MSE版区诚邀您一起探索MSE面纱下的魅力~Ver1.0beta

帅就是帅

经过昨天的测试，我们看到了MSE的发力！其实，这个看似简单、智能的MSE含有丰富的内涵，在她神秘面纱下又有着怎样妖娆、妩媚、不为人知的魅力呢？MSE版区诚邀您一起探索MSE面纱下的魅力~[:27:]
那么，我在2L抛砖引玉，希望各路高手能探索一下，互馈饭友~

帅就是帅

1.MSE关键点（有重复和交叉）：基因和启发、动态签名服务、行为监控、网络检查系统、SpyNet社区

2.基因与小红伞的广谱共性和区别？启发是动态还是静态，亦或两者皆有？（似乎有虚拟机）

3.动态签名服务（此签名非数字签名）

一方面MSE这一新的启发式签名利用动态转换技术，在程序运行前模仿其行为。MSE 使用这些签名来寻找可疑行为的踪迹、与已知恶意软件相似的特征及其他异常操作，然后询问动态签名服务是应提交该程序进行分析还是将其终止。
另一方面，在进程启动后，Microsoft Security Essentials 还会监控未知程序采取的文件、注册表、网络和内核模式动作，以探查可疑行为。诸如不希望出现的网络连接（试图修改系统的授权部分或下载已知恶意软件内容）等动作都会触发动态签名服务更新请求。

何谓“动态转换技术”？按照后面所说的“在程序运行前模仿其行为”感觉就是动态虚拟启发。
从“另一方面”后，则是行为分析，只是如何（或者行为累积满足什么条件后）才能“触发动态签名服务更新请求”？

4.还是关于这个动态签名服务：
ＭＳＥ本身就是实时内核监控防御各种威胁，其实时检查内核结构的完整性，一般而言，当有无法通过传统侦测检出的新型Rookit的攻击或者修改时就会向“动态服务签名”发送遥测和更新请求，这个过程可以看成是ＭＳＥ和微软服务器之间的通讯连接。对于系统的一些程序更改行为首先通过特征、基因和启发检测是否匹配，并会与微软的服务器进行连接继续匹配这种程序，并下载相关信息处理威胁。（而不用等待下一次病毒库更新）

5.关于SpyNet：

在SpyNet高级成员模式下，如果检测到由尚未进行风险评估的软件进行的更改，系统将询问您要允许还是拒绝。基本成员不会收到这种提示，更改将被直接允许。

而这个SpyNet，不仅仅只是一般的反馈报告什么的，很明显这里和行为分析与动态签名服务是相关联的，在高级成员模式下会更加交互。但此SpyNet究竟如何作用？是MSE单向提醒用户这个交互过程，还是由于之前的社区反馈，类似云做的双向反馈处理？

6.关于网络检查系统，即win7中mse2.0的NisSrv.exe进程，仅仅知道它基于网络协议防范已知漏洞的攻击，没有更详细的资料了。

7.另外补充一下2.0对rookit防御的改良，随便看看（一般没有提到）：

而对于特别难于做出针对性防护的Rootkit恶意软件，MSE采用了大量新技术和改良技术来加强对Rootkit 和其他攻击性威胁的防御：

实时内核行为监控：MSE 的后盾是屡获殊荣的保护引擎，该引擎定期更新。 Microsoft 恶意软件保护中心的反恶意软件研究人员团队为该引擎提供支持，全天候针对最新的恶意软件威胁提供响应，只要计算机内核受到未通过传统签名检测出的新型 Rootkit 的攻击或修改，就会向动态签名服务发送遥测和更新请求。

增强的反隐藏功能：在 MSE 快速扫描和完整扫描过程中，我们支持采用直接文件系统解析(“Rootkit Revealer”方式扫描)，这样我们就能够识别并删除被 Rootkit 隐藏在文件系统中的程序和驱动程序。

增强的实时 Rootkit 删除功能：Microsoft Security Essentials 可在清理过程中动态加载新的内核模式驱动程序，这样便可采取积极行动，从而成功删除部分高级 Rootkit。

Microsoft Security Essentials 客户还可通过产品支持访问我们的独立系统清理程序工具，该工具允许用户启动 Windows PE 环境，并在系统完全停止活动时对其进行扫描/清理。

8.实例说明一下：
昨天扫描区的成绩有目共睹，以前因为个人原因，没有装虚拟机，也是懒，没有去好好研究下，昨天也是实机沙盘测试的，也有几个要点：
◆“动态签名服务”的触发，并不仅仅是在双击运行后的行为监控过程，即使单纯的扫描过程也会出现，曾经在扫描区测试中出现过。
◆“动态签名服务”触发了，既然需要下载，必然依赖联网，和传统的主防也有很大差别。另外，所下载的处理信息是特征型还是规则型？如果断网，是否“动态签名服务”就会失效（虽然前面说依赖联网）。
◆正因为有了“动态签名服务”的下载过程，MSE也可以二次扫描，类似云扫描。
◆MSE的行为监控是非交互式的，只有它最终判断结果危险时才会提醒用户去处理，所以不会有类似毛豆的各种弹窗。另外，MSE的“主防”也感觉是那些4D的大杂烩，看不到，不清晰。
◆关于入库，经过动态签名服务后查杀的样本很快就入库了（似乎是特征码查杀？）而在扫描过程结束后会提示你的“发送”，大多都是威胁等级较高，也很快入库。同时在行为监控过程中拦截后提示你的“发送”入库也是较快的。未验证，待高手试试，或者找找相关资料，嘿嘿，偷懒一下。

帅就是帅

本来不打算谈论这个话题的，因为相关资料实在太少了，很多东西都是自己的推测，出于负责任的态度不敢瞎说，但为了不使大家误解MSE，并激发对MSE的探索，活跃MSE版区的氛围，故提出来大家一起讨论学习。更希望大家能对MSE有一个新的认知，感受“简单”事物的“不简单”之处，体会MSE的独特魅力~
当然，高手研究后可另发帖说明，奖励嘛，不会亏待乃们的，MSE鼓励技术原创~~

klinxun

帅哥v5……看来mse有社区和主防的。为表支持，家中机器用正版win7号，64位，装上mse。适合家人用啊~

chenxi10000

前排支持 纯支持 要人气 你懂的

tydc1990

恩。。是要好好的支持一下~~  
期待高手进来详解。
帅哥 幸苦了。。

mexth

支持一下了，奈何想说得基本都被帅帅说完了，有了更新的东西我也来补充下

永远0不再犹豫

好强悍哦

Rex_mse

这个必须顶，帅帅最近为版区做的努力大家是有目共睹的

polluxkyo

W7一直都是微软套装