无语了病毒样本区的样本基本都过了MSE

显示全部楼层 · 发表于 2011-4-12 12:49:16

本帖最后由 z13667152750 于 2011-4-12 12:49 编辑

回复 40楼帅就是帅的帖子

四、MSE有主动防御吗？他的自保能力如何？
在发布的 Microsoft Security Essentials 中，Microsoft 引入了动态签名服务，这种新方法可为 PC 提供最新的保护，而不必等待下一次签名下载。除了根据每日下载的一组签名验证可疑文件外，Microsoft Security Essentials 还采用了其他技术来监控新出现的恶意软件，并以接近实时的方式检查签名更新。
一类新的启发式签名可利用我们的动态转换技术，在程序运行前模仿其行为。Microsoft Security Essentials 使用这些签名来寻找可疑行为的踪迹、与已知恶意软件相似的特征及其他异常操作，然后询问动态签名服务是应提交该程序进行分析还是将其终止。
在进程启动后，Microsoft Security Essentials 还会监控未知程序采取的文件、注册表、网络和内核模式动作，以探查可疑行为。诸如不希望出现的网络连接（试图修改系统的授权部分或下载已知恶意软件内容）等动作都会触发动态签名服务更新请求。
至于自保能力，MSE有其基本的自我保护能力，虽然可以在任务管理器中结束其进程，但是依然可以自行恢复。达到日常基本自我防护能力。

仔细看了下这个,我的理解是,当mse的实时监控利用启发发现某程序会进行敏感操作时,或者监控到某程序执行敏感操作时,会提升启发等级或者是即时联网更新部分库

有主动防御的一些特征,但是没有主动防御最重要的规则以及询问等,没有用户介入,监控点也较少

显示全部楼层 · 发表于 2011-4-12 13:01:37

回复 23楼 houcen 的帖子

你贴的两个样本没有数字签名啊

UAC的拦截和签名没有必然关系假设有三种程序
A.要求提权的程序(带有有效数字签名)
B.要求提权的程序(带有无效数字签名或无数字签名)
C.没有要求提权的程序(一般都没有数字签名)

A类程序会触发UAC询问弹窗为绿色代表较为安全
B类程序会出大UAC询问弹窗为黄色代表需要注意
C类程序不处罚UAC询问直接被打入中等权限组默认不能修改系统设置

所以只要你注意选择是或否 UAC的最终结果都是限制程序修改系统的

而且打开UAC后IE8直接被分到最低权限组这时的IE8的降权相当于chrome的沙盘安全性提高一个级别

显示全部楼层 · 发表于 2011-4-12 13:03:21

MSE没有行为分析
也根本没有基本的自我保护

显示全部楼层 · 发表于 2011-4-12 13:07:59

z13667152750 发表于 2011-4-12 12:49
回复 40楼帅就是帅的帖子

四、MSE有主动防御吗？他的自保能力如何？

这个很早官人就放过了，但貌似官方在刻意混淆这个DSS，比如所谓的动态转换技术其实就是个虚拟机嘛，比如MSE的监控所谓的触发，个人目前没有看到RD，而且所谓的触发DSS也并不需要在行为中出现，这个DSS可能更接近“云反馈”。

另外。。。。这段话，怎么感觉像是我自己说的

当初这么说只是个猜测，对其引擎的各种阈值等都是镜中花水中月，所以只是猜测

显示全部楼层 · 发表于 2011-4-12 13:09:00

本帖最后由 hj5abc 于 2011-4-12 13:12 编辑

回复 39楼 wy1091727248 的帖子

不是这样的。

卫士的网页防护相当于URL黑名单和脚本过滤(话说是这样的)

而MSE的网络防护直接建立在网络通讯上在挂马网页中直接阻挡已知漏洞攻击或者说是入侵意图

还有你所说的MSE监控直接搞定挂马病毒是本地引擎的功劳

显示全部楼层 · 发表于 2011-4-12 13:10:57

回复 43楼 dl123100 的帖子

那双击报毒是靠类似虚拟机启发的东西？

显示全部楼层 · 发表于 2011-4-12 13:20:43

dl123100 发表于 2011-4-12 13:03
MSE没有行为分析
也根本没有基本的自我保护

大牛，那MSE所谓的动态签名服务只是个特征的实时监控吗？
麻烦您指教了

显示全部楼层 · 发表于 2011-4-12 13:24:06

回复 47楼帅就是帅的帖子

类新的启发式签名可利用我们的动态转换技术，在程序运行前模仿其行为。Microsoft Security Essentials 使用这些签名来寻找可疑行为的踪迹、与已知恶意软件相似的特征及其他异常操作，然后询问动态签名服务是应提交该程序进行分析还是将其终止。

这个是官方原话还是你的理解?

显示全部楼层 · 发表于 2011-4-12 13:28:26

z13667152750 发表于 2011-4-12 13:24
回复 47楼帅就是帅的帖子

类新的启发式签名可利用我们的动态转换技术，在程序运行前模仿其行为。Microso ...

你引入的部分，前三段是官方原话

通过这个原话你会发现“内涵丰富”。。。。

显示全部楼层 · 发表于 2011-4-12 13:33:31

本帖最后由 z13667152750 于 2011-4-12 13:38 编辑

回复 49楼帅就是帅的帖子

前面的部分很好理解,关键是这一段,我怎么觉得就是监控敏感操作(但是没有对这些行为的进一步分析),发现敏感操作后就联网更新库,可能还会挂起程序,等待更新后的重新扫描

在进程启动后，Microsoft Security Essentials 还会监控未知程序采取的文件、注册表、网络和内核模式动作，以探查可疑行为。诸如不希望出现的网络连接（试图修改系统的授权部分或下载已知恶意软件内容）等动作都会触发动态签名服务更新请求。

和这一句有点符合:这种新方法可为 PC 提供最新的保护，而不必等待下一次签名下载。除了根据每日下载的一组签名验证可疑文件外，Microsoft Security Essentials 还采用了其他技术来监控新出现的恶意软件，并以接近实时的方式检查签名更新。

[一般话题] 无语了病毒样本区的样本基本都过了MSE

评分

[一般话题] 无语了 病毒样本区的样本基本都过了MSE

评分

[一般话题] 无语了病毒样本区的样本基本都过了MSE