无语了病毒样本区的样本基本都过了MSE

显示全部楼层 · 发表于 2011-4-12 14:35:55

本帖最后由 hj5abc 于 2011-4-12 14:37 编辑

klinxun 发表于 2011-4-12 14:12
回复 56楼帅就是帅的帖子

究竟2这里面有什么关系

其实直接看官方说明还好些不难理解

在程序执行前MSE监控或扫描模拟文件发现可疑行为时进行云端反馈

在程序执行后MSE会继续监视进程的动作发现可疑动作时进行云端反馈

而且MS从来没有说过是behavior blocking之类的都是说behavior monitoring 只在监视不阻挡

显示全部楼层 · 发表于 2011-4-12 14:38:09

回复 61楼 hj5abc 的帖子

我在跟帅帅聊mse跟国内某启发引擎的关系……呃，不能说太多了。你当做什么都没看到好了。

显示全部楼层 · 发表于 2011-4-12 14:46:04

本帖最后由 hj5abc 于 2011-4-12 14:46 编辑

回复 62楼 klinxun 的帖子

其实你已经那个啥很多了哈哈哈哈哈以退为进强

显示全部楼层 · 发表于 2011-4-12 15:34:50

回复 42楼 hj5abc 的帖子

嗯。。我终于懂UAC了。。

显示全部楼层 · 发表于 2011-4-12 19:12:35

本帖最后由 alms 于 2011-4-12 20:46 编辑

俺说MSE区为什么今天比较火捏,原来是各大佬出没

显示全部楼层 · 发表于 2011-4-12 20:25:14

回复 3楼 houcen 的帖子

https://www.microsoft.com/securi ... b1534f796f5&n=1

https://www.microsoft.com/securi ... 32108151f05&n=1

上报反馈

显示全部楼层 · 发表于 2011-4-12 22:31:34

我覺得你們說了那麼多，實際mse的所謂主防在我看來
不就是和fs的deepguard一個模式麼，本地庫監控，未知的時候雲反饋
怎麼扯的那麼迷茫呢，為什麼為什麼

显示全部楼层 · 发表于 2011-4-13 00:12:46

回复 67楼 Qoome 的帖子

不一样。
deepguard分三层，云反馈--启发--行为拦截，而且云反馈针对每个程序的；mse是发现有可疑时触发云查询反馈
两者还有一点区别，dg在程序load入内存前完成，就是说程序还没真正运行，而mse有时会等到程序运行后再挂起最后清楚。

显示全部楼层 · 发表于 2011-4-13 13:02:35

回复 68楼 hj5abc 的帖子

也就是类似诺顿sonar虚拟机启发那部分……

显示全部楼层 · 发表于 2011-4-13 13:13:32

回复 69楼 klinxun 的帖子

差不多

不一定全是动态的诸如数字签名,加壳,一些特征都会作为判断因素不过DG只阻止不清除

[一般话题] 无语了 病毒样本区的样本基本都过了MSE