MSE与传统安全软件的区别？？？

流星小语

我看到这样的报道，所以想和大家讨论一下：MSE与传统安全软件的区别？

上网闲逛，在论坛里看到某网友讨论微软的杀毒软件MSE，这位网友可细心了，对MSE安装文件里的sys驱动程序都留意到了，并发布了他观察的结果

大意就是说：mse杀软每次更新之后，这个驱动的名字也会改变下，其中有8 位的纯数字会不规律的变化，让病毒木马根本抓不准微软杀毒软件的这个驱动文件完整名字，因此这是一个很好的自我保护方式，让病毒无从下手
要知道通过不规律变化进程或文件名字是一个由来已久而非常有效的自我保护方法，病毒木马无法准确获取名字那就不能对这个进程或文件作破坏了，之前我知道的采用这种方法的安全工具有曾经大名鼎鼎的冰刃和wsyscheck

每次打开后标题栏的名字都是随机变化的，可以防止病毒木马通过查看程序标题的名字来识别并破坏安全软件

不过仔细想想，这是一个很好的自我保护方式吗？

我们细心观察下，微软的这个驱动文件和冰刃的共同点是会随机变换名字，不同点是mse的驱动文件每次只变换“MpKsl_” 这后面的一部分字而已，冰刃则是将名字全部替换掉，和前一次完全不同



这么做的原因我想很简单，因为mse杀毒软件工作需要用到这个驱动文件，而一旦将驱动名字完全改变那么mse肯定无法查到该文件了，这时软件也会运行失败，所以前面的MpKsl_不能变，起留记号的作用。

这样杀软每次运行，只要搜索下 MpKsl_ 开头，.sys结尾的文件加载进来就行啦，而一个从未安装过mse杀毒软件的系统里是不会有MpKsl_文件的，所以不管后面8 位如何变动都不影响



冰刃和mse杀毒软件不同了，冰刃无需安装，绿色小巧，所以自我保护方式没有其他需要安装的大型安全软件那么丰富多样。而且主程序的标题改动对程序运行工作没有任何影响，所以可以放心大胆地去变换着。



好啦简单介绍完毕大家应该知道了，

既然mse可以正常找到MpKsl_xxxxxxxx.sys这个文件，那么病毒木马也一样能做到，在编程语言里很容易实现通过文件名的一部分来定位具体文件位置和全名的功能

所以这个留记号变换部分名字的方式根本不是一个很好的自我保护措施，我想微软这样的厂商不会想不到吧



虽然没用过这款杀毒软件，但我对mse其实还是很有好感的，毕竟是微软自家出的杀毒软件，要知道病毒木马和杀毒软件都是要深入操作系统低层的，作者都必须拥有深厚的编程知识和对操作系统原理的足够了解

在微软没有开放windows系统代码的时候，谁能比微软更了解windows呢？所以mse如果有自我保护能力，那绝对不是简单的体现在这个驱动上面吧

里奥

MSE是微软经过多年和杀软厂商合作及自己产品的了解而推出的
理论上是Windows下最合适的杀软
但是因为其还有很多的不足，所以提升空间很大
如果用好权限和加密技术
即使没有病毒库，MSE也应该是最好的

流星小语

里奥 发表于 2011-5-31 16:16
MSE是微软经过多年和杀软厂商合作及自己产品的了解而推出的
理论上是Windows下最合适的杀软
但是因为其还 ...

希望在查杀和防护上能有所进步！！！

里奥

流星小语 发表于 2011-5-31 16:18
希望在查杀和防护上能有所进步！！！

如果能防御，还需要查杀吗
而且权限是所有人，所有软件，所有系统都不能忽视的
微软的Windows其实权限设置非常好，只要用好了，几乎就是无敌的

猪头无双

第一，严格意义上来说MSE不是微软自家出的，只是微软收购其他厂商后，把他的产品冠上微软的名字而已

第二，你说的这种随机更换字符的方法和我们常见的网游令牌有些类似，固然能有一定的作用，但是再随机的命名也是有一定的规律的，如果哪一天被哪一个人破解出其中的规律，那么这种看似随机的分布也就毫无意义了

流星小语

猪头无双 发表于 2011-5-31 16:20
第一，严格意义上来说MSE不是微软自家出的，只是微软收购其他厂商后，把他的产品冠上微软的名字而已
...

不还没破解吗
这个看他的占有率值不值得高手破解

猪头无双

流星小语 发表于 2011-5-31 16:26
不还没破解吗
这个看他的占有率值不值得高手破解

这一天早晚会有的

驭龙

似乎那帖子是我发的

不过跟你说实话，MSE是彻彻底底的传统杀毒软件，因为它的主防（行为监控，不算真正的主动防御）和动态签名服务（DSS，也算不上真正的云安全），虽然它有一些突出技术，但它还是传统杀毒软件，功能实在是太少。

期待着下一代MSE可以融入声誉云吧，到那时它才不是传统杀毒软件

流星小语

zdshsls 发表于 2011-5-31 16:45
似乎那帖子是我发的

不过跟你说实话，MSE是彻彻底底的传统杀毒软件，因为它的主防（行为监控，不算 ...

那你觉得MSE的防护和查杀率怎么样？从自我使用情况上看

驭龙

流星小语 发表于 2011-5-31 17:22
那你觉得MSE的防护和查杀率怎么样？从自我使用情况上看

我实话实说，MSE的保护能力相当不错，若不是功能少，其防御能力将数一数二。

查杀能力中规中矩，由于对流氓软件和低威胁样本的入库不好，所以查杀成绩不理想，不过实际使用上也还说得过去