Windows Defender 如何识别间谍软件识别和分析间谍软件是一个复杂的挑战。 新的间谍软件形式不断涌现,可能使间谍软件变为恶意和有害的相同技术也出现在用户要在其计算机上保留和使用的软件中,如防病毒软件。 软件有时无法确定某个程序是客户要保留还是要删除的程序。 Microsoft 的策略以两种方式解决此问题: 1. | 与其他业界领袖合作,分享有关如何识别和分析间谍软件的最佳实践。 | 2. | 帮助确保 Microsoft 客户拥有确定允许在其计算机上下载和安装哪些软件所需的信息和工具。 |
术语恶意软件指表明非法、病毒、欺诈或恶意行为的程序。 Windows Defender 可帮助识别和阻止已知的恶意间谍软件程序。 它要求您选择是否要安装识别为合法软件的程序,并建议您不要安装尚未被分析和定义的程序。 您还可以参加 Microsoft 为用户提交可疑的新间谍软件或有害软件以供 Microsoft 研究人员分析而创建的全球网络。 这有助于 Microsoft 识别恶意程序,以添加至 Windows Defender 定义列表。 经过分析并确定为恶意的软件将被添加至 Microsoft 的间谍软件定义库。此定义库包含一个非常庞大的间谍软件威胁文件和设置的数据库。 当 Microsoft 研究人员识别新的威胁时,他们会创建新的定义并将其添加到库中。 Microsoft 会定期向用户发布定义更新,以帮助提供计算机和个人信息的保护。 请参阅 Windows Defender 反间谍软件周期的图解。 Microsoft 研究人员如何分析软件程序Microsoft 研究人员从多个角度检查软件: | • | 程序的上下文、意图和来源。 | | • | 程序表现的行为。 | | • | 根据标准进行评估,标准范围涵盖客户意见到软件对计算机性能、用户安全性和隐私的影响。 |
(新形式的间谍软件和其他有害软件的开发和分发速度非常之快。 因此,Microsoft 保留调整、扩展和更新其标准以供分析的权利,恕不另行通知。) 软件的上下文和意图
与间谍软件关联的许多行为也用于合法用途。 例如,间谍软件通常会自动启动。 但是防病毒和防火墙软件同样如此。 它们均可以被设置为在加载时自动启动(称为“自动启动”的功能),而且均可以在用户方便时提供自动更新。 但是间谍软件和合法软件之间的一个重要区别在于,合法软件应该提供明确的途径来开启或关闭这些设置,或对其进行更改。 软件来源
Microsoft 还审查特定软件供应商及其第三方子公司安装的程序的行为。 研究人员将确定供应商和/或子公司本身是否应包括在定义库中。 软件行为
软件行为的等级通过其潜在损害和中断程度进行评定。 例如,类似于蠕虫的行为其等级为极度危险。 弹出行为(“广告软件”)被识别为潜在损害较小,但是可能中断用户。 五个评估标准Microsoft 研究人员使用下列类别确定是否将程序添加至定义库以进行检测,以及分类类型、风险级别并给出建议。 | • | 欺骗行为。在未通知用户和征得用户同意的情况下,在用户的计算机上运行进程或程序。 阻止用户控制程序在计算机上运行时执行的操作。 阻止用户卸载或删除程序。 | | • | 隐私。未经明确许可收集、使用或散布用户的个人信息和行为(如 Web 浏览习惯)。 | | • | 安全。尝试规避或禁用用户计算机上的安全功能,或者危害计算机的安全性。 | | • | 性能。通过减慢计算机的运行速度、降低生产效率或破坏操作系统来削弱性能、可靠性以及用户的计算体验质量。 | | • | 行业和消费者意见。将软件行业和个人用户的反馈视为关键因素,以帮助识别可能给用户的计算体验带来风险的新行为和程序。 |
欺骗行为: 缺少通知和许可必须通知用户有关其计算机上发生的情况,包括程序的行为以及该程序是否处于活动状态。 通知状况较差的软件: | • | 无法提供有关其发布者、所在网站的信息或类似信息。 | | • | 在用户的正常计算体验过程中,无法提供最终用户许可协议。 | | • | 无法提供有关程序的行为及其目的和意图的醒目通知。 | | • | 无法清楚地表明何时处于活动状态,包括试图隐藏或伪装它的存在。 |
许可状况较差的软件: | • | 未经用户允许、交互或同意即安装、重新安装或删除软件。 这包括软件供应商的第三方子公司的操作。 | | • | 未经用户许可即启动出站连接(调制解调器、Internet 等)。 | | • | 未清楚指明与主要程序的关系即安装其他软件。 | | • | 还原用户已经删除的注册表项或文件项。 | | • | 无法提供明确的选择加入选项用于收集用户特定信息(许可条款的发布除外)。 通知用户有关许可条款的存在,并不意味着收到用户对程序中包括的功能的许可。 |
欺骗行为: 缺少控制用户必须能够控制其计算机上的程序。 他们必须能够启动、停止甚至吊销程序授权。 缺少控制的软件: | • | 禁止用户尝试关闭或删除程序。 | | • | 在未经授权的情况下打开浏览器窗口。 | | • | 启动用户无法手动终止的进程。 | | • | 在没有明确通知和用户许可的情况下,将搜索、查询、用户输入的 URL 或访问重定向至其他站点或者禁止执行这些操作。 | | • | 未经用户许可即启动自动启动或自动更新行为。 |
自动启动和自动更新
这些功能可以脱离用户控制,而授予程序更大的控制权限。 此行为不一定是恶意的或错误的,但是可能产生问题。 另外,这些程序通常缺少用户界面,因此用户可能不知道程序正在运行、如何将其关闭,或者甚至不知道能否将其关闭。 在分析程序的上下文和意图时,Microsoft 不仅仅考虑到用户对正在运行的这些程序的知晓程度,而且考虑用户在维护这些功能的控制方面达到一个合理水平的能力。 提供广告的弹出窗口和程序
为商业目的宣传产品或服务的弹出窗口和其他广告程序是妨碍用户计算机体验的常见的软件形式。 弹出窗口和其他广告程序: | • | 单独出现,在程序的上下文、网站或弹出窗口宣传的其他来源之外。 | | • | 无法提供清晰的来源属性。 | | • | 包含虚假或欺骗性内容。 | | • | 提供有限的用户控制或不提供用户控制,使得用户难以关闭或删除程序。 |
如果用户当前使用的程序的上下文之外出现自动弹出广告窗口,Windows Defender 会向用户发出警报,无论弹出窗口是否提供属性。 它还会通知用户有关生成弹出窗口的程序,用户无法明确地控制这些弹出窗口。 欺骗行为: 安装和删除用户必须能够启动、停止甚至吊销程序授权。 程序在安装之前应该获得用户的适当许可。 程序必须为用户提供明确且直接的方式来安装、卸载或禁用该程序。 安装体验较差的软件: | • | 使用可能与其他软件程序混淆,或者甚至令人误解或欺骗性的名称。 | | • | 安装在隐藏目录中。 | | • | 在没有醒目的安装体验的情况下,安装 ActiveX 控件。 | | • | 使用欺骗性提示诱使用户下载或安装软件。 | | • | 隐藏或无法识别与要下载的软件捆绑在一起的附加软件。 |
删除体验较差的软件: | • | 无法提供用于卸载程序的帮助信息。 | | • | 无法使用标准的安装/卸载功能,例如“添加/删除程序”。 | | • | 要求从网站下载单独的卸载程序,或连接到 Internet 进行卸载。 | | • | 当尝试卸载软件时,出现大量的混淆/欺骗提示或弹出窗口。 | | • | 无法根据用户请求删除或禁用程序。 | | • | 删除系统还原实用程序、控制面板或这些功能的元素,或从用户的视图隐藏这些功能。 | | • | 在没有用户通知或许可的情况下,删除或禁用其他软件。 |
捆绑程序 某些软件“捆绑”了附加软件,它可能包含与软件相关的额外功能,或提供无关的功能。 许可协议中应该论述与捆绑的所有软件相关的条款。 程序必须列出需要与软件同时运行的捆绑程序,以及许可协议实际涉及的所有其他内容。 如果未向用户清楚阐明捆绑程序之间的关系,则捆绑的软件可能表示恶意软件。 例如: | • | 用户应该知道程序 X、Y 和 Z 是否为程序 A 的捆绑组件。否则,用户不知道它们为什么驻留在计算机上(用户可能只知道程序 A 的安装)。 | | • | 在用户删除程序 A 时,他必须能够选择删除程序 X、Y 和 Z。 | | • | 如果不在计算机上安装程序 X、Y 和 Z,程序 A 将无法工作,那么在安装程序 A 之前,必须通知用户。 |
隐私用户通常想要保留对其个人信息的控制。 他们期望自己决定如何收集、使用或向他人传达个人信息,无论是与个人或公司通信,还是处理商业事务。 隐私还包括选择不需要通信的自由。 隐私实践较差的软件: | • | 无法提供易于访问的隐私策略,该策略说明数据收集以及程序或网站使用的其他实践。 | | • | 未经用户明确许可跟踪 Web 浏览行为。 | | • | 卸载之前要求附加信息,例如用户的电子邮件地址或联系信息。 | | • | 允许在没有通知和许可的情况下监视、重定向或更改用户通信。 | | • | 在未经授权的情况下,采用软件破解程序破坏加密、授权和/或数据的不可否认性。 |
某些类型的程序驻留在操作系统之外,但也对用户的隐私有影响。 这些包括但不限于: | • | 监视程序。该软件通过记录输入的键击或显示的屏幕图像,或其他可识别元素来监视用户活动。 | | • | 远程访问程序。该软件旨在提供从远程位置控制计算机的能力。 |
注意:监视和远程访问程序不一定是恶意的。 家长控制可以配备键击监视功能,远程访问程序通常是由企业计算机所有者或管理员作为基本计算机配置的加载项安装的。 但是,如果用户不希望或不知道这些程序的存在,它们可能对用户的隐私带来风险。 安全随着网络攻击不断频繁和复杂,用户必须能够将其系统还原。 他们应该能够维护其系统和数据的机密性、完整性和可用性。 安全实践较差的软件: | • | 禁用或干扰防火墙、防病毒软件或其他安全软件。 | | • | 利用安全漏洞。 | | • | 未经用户许可更改操作系统或软件安全设置(例如 Web 浏览器安全设置)。 | | • | 未经用户许可进行重要配置更改(例如修改启动注册表、主机文件或安全设置)。 | | • | 未经用户许可启动出站连接(例如调制解调器或 Internet 连接)。 | | • | 在从用户或计算机的系统工具隐藏进程的模式下运行。 | | • | 在用户不知道的情况下,在计算机上打开端口。 | | • | 提供奖励给第三方,以便非法或不道德地分发软件。 这包括但不限于恶意软件。 |
恶意软件 上面列出的与安全相关的行为也是恶意软件的特征。 恶意软件有许多类型,包括但不限于: | • | 后门。此软件提供未记载的方式来获取程序、联机服务或整个计算机系统的访问权限。 | | • | 拨号程序。此软件在用户不知道的情况下自行安装在计算机的拨号设置和拨号中。 | | • | 蠕虫。此软件在无人工操作的情况下自动传播到网络上的计算机中。 然后蠕虫驻留在计算机内存中,并执行有害的任务。 | | • | 特洛伊木马。此软件最初看起来有用或无害,以哄骗用户运行。 它运行时,将允许黑客通过“后门”访问计算机、毁坏硬盘上的文件或执行其他恶意任务。 | | • | 远程访问特洛伊木马 (RAT)。此类特洛伊木马软件使黑客能够使用计算机管理员特权通过 Internet 连接远程控制另一台计算机。 | | • | 网页仿冒。此软件用于创建看似来自合法成立企业的欺骗性电子邮件或网页。 其目的是哄骗用户提供私人信息,以用于盗窃身份。 |
基于间谍软件的安全威胁仍在持续发展,且日趋复杂并加速传播。 警告用户新出现的和现有的表现恶意行为的威胁非常重要。 性能削弱计算机性能的软件行为: | • | 占用大量系统资源,导致计算机性能显著下降。 | | • | 消耗 Internet 连接大量带宽。 | | • | 降低计算机可靠性。 | | • | 使软件程序和操作系统之间明显地不兼容。 | | • | 降低用户计算体验的总体质量。 |
Windows Defender 有助于警告用户显著降低计算环境性能的软件程序,特别是当软件造成的问题将现有问题与欺骗性行为、隐私或安全相结合时。 行业和消费者意见Microsoft 研究人员依赖软件行业和个人用户的反馈来帮助识别潜在有害的软件的新形式。 研究人员在确定适当的软件分类时会考虑有害软件对用户体验的影响。 客户意见功能
Windows Defender 使用户可以知道其他用户对其分析的软件的意见。 它显示允许和阻止每个新的可疑软件的用户的不间断百分比,以便在每个用户确定是允许还是阻止软件时向他们提供更多上下文信息。 Windows Defender 客户
Microsoft 创建了一个全球网络,用户可以在此处提交可疑的新间谍软件或有害软件以供 Microsoft 研究人员分析。 参与网络对于帮助 Microsoft 快速识别新的可疑程序起着重要作用。 然后,Microsoft 将为满足分析标准的程序创建定义,并通过 Windows Defender 对所有用户提供。 新出现的数据源
Microsoft 还会在分析和分类软件时检查新出现的大量数据源。 作为此工作的一部分,Microsoft 承诺与其他行业小组(如,民主和技术中心及其消费者软件工作组)合作,帮助将管制注意力集中在真正具有欺骗性的间谍软件实践上。 联系 Microsoft 以报告潜在的间谍软件问题如果您认为您已受到间谍软件的负面影响,请下载和安装 Windows Defender。 如果间谍软件依然存在,您可以将问题报告给 Microsoft。
| 
