微軟MSE 2010 RC 的安全秘密

Win7之家（ afsion.com.cn）：微軟MSE 2010 RC 的安全秘密

與之前MSE 1.0版本相比，今天最新發(fā)布的Microsoft Security Essentials 2010 RC(Release Candidate發(fā)布候選版)在軟件的系統(tǒng)安全整合優(yōu)化方面進(jìn)行了很大的改進(jìn)，根據(jù)用戶經(jīng)常通過(guò) Internet 進(jìn)行瀏覽和使用 Web 應(yīng)用程序，受到Web攻擊的可能性也越來(lái)越大，而且這些 Web 攻擊可能包括強(qiáng)迫下載、惡意廣告、多級(jí)重定向和利用攻擊的特點(diǎn)，最新的MSE 2010 RC 可與 Internet Explorer 安全設(shè)置和篩選器協(xié)同工作，以便更加有效地抵御各種 Web 威脅。

同時(shí)，MSE 2010 RC還增強(qiáng)了與Windows 防火墻的集成，可以幫助防止黑客或惡意軟件通過(guò) Internet 或網(wǎng)絡(luò)訪問(wèn)您的計(jì)算機(jī)。現(xiàn)在，我們?cè)诎惭b MSE 2010 RC 時(shí)，安裝向?qū)�將�?yàn)證 Windows 防火墻是否已打開(kāi)。如果您有意關(guān)閉了 Windows 防火墻，也可以通過(guò)清除相應(yīng)復(fù)選框來(lái)避免打開(kāi)它，或者，您還可以通過(guò)控制面板中的“系統(tǒng)和安全性”設(shè)置隨時(shí)更改 Windows 防火墻設(shè)置。

從安全特性的角度來(lái)講，微軟安全軟件MSE 是基于 Microsoft 屢獲殊榮的惡意軟件保護(hù)引擎構(gòu)建而成，所采用的核心防惡意軟件技術(shù)與 Microsoft 的其他安全產(chǎn)品一樣，此外，微軟安全軟件MSE采用了多項(xiàng)高級(jí)系統(tǒng)掃描和刪除技術(shù)，這些技術(shù)都使用一個(gè)詳細(xì)描述已知惡意軟件的特征和行為的定義數(shù)據(jù)庫(kù)。為了確保隨時(shí)應(yīng)對(duì)病毒的發(fā)生，Microsoft 每個(gè)月都會(huì)從全球超過(guò) 4.5 億臺(tái) PC 收集威脅報(bào)告，之后 Microsoft 安全響應(yīng)中心將對(duì)這些威脅進(jìn)行評(píng)估，并且每天編寫(xiě)、部署新的簽名。

這里“動(dòng)態(tài)簽名服務(wù)”是涉及到的一個(gè)技術(shù)亮點(diǎn)，在發(fā)布的 MSE中，Microsoft 引入了動(dòng)態(tài)簽名服務(wù)，這種新方法可為 PC 提供最新的保護(hù)，而不必等待下一次簽名下載。除了根據(jù)每日下載的一組簽名驗(yàn)證可疑文件外，Microsoft Security Essentials 還采用了其他技術(shù)來(lái)監(jiān)控新出現(xiàn)的惡意軟件，并以接近實(shí)時(shí)的方式檢查簽名更新。

這一類新的啟發(fā)式簽名可利用我們的動(dòng)態(tài)轉(zhuǎn)換技術(shù)，在程序運(yùn)行前模仿其行為。MSE則使用這些簽名來(lái)尋找可疑行為的蹤跡、與已知惡意軟件相似的特征及其他異常操作，然后詢問(wèn)動(dòng)態(tài)簽名服務(wù)是應(yīng)提交該程序進(jìn)行分析還是將其終止。在進(jìn)程啟動(dòng)后，Microsoft Security Essentials 還會(huì)監(jiān)控未知程序采取的文件、注冊(cè)表、網(wǎng)絡(luò)和內(nèi)核模式動(dòng)作，以探查可疑行為。諸如不希望出現(xiàn)的網(wǎng)絡(luò)連接(試圖修改系統(tǒng)的授權(quán)部分或下載已知惡意軟件內(nèi)容)等動(dòng)作都會(huì)觸發(fā)動(dòng)態(tài)簽名服務(wù)更新請(qǐng)求。

而對(duì)于特別難于做出針對(duì)性防護(hù)的Rootkit惡意軟件，MSE采用了大量新技術(shù)和改良技術(shù)來(lái)加強(qiáng)對(duì)Rootkit 和其他攻擊性威脅的防御：

實(shí)時(shí)內(nèi)核行為監(jiān)控：MSE 的后盾是屢獲殊榮的保護(hù)引擎，該引擎定期更新。 Microsoft 惡意軟件保護(hù)中心的反惡意軟件研究人員團(tuán)隊(duì)為該引擎提供支持，全天候針對(duì)最新的惡意軟件威脅提供響應(yīng)，只要計(jì)算機(jī)內(nèi)核受到未通過(guò)傳統(tǒng)簽名檢測(cè)出的新型 Rootkit 的攻擊或修改，就會(huì)向動(dòng)態(tài)簽名服務(wù)發(fā)送遙測(cè)和更新請(qǐng)求。

增強(qiáng)的反隱藏功能：在 MSE 快速掃描和完整掃描過(guò)程中，我們支持采用直接文件系統(tǒng)解析(“Rootkit Revealer”方式掃描)，這樣我們就能夠識(shí)別并刪除被 Rootkit 隱藏在文件系統(tǒng)中的程序和驅(qū)動(dòng)程序。

增強(qiáng)的實(shí)時(shí) Rootkit 刪除功能：Microsoft Security Essentials 可在清理過(guò)程中動(dòng)態(tài)加載新的內(nèi)核模式驅(qū)動(dòng)程序，這樣便可采取積極行動(dòng)，從而成功刪除部分高級(jí) Rootkit。

Microsoft Security Essentials 客戶還可通過(guò)產(chǎn)品支持訪問(wèn)我們的獨(dú)立系統(tǒng)清理程序工具，該工具允許用戶啟動(dòng) Windows PE 環(huán)境，并在系統(tǒng)完全停止活動(dòng)時(shí)對(duì)其進(jìn)行掃描/清理。

官方下載鏈接：http://go.microsoft.com/fwlink/?LinkId=197385

 Windows7之家（afsion.com.cn），凝聚你我他