.1版本,终于是有可以说的新内容了。
不废话,先上版本截图
接下来是如标题上说的那样,新增MDE诊断引擎模块MdeDiag.dll,Microsoft Defender for Endpoint Diagnostic Engine文件,也就是Microsoft Defender for Endpoint诊断引擎模块。
它在没有MDE部署的情况下,没有被MsMpEng.exe核心进程加载,应该是在部署MDE以后,来诊断MDE状态的功能模块。
该MdeDiag文件会收集本地MD系和系统安全状态等设置详细信息,然后反馈给MDE云控制台门户,让管理员了解这台设备的安全状态和MD信息,以便处理MDE的异常状态,应该是为针对EDR杀手文件准备的应对方案。
当然,MdeDiag具体的功能还是等官方正式版发布以后,才能确认更多的相关信息。
比较可惜的是MdeDiag跟MD免费版的安全功能没啥关系,所以这次更新看似是非常重要,可对我们普通用户来说毫无用处。
今天就这样吧,我们在下一次MD更新重要内容时,再见。
=========================================================
2025年2月18日,更新内容:
相对于之前的25010版本,这次的25020版本几乎没有什么大变化,当然现在是预览版阶段,还没有到达BETA版本,目前只是发现KSLD驱动从之前24110版本更新到25011版本,其他变化不大。
版本信息:
KSLD驱动版本信息:
目前只有这些最新消息,其他内容,以后我有发现再更新。
===========================================================
2025年1月30日,更新内容:
泪奔了,四个月没更新的MP引擎,终于从24090.11更新到25010.6版本了,遗憾的是与SAC冲突还是没解决,依然没有写入监控,但扫描已经恢复正常,可正常触发零容忍级别的云查杀,清理病毒也不会出现无法删除的情况,总之看到希望了。
25010.6的MP引擎版本截图
检测威胁和隔离样本功能已恢复,跟SAC功能的冲突有所缓解,可惜写入监控还是不灵。
另外25010引擎已经不再生成KSLD驱动,因为25010平台自带KSLD驱动,内部变化应该不小,这就是沉寂四个月后的大爆发吗?
这次KSLD更新最大的变化是TDT的筒仓类型(TDTSiloType)发生变化,我的设备之前启用TDT的状态如下:
- TDTCapable : Supported
- TDTMode : rsw
- TDTSiloType : E
- TDTStatus : Enabled
- TDTTelemetry : Disabled
现在更新25010平台和引擎以后,TDTSiloType的状态从之前的E变成了S,如下:
- TDTCapable : Supported
- TDTMode : rsw
- TDTSiloType : S
- TDTStatus : Enabled
- TDTTelemetry : Disabled
更新之前,TDT遥测是E模式
BEGIN TDT(E) telemetry
Instance:8497383994442402385
NotifyEvent:{"status":{"code":4,"description":"set_configuration status notification","state":"inactive","timestamp":"1738216453","platform_info":{"cpu_vendor":"GenuineIntel","cpu_brand":"Intel(R) Core(TM) i5-14500","cpu_family":"6","cpu_model":"191","cpu_stepping":"2","perfmon_version":"5","pt":true,"intel_gpu":true,"gpu_driver_description":"Intel(R) UHD Graphics 770","gpu_driver_version":"32.0.101.5542","perfmon_freeze":true,"os_info":"26100 (Windows 10 Enterprise)","tdt_version":"4.7.4.339"},"return_code":0,"detector_name":"rsw","profile_name":"tdt_rsw_g304x","profile_date":"2024-10-08","eof":null}}
Timestamp:01-30-2025 05:54:13
END TDT(E) telemetry
更新以后,TDT遥测变成S模式:
BEGIN TDT(S) telemetry
Instance:6660167746798471753
NotifyEvent:{"status":{"code":4,"description":"set_configuration status notification","state":"inactive","timestamp":"1738216933","platform_info":{"cpu_vendor":"GenuineIntel","cpu_brand":"Intel(R) Core(TM) i5-14500","cpu_family":"6","cpu_model":"191","cpu_stepping":"2","perfmon_version":"5","pt":true,"intel_gpu":true,"gpu_driver_description":"Intel(R) UHD Graphics 770","gpu_driver_version":"32.0.101.5542","perfmon_freeze":true,"os_info":"26100 (Windows 10 Enterprise)","tdt_version":"4.7.4.390"},"return_code":0,"detector_name":"rsw","profile_name":"tdt_rsw_g304x","profile_date":"2024-10-08","eof":null}}
Timestamp:01-30-2025 06:02:13
END TDT(S) telemetry
翻日志的我发现S级的TDT遥测,好像有监控某些程序启动,看米忽悠的崩铁启动时,TDT的S模式,就进行检测了,之前的E模式,我20MB的日志中没有查到有监控米忽悠的程序。
BEGIN TDT(S) telemetry
Instance:6032581065956178276
NotifyEvent:{"status":{"code":14,"description":"BENE dynamic throttled process","state":"active","timestamp":"1738217249","tdt_version":"4.7.4.390","process_path":"C:\\PROGRAM FILES\\MIHOYO LAUNCHER\\GAMES\\MIHOYO\\STAR RAIL GAME\\STARRAIL.EXE","pid":2416,"bene":{"version":"1.0","filter":"true","directory_type":"restricted","authenticode_check":true,"install_time":196,"running_time":7},"eof":null}}
Timestamp:01-30-2025 06:07:29
END TDT(S) telemetry
具体的变化,我暂时还没有观察,因为我也是刚刚才更新到25010引擎的,虽然之前用了几天25010平台,但没相同版本的引擎是无法发挥出最新版本的完整功能,如有最新发现,我在更新本帖。
=================================================
2025年1月24日,更新内容:
最新消息,MD平台版本出现预览版4.18.25010.5,我这边已经成功更新,大家耐心等待新版本正式推送吧,因为安装包没有数字签名,我就不发了。
截图为证
之前发现的新文件MpRecovery不知所踪,没活到正式版发布吗?
啥,MD被动模式,KSLD驱动也常驻系统了,这是干啥,会不会影响第三方调用TDT功能啊,你这是要干啥啊
KSLD驱动常驻系统内核。
MD显示TDT状态不可用。
我可怜的ESET,不知道还能不能愉快的调用TDT了,毕竟人家MD的KSLD是内核级的TDT,我哭了,昨天才安装的EES 12啊
================================
现在最新测试版的版本号,注意defender的大版本号是5.X版本哟。
这最新版本的测试版本上出现一个MpRecovery的新文件,不知道是版本更新还原功能,还是威胁回滚还原功能,进一步消息要等一个月后正式版发布才能有相关信息。
MD 4.18.25010文件截图
还有就是TDT的支持驱动KSLD以后可能直接安装在系统上,不再是由引擎释放生成了,版本是24110的驱动。
注意:本帖的相关信息非微软官方消息,属于小道消息,准确性并不高,而且信息源不稳定,很有可能随时断更,如有错误或者断更,请各位多多包涵。
|
发表于 2025-1-21 01:06:16
楼主