本帖最后由 zdshsls 于 2011-3-26 16:14 编辑
Internet Explorer 9 includes a great new application reputation feature driven by SmartScreen. As described in this Building Reputation blog post by Ryan Colvin, SmartScreen uses file hashes and Authenticode signatures to identify publishers and applications.
Microsoft Security Essentials has included reputation features since its initial release as well, although the reputation features aren't visible to the user. Like SmartScreen, Microsoft Security Essentials (and its siblings Forefront Endpoint Protection and Windows Intune) uses Authenticode signatures and file hashes for reputation, but instead of identifying programs to the user, it identifies programs to the Microsoft Antimalware Engine. And our engine does some very interesting things.
Microsoft Security Essentials needs to be fast, and the fastest way to scan a file is to actually not scan the file at all - reputation helps it do just that. When Microsoft Security Essentials first encounters a file, it performs a malware scan using all the technologies it needs to determine if the file is malicious. If the file is not malicious (which is hopefully the case), there's a background check that happens later, using idle cycles to see if the file's Authenticode signature or hash matches an internal list of trusted publishers and known clean files. If the file is on the list, it will be skipped in future scans, either on access or on demand.
Next, Microsoft Security Essentials uses its internal reputation lists to control what information on unknown files it sends back to Microsoft, or what files it may ask users to submit to Microsoft for further analysis. Under the hood is a sophisticated runtime behavior-monitoring system, which looks for software acting suspiciously, like modifying an autorun.inf file to AutoPlay. The system is hooked up to our Dynamic Signature Service on the Internet, which can deliver detections as needed for fast-moving threats. Because of the need for speed and the fact that legitimate software will sometimes share behaviors with malware, that system will use the reputation lists to bypass files based on reputation.
Finally, the Microsoft Malware Protection Center monitors our Authenticode certificate and file hash lists for malware detections. In the exceedingly rare event of a detection of a file on our lists, we investigate and may adjust our lists or work with vendors and Certificate Authorities as needed.
How can developers get their applications added to the Microsoft Security Essentials reputation lists? The best way is using Authenticode signing on all binary files and download packages. For more information on signing, please see Eric Lawrence's excellent post Everything you need to know about Authenticode Code Signing.
Authenticode signing is key because it aggregates reputation for all your files, and applies your reputation to brand new files as well. Further, the Microsoft Malware Protection Center uses our telemetry to determine what to add to our reputation lists only.
Authenticode signing doesn't explicitly say anything about the safety of the signed code, as we in the MMPC know well, but it's invaluable for determining reputation and separating legitimate code from known publishers from potentially dangerous code. As more code is signed, reputation-based systems like SmartScreen and that in Microsoft Security Essentials get better and better, and hiding malicious software gets harder and harder. So please, help your customers by signing your code and building reputation.
机器翻译+部分人工修改
IE9 包括由 SmartScreen 驱动的大新应用程序的声誉功能。如由Ryan Colvin所述这 建筑物的声誉 博客张贴内容,SmartScreen 使用文件哈希值和验证码签名来标识发布服务器和应用程序。
MSE包括了声誉的功能以及其初始版本以来虽然声誉的功能不会对用户可见。SmartScreen,像 MSE (和同级 forefront端点保护 和 Windows Intune) 使用的验证码签名和文件哈希值的声誉,但识别该用户的程序,而不是,它标识了 Microsoft 反恶意软件引擎的程序。我们的引擎做一些很有趣的事情。
MSE 需要更快的和扫描文件的最快方法是实际上不会扫描该文件在所有-信誉帮助它做到这一点。当 MSE第一次遇到一个文件时,它会执行使用所有的技术,它需要确定该文件是恶意的恶意软件扫描。如果该文件不是恶意 (的希望是这样),有背景检查发生以后,使用空闲周期是否该文件的验证码签名或哈希与匹配的受信任的发行者和已知的清洁文件的内部列表。如果该文件位于列表中,将跳过在未来的扫描,访问或上的需求。
下一步,MSE使用其内部的声誉列表来控制哪些未知的文件的信息,它将发送到 Microsoft,或哪些文件它可能要求用户提交给微软作进一步分析。引擎罩下是一个复杂的运行时行为监控系统,并寻找形迹可疑,像修改 自动播放 autorun.inf 文件的软件。该系统挂接到我们在互联网上,能够检测所需的快速移动的动态签名服务的威胁。由于速度和合法的软件将有时共享了恶意软件的行为,系统将使用声誉的事实需要跳过的文件列表基于声誉。
最后, Microsoft 恶意软件保护中心 监视我们 Authenticode 证书和恶意软件检测文件哈希值列表。在我们的列表上的某个文件的检测的极其罕见情况下,我们调查和可调整我们的列表或根据需要与供应商和证书颁发机构工作。
开发人员如何获得他们的应用程序添加到 MSE的声誉列表?最好的方式是使用 Authenticode 签名的所有二进制文件和下载的软件包。有关签名的详细信息,请参阅埃里克劳伦斯优秀的开机自检 了解验证码签名所需的一切。
Authenticode 签名是关键,因为它聚集信誉为您的所有文件,并以全新的文件以及适用您的声誉。此外,我们来确定将添加到我们的声誉的遥测只列出的 Microsoft 恶意软件保护中心使用。
Authenticode 签名不明确说明经过签名的代码的安全中时,MMPC 我们比较熟悉的但它是无价的用于确定的声誉和合法的代码分离具有潜在危险的代码从已知的出版商。签署了更多的代码,如 MSE等 SmartScreen 基于声誉的系统在难获取获取更好和更好的隐藏的恶意软件。所以请帮助您的客户通过代码签名和建立声誉。
PS:看上去非常强大,一起期待MSE/FEP新声誉的出现吧,到时候查杀一定会很强悍的,希望MSE/FEP 3.0的时候,就可以出现这种声誉云,呵呵
SP 2:再次强调一下,这是官网消息,绝对真实可靠
附原文地址
http://blogs.technet.com/b/mmpc/archive/2011/03/23/building-reputation-with-microsoft-security-essentials.aspx
14楼,hj5abc兄弟的翻译
Internet Explorer 9 包含了一个由SmartScreen为基础的的新的强大的程序信誉功能。按照Ryan Colvin在Building Reputation博客中的描述,smartscreen使用了文件哈希值和可信度签名来识别发行者和应用程序。
MSE 从第一版开始就包含这种信誉功能,只是没有直接让用户看到。就像smartscreen,MSE(和它的同级产品FEP和windows Intune)也使用可信度签名和文件哈希值作为信誉的根据,但MSE对程序的识别结果不是用来提示用户,而且将其提交给扫描引擎。接着,扫描引擎会完成一些非常有意思的事情。
MSE需要快速地扫描文件,而最快的方法就是利用信誉来识别而不是扫描文件本身。对于第一次遇到的文件,MSE会使用扫描引擎来识别这个文件是否为病毒。如果这个文件没有被检测到威胁,MSE会将这个文件加入到后台扫描列表,在系统空闲的时候通过可信度签名和文件哈希值查询文件是否存在于内置的信任列表和已知干净文件列表(也就是白名单)中,如果存在,MSE往后在实时监控和手动扫描中将会跳过对这个文件的扫描。
接着,MSE将根据内置的信誉列表判断 剩下那部分未知的文件的哪些相关信息 需要回传给MS 或者哪些未知文件需要提示用户提交至MS做进一步的分析。提交的样本会放到云端虚拟系统分析其行为并判断是否为可疑文件,例如文件是或否会修改autorun.inf 指向自动播放。这个分析系统会挂接到微软的动态特征码服务(应该是动态签名服务,DSS。zdshsls注明),提供对快速传播的病毒的云端检测。出于对速度的需求和正常软件的某些行为可能与恶意软件类似这个事实,这个系统会使用信誉列表绕过对已知安全软件的检测。
最后,MMPC会监视可信度证书和文件哈希值列表来检测信誉列表中是否有恶意软件(根据博文,有些软件虽被信任,但证书可能会因为泄露而被黑客利用,用来附加到病毒上,当微软检测到证书不可信后,会撤销对之前通过该证书信任的所有文件)。对于被检测到的列表中的文件,MMPC将会重新调查,调整列表并联系该软件厂商。
开发者如何将他们的程序加入到MSE信誉列表?最好的方法是使用可信度证书对该软件的所有文件和安装包进行签名。更多关于签名的信息,请看Eric Lawrence的帖子 Everything you need to know about Authenticode Code Signing.
可信度签名是关键,因为它为你所有的文件提供信誉证明,并让你可以对新的文件建立信誉证明。然后MMPC讲通过遥测的方式来决定什么文件可以加入信誉列表(应该指的是通过云端验证将本地的签名程序加入到信誉列表)。
MMPC的分析员熟知,可信度签名并不明确地代表已签名的文件的安全度,但对信誉评价和区分已知可信程序和潜在危险的程序来说是宝贵的。随着越来越多的程序被签名,像SmartScreen和其他基于信誉系统的类似服务将会发展的越来越好,而隐藏恶意软件将会越来越难。所以为了你们的用户,请签名你们的程序来建立信誉。
帅帅有时间来看看,为什么14楼兄弟的翻译,与bing、yahoo、Google三种机器翻译的出入这么大呢?
|
发表于 2011-3-25 07:59:07
早点出来了~~~
楼主
