关于MFCS和MSE的二三事 Ver1.12

显示全部楼层 · 发表于 2010-2-21 08:38:49

本帖最后由 zdshsls 于 2011-6-20 19:56 编辑

改写自MSKB和MS Answers相关文章

MFCS和MSE的库称为病毒定义模块（VDM，Virus Definition Module），包含以下五个文件：
MpAvBase.vdm 是反病毒基本库。它通常每月更新一次。
MpAvDlta.vdm 是反病毒增量库。它通常每日更新多次，包含最新的基本库发布以来的所有更新。
MpAsBase.vdm 是反间谍基本库。它通常每月更新一次。
MpAsDlta.vdm 是反间谍增量库。它通常每日更新多次，包含最新的基本库发布以来的所有更新。
MpEngine.dll 是 Microsoft 恶意软件防护引擎。它调用上述*.vdm文件，以搜索恶意软件的痕迹。它通常每月更新一次。

从结构上来说，病毒定义模块其实是DLL文件，定义以RC数据的形式封装于其中。如果你找到*.vdm文件，将其扩展名改为dll，即可在右键->属性中看到它们的数字签名。

目前，Microsoft 每月整合一次库。在整合时，上一个基本库及其所有增量库合并在一起，形成新的基本库。在日常更新中，所有更新内容都添加到增量库，而基本库保持不变，直到下次整合。在整合时，Microsoft 会同时更新引擎。也就是说，每次整合后，上述文件将全部更新。

离线升级包是引擎、基本库、增量库的集合。
http://download.microsoft.com/download/DefinitionUpdates/mpam-fe.exe（32 位操作系统）
http://download.microsoft.com/download/DefinitionUpdates/mpam-fex64.exe（64 位操作系统）

在日常更新中，Microsoft 使用增量升级包以减小下载文件的大小，这种升级包称为二进制差分增量（BDD，Binary Differential Delta）。关于这个，我觉得直接上张图比MS的大段文字更直观：

MFCS和MSE的更新需要使用Automatic Updates（Windows Update）、BITS（Background Intelligent Transfer Service）、Event Log服务，因此它们必须保持运行。
但是，MSE的更新与控制面板->自动更新里设置的更新安装方式无关。不管你是开启自动更新，还是访问Microsoft Update网站，都不会提示你手动安装MSE的更新。MSE的更新由MSE自己管理，只是用到了AU（WU）、BITS、Event Log服务而已。也就是说，只要这些服务保持运行，即使控制面板->自动更新里设置的是“仅通知”或“从不检查”，MSE也会自动更新。当然，我们仍然强烈建议你将自动更新方式设为“自动下载并安装”，因为及时安装更新可以提高系统的安全性。
与MSE不同，MFCS的更新与控制面板->自动更新里设置的更新安装方式有关。此设置会影响MFCS的更新安装方式。

即使系统中的MSE已经几天没更新，MSE仍然会报告它处于最新、状态良好。MSE不仅使用本地库进行常规防护，还具有行为检测能力。如果检测到可疑行为，MSE会与服务器通信，以查找是否有匹配的特征。如果找到，MSE会立即下载处理威胁所需要的信息。

在SpyNet高级成员模式下，如果检测到由尚未进行风险评估的软件进行的更改，系统将询问您要允许还是拒绝。基本成员不会收到这种提示，更改将被直接允许。

默认设置下，MSE每24小时自动检查一次更新。目前MSE设置里没有修改更新间隔时间的选项。不过，你可以关闭UAC，然后找到注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates，把SignatureUpdateInterval的值改为想要的间隔时间（推荐设为4），单位为小时。

系统启动或从休眠中恢复后10分钟，如果有网络连接，且上次更新时间已超过24小时，MSE会检查一次更新。

如果已经7天没更新，MSE会显示“计算机状态存在风险”。

当IE里设置了需要认证的代-理服务器时，MSE不能自动更新。

目前MSE不能通过WSUS更新。由于MSE是家用软件，这个问题应该影响不大。微软会在以后的WSUS中加入MSE支持。

从1901版开始，MSE不仅在安装时会进行正版验证，还会在运行时不定期进行正版验证。如果检测到系统是盗版，MSE会弹出提示，并在30天后拒绝工作。

最后，强烈建议仔细看一看MSE的隐私声明，这有助于你决定是否打开SpyNet高级成员：http://www.microsoft.com/securit ... vacy.aspx?mkt=zh-cn

由zdshsls执行修复图片操作。此图片无法修复，是上次硬盘数据丢失造成的。

—— ——zdshsls

显示全部楼层 · 发表于 2010-2-21 09:17:20

本帖最后由冲冲于 2010-2-21 09:18 编辑

杀花围观，原来内容是这个

显示全部楼层 · 发表于 2010-2-21 09:17:35

学习了

显示全部楼层 · 发表于 2010-2-21 09:33:27

mse有行为防护？微软也不好好介绍一下！

显示全部楼层 · 发表于 2010-2-21 09:38:25

写的不错

显示全部楼层 · 发表于 2010-2-21 09:43:13

？？？是哪个版本的MSE更新后会在自动更新里写入病毒库更新信息的？

显示全部楼层 · 发表于 2010-2-21 09:46:02

整合库的时候更新痛苦了

显示全部楼层 · 发表于 2010-2-21 10:11:03

本帖最后由 zqx1114 于 2010-2-21 10:12 编辑

貌似只有MFCS有简单的行为保护吧，启动项监控啥的~
相比较MSE功能太单一了，像国内的一些流氓软件还就是需要那些功能防范

不过，MFCS界面太丑了，占用太大了
不过，他说的行为特征码很有大蜘蛛的风格啊

显示全部楼层 · 发表于 2010-2-21 10:12:58

学习了

显示全部楼层 · 发表于 2010-2-21 10:42:22

学习了。
微软整合库的时候还是要比红伞整合库轻松一点。。
mfcs的界面其实就是windows defender的界面..

[技术探讨] 关于MFCS和MSE的二三事 Ver1.12

评分