无语了 病毒样本区的样本基本都过了MSE

帅就是帅

z13667152750 发表于 2011-4-12 13:33
回复 49楼 帅就是帅 的帖子

前面的部分很好理解,关键是这一段,我怎么觉得就是监控敏感操作(但是没有对这 ...

嗯，所以如果看官方引入的这些话，反而会更加琢磨不定
首先，这个所谓的“签名”实际上就应该是库（我也没有把握说一定就是特征库）
第一部分红色字体，即使特征监控也可以完成部分，比如写入危险文件触发监控，连接网络触发监控等等，这里似乎也是有个阈值的，当某种或某些行为的“累积”可能触发，但触发的究竟是特征监控还是所谓的“行为”就不知；
而且，MSE对于“未知程序”的判断标准，也不知。
第二部分红色字体，“触发动态签名服务”，这个不仅在实时中，在扫描中也有可能触发，当满足某种条件后，触发了，就会和微软的服务器通讯，下载处理该威胁所需的信息（库），而这个过程和平常病毒库的更新不同，所以可以看成是一种不同的“云”，一种“云反馈”，而和国内的云扫描、云主防区别。而且，这种情况还蛮少见的，要从事件查看器中看日志，所以才有了第三部分的红色字体。
至于第四部分红色字体，空话。

hj5abc

回复 49楼 帅就是帅 的帖子

官方的原话确实有点误导人
http://www.microsoft.com/en-us/security_essentials/FeaturesBenefits.aspx
中real-time protection ,live system behavior monitoring,dss都提到行为识别

简略可看这几句

1. Live system behavior monitoring uses sensors to detect suspicious process, file registry, and kernel operations to help identify new threats.

复制代码

1. Microsoft Security Essentials uses these signatures to look for signs of suspicious behavior and characteristics that are similar to known malware and other abnormal operations. It then queries the dynamic signature service to see if the program should be submitted for analysis or terminated. After a process starts, Microsoft Security Essentials also monitors the file, registry, network, and kernel mode actions taken by unknown programs for suspicious behavior. Actions such as initiating unexpected network connections, attempting to modify privileged parts of the system, or downloading known malicious content trigger requests for updates from the dynamic signature service.
   
2. 
   

复制代码

串联起来看 就是 MSE的行为识别是一组sensors 用来识别可疑程序然后进行云反馈 来决定该程序是否需要上传分析或终止  

而官方视频中的测试 应该就是这个意思 运行一个A 释放了一个已知的B B被MSE隔离 MSE进而检测到是A释放了B 定义为Behavior:Win32/DroppedKnownMalware
根据个sensor 触发MSE将A送到DSS进行查询 下载一段云端的特征码对A进行检测 见到到A也是病毒后 挂起A 此时A的状态显示Active 然后隔离

z13667152750

回复 51楼 帅就是帅 的帖子

国外似乎都是把特征库称为签名

什么已签名病毒样本之类的

z13667152750

回复 51楼 帅就是帅 的帖子

应该不是启发监控,前面就是说的启发监控敏感行为(模仿)
类新的启发式签名可利用我们的动态转换技术，在程序运行前模仿其行为。Microsoft Security Essentials 使用这些签名来寻找可疑行为的踪迹、与已知恶意软件相似的特征及其他异常操作，然后询问动态签名服务是应提交该程序进行分析还是将其终止。

后面似乎是说某些行为会触发签名更新,（我直接理解成特征库或者启发库之类的更新），所以说以接近实时的方式检查签名更新

帅就是帅

hj5abc 发表于 2011-4-12 13:47
回复 49楼 帅就是帅 的帖子

官方的原话确实有点误导人

是的，看英语原文其实可以一定程度避免了理解偏差，但实际上还是“欲掩还羞”，只看到了不断强化sensor和behaviour，而没能进一步的“明确”，所以有时觉得可能是个ad方式。。。。
这玩意，微软似乎有意不想让公众过多深入。。。

帅就是帅

z13667152750 发表于 2011-4-12 13:52
回复 51楼 帅就是帅 的帖子

应该不是启发监控,前面就是说的启发监控敏感行为(模仿)

貌似就微软一家把自己的库用signature表述，所以往往和数字签名搞混淆

关于54L，可以看看52L及百锐的引擎

klinxun

回复 56楼 帅就是帅 的帖子

究竟2这里面有什么关系
…………姐夫不说

帅就是帅

回复 57楼 klinxun 的帖子

凑钱做掉他

估计也是某人不小心那啥了，这种事情当然需要保密的

hj5abc

回复 56楼 帅就是帅 的帖子

不同说法 其实表达意思差不多的
signature pattern definition 都被较多用来表示特征码或者叫定义

gearfox

还没安装MSE 没办法测试