Microsoft如何识别恶意软件和可能不需要的应用程序

Microsoft旨在通过努力确保你安全并控制设备来提供令人愉快且高效的 Windows 体验。 Microsoft通过识别和分析软件和在线内容来帮助保护你免受潜在威胁。 下载、安装和运行软件时,我们会检查已下载程序的信誉,并确保你免受已知威胁的影响。 你还受到关于我们不知道的软件的警告。

可以通过 提交未知或可疑软件进行分析来帮助Microsoft。 提交有助于确保系统扫描未知或可疑软件以开始建立信誉。 详细了解如何提交文件进行分析

接下来的部分概述了我们用于应用程序的分类以及导致该分类的行为类型。

注意

新形式的恶意软件和可能不需要的应用程序正在迅速开发和分发。 以下列表可能并不全面,Microsoft保留在不事先通知或公告的情况下调整、扩展和更新这些列表的权利。

未知 - 无法识别的软件

没有防病毒或保护技术是完美的。 识别和阻止恶意站点和应用程序,或信任新发布的程序和证书需要一些时间。 随着互联网上近 20 亿个网站和软件的不断更新和发布,不可能有关于每个网站和程序的信息。

将未知/不常见下载的警告视为潜在未检测到的恶意软件的预警系统。 从发布新恶意软件到识别它之前,通常会有一个延迟。 并非所有不常见的程序都是恶意程序,但对于典型用户来说,未知类别的风险要高得多。 未知软件的警告不是块。 用户可以根据需要选择下载并正常运行应用程序。

收集足够的数据后,Microsoft的安全解决方案就可以做出决定。 未发现任何威胁,或者应用程序或软件被归类为恶意软件或可能不需要的软件。

恶意软件

恶意软件是应用程序和其他代码(如软件)的统称,Microsoft更精细地分类为 恶意软件不需要的软件篡改软件

恶意软件

恶意软件是危害用户安全的应用程序或代码。 恶意软件可能会窃取你的个人信息、锁定你的设备,直到你支付赎金、使用你的设备发送垃圾邮件或下载其他恶意软件。 通常,恶意软件会欺骗、欺骗或欺骗用户,使他们处于易受攻击的状态。

Microsoft将大多数恶意软件分为以下类别之一:

  • 后门: 一种恶意软件,可让恶意黑客远程访问和控制你的设备。

  • 命令和控制: 一种恶意软件,可感染设备并与黑客的命令和控制服务器建立通信以接收指令。 建立通信后,黑客可以发送命令来窃取数据、关闭和重启设备以及中断 Web 服务。

  • 下载器: 一种将其他恶意软件下载到设备上的恶意软件。 它必须连接到 Internet 才能下载文件。

  • 滴管: 一种将其他恶意软件文件安装到设备中的恶意软件。 与下载程序不同,放置器无需连接到 Internet 来删除恶意文件。 已删除的文件通常嵌入到拖放器本身中。

  • 利用: 一段代码,它使用软件漏洞获取对设备的访问权限并执行其他任务,例如安装恶意软件。

  • Hacktool: 一种可用于对设备进行未经授权的访问的工具。

  • 宏病毒:一种通过受感染的文档(例如Microsoft Word或 Excel 文档)传播的恶意软件。 打开受感染的文档时,会运行病毒。

  • 模糊处理器: 一种隐藏其代码和目的的恶意软件,使安全软件更难检测或删除。

  • 密码窃取者: 一种收集个人信息(例如用户名和密码)的恶意软件。 它通常与密钥记录器一起使用,该记录器收集并发送有关你按下的键和你访问的网站的信息。

  • 勒索软件: 一种恶意软件,可加密文件或进行其他修改,从而阻止你使用设备。 然后,它会显示一条勒索说明,指出必须先付款或执行其他操作,然后才能再次使用设备。 查看有关勒索软件的详细信息

  • 恶意安全软件: 假装是安全软件但不提供任何保护的恶意软件。 这种类型的恶意软件通常显示有关设备上不存在威胁的警报。 它还试图说服你为其服务付费。

  • 木马: 一种试图看起来无害的恶意软件。 与病毒或蠕虫不同,木马病毒本身不会传播。 相反,它试图看起来是合法的,以欺骗用户下载和安装它。 一旦安装,木马会进行各种恶意活动,如窃取个人信息,下载其他恶意软件,或让攻击者访问你的设备。

  • 特洛伊木马遥控器: 一种可自动单击网站或应用程序上的按钮或类似控件的特洛伊木马类型。 攻击者可以使用此特洛伊木马单击联机广告。 这些单击可能会使在线投票或其他跟踪系统倾斜,甚至可以在设备上安装应用程序。

  • 蠕虫: 一种传播到其他设备的恶意软件。 蠕虫病毒可以通过电子邮件、即时消息、文件共享平台、社交网络、网络共享和可移动驱动器进行传播。 复杂的蠕虫利用软件漏洞进行传播。

不需要的软件

Microsoft认为你应该能够控制你的 Windows 体验。 在 Windows 上运行的软件应通过明智的选择和可访问的控件使你能够控制设备。 Microsoft标识确保你保持控制的软件行为。 我们将未完全演示这些行为的软件分类为“不需要的软件”。

缺乏选择

必须收到有关设备上发生的情况的通知,包括哪些软件的作用以及它是否处于活动状态。

缺乏选择的软件可能会:

  • 无法提供有关软件行为及其用途和意图的醒目通知。

  • 无法清楚地指示软件何时处于活动状态。 它还可能试图隐藏或伪装其存在。

  • 未经你的许可、交互或同意,安装、重新安装或删除软件。

  • 安装其他软件,但未明确指示其与主软件的关系。

  • 绕过浏览器或操作系统中的用户同意对话框。

  • 错误地声称是来自 Microsoft 的软件。

软件不得误导或强迫你做出有关设备的决策。 它被视为限制你的选择的行为。 除了前面的列表外,缺乏选择的软件可能:

  • 显示有关设备运行状况的夸大声明。

  • 对设备上的文件、注册表项或其他项提出误导性或不准确的声明。

  • 以惊人的方式显示有关设备运行状况的声明,并要求付款或某些操作以换取修复所谓的问题。

存储或传输活动或数据的软件必须:

  • 请发出通知并获取同意。 软件不应包含将其配置为隐藏与存储或传输数据相关的活动的选项。

缺乏控制

你必须能够控制设备上的软件。 必须能够启动、停止或以其他方式撤销对软件的授权。

缺乏控制的软件可能会:

  • 阻止或限制查看或修改浏览器功能或设置。

  • 在未经授权的情况下打开浏览器窗口。

  • 重定向 Web 流量,无需发出通知并获取同意。

  • 未经你的同意修改或操作网页内容。

更改浏览体验的软件必须仅使用浏览器支持的扩展性模型进行安装、执行、禁用或删除。 不提供支持的扩展性模型的浏览器被视为不可扩展,不应修改。

安装和删除

必须能够启动、停止或以其他方式撤销授予软件的授权。 软件应在安装前获得你的同意,并且它必须提供一种清晰直接的方式来安装、卸载或禁用它。

安装 体验不佳 的软件可能会捆绑或下载Microsoft分类的其他“不需要的软件”。

提供 不良删除体验 的软件可能会:

  • 尝试卸载时,显示令人困惑或误导性的提示或弹出窗口。

  • 无法使用标准安装/卸载功能,例如添加/删除程序。

广告和广告

在软件本身之外推广产品或服务的软件可能会干扰你的计算体验。 安装显示播发的软件时,你应该有明确的选择和控制力。

软件提供的播发必须:

  • 包括一种让用户关闭广告的明显方式。 关闭广告的行为不得再打开广告。

  • 包括显示广告的软件的名称。

提供这些播发的软件必须:

  • 为软件提供标准卸载方法,其名称与它所呈现的播发中所示的名称相同。

向你显示的广告必须:

  • 与网站内容区分开来。

  • 不误导、欺骗或混淆。

  • 不包含恶意代码。

  • 不调用文件下载。

消费者意见

Microsoft维护一个全球分析师和情报系统网络,你可以在其中 提交软件进行分析。 你的参与有助于Microsoft快速识别新的恶意软件。 分析后,Microsoft为满足所述条件的软件创建安全智能。 此安全智能将软件标识为恶意软件,并通过Microsoft Defender防病毒和其他Microsoft反恶意软件解决方案向所有用户提供。

篡改软件

篡改软件包含广泛的工具和威胁,这些工具和威胁直接或间接降低设备的整体安全级别。 常见篡改操作的示例包括:

  • 禁用或卸载安全软件:试图通过禁用或卸载安全软件(如防病毒、EDR 或网络保护系统)来逃避防御机制的工具和威胁。 这些操作使系统容易受到进一步的攻击。

  • 滥用操作系统功能和设置:利用操作系统中的功能和设置来破坏安全性的工具和威胁。 示例包括:

    • 防火墙滥用:攻击者使用防火墙组件间接篡改安全软件或阻止合法的网络连接,从而可能导致未经授权的访问或数据外泄。

    • DNS 操作:篡改 DNS 设置以重定向流量或阻止安全更新,使系统暴露在恶意活动中。

    • 安全模式利用:利用合法的安全模式设置,使设备处于可能绕过安全解决方案的状态,从而允许未经授权的访问或恶意软件执行。

  • 操纵系统组件:针对关键系统组件(如内核驱动程序或系统服务)的工具和威胁,以损害设备的整体安全性和稳定性。

  • 特权提升:旨在提升用户特权以控制系统资源并可能操作安全设置的技术。

  • 干扰安全更新:尝试阻止或操作安全更新,使系统容易受到已知漏洞的攻击。

  • 中断关键服务:中断基本系统服务或进程、可能导致系统不稳定并打开其他攻击大门的操作。

  • 未经授权的注册表更改:对影响设备安全状况的 Windows 注册表或系统设置的修改。

  • 篡改启动进程:操作启动进程的努力,这可能导致在启动期间加载恶意代码。

可能不需要的应用程序 (PUA)

我们的 PUA 保护旨在保护用户的工作效率,并确保提供愉快的 Windows 体验。 此保护有助于提供更高效、更高性能、更令人愉快的 Windows 体验。 有关如何在基于 Chromium 的 Microsoft Edge 和 Microsoft Defender 防病毒中启用 PUA 保护的说明,请参阅检测和阻止可能不需要的应用程序

PUA 不被视为恶意软件。

Microsoft使用特定类别和类别定义将软件分类为 PUA。

  • 广告软件: 显示广告或促销,或提示你完成软件中除自身以外的其他产品或服务的调查的软件。 这包括向网页插入播发的软件。

  • Torrent 软件 (企业版仅) : 用于创建或下载洪流或其他专门与对等文件共享技术配合使用的文件的软件。

  • 加密矿软件 (企业版仅) : 使用设备资源挖掘加密货币的软件。

  • 捆绑软件: 提供安装其他软件的软件,这些软件不是由同一实体开发或软件运行所必需的。 此外,根据本文档中所述的条件,提供安装符合 PUA 的其他软件的软件。

  • 营销软件: 用于监视用户活动并将其传输到除自身以外的应用程序或服务进行营销研究的软件。

  • Evasion 软件: 主动尝试逃避安全产品检测的软件,包括存在安全产品时行为不同的软件。

  • 行业声誉不佳: 受信任的安全提供商使用其安全产品进行检测的软件。 安全行业致力于保护客户并改善他们的体验。 安全行业的Microsoft和其他组织不断交流有关我们分析的文件的知识,以便为用户提供可能的最佳保护。

易受攻击的软件

易受攻击的软件是具有安全漏洞或弱点的应用程序或代码,攻击者可以利用这些漏洞执行各种恶意和潜在的破坏性操作。 这些漏洞可能源于无意的编码错误或设计缺陷,如果被利用,可能会导致有害活动,例如未经授权的访问、权限提升、篡改等。

易受攻击的驱动程序

尽管对内核中运行的代码施加了严格的要求和审查,但设备驱动程序仍然容易受到各种类型的漏洞和 bug 的影响。 示例包括内存损坏和任意读取和写入 bug,攻击者可以利用这些 bug 执行更重要的恶意和破坏性操作--操作通常在用户模式下受到限制。 终止设备上的关键进程就是此类恶意操作的示例。