Microsoft 如何识别恶意软件和可能不需要的应用程序
Microsoft 旨在通过努力确保你安全并控制设备,提供令人愉快且高效的 Windows 体验。 Microsoft 通过识别和分析软件和在线内容来帮助保护你免受潜在威胁。 下载、安装和运行软件时,我们会检查已下载程序的信誉,并确保你免受已知威胁的影响。 我们还会警告我们不知道的软件。
你可以通过 提交未知或可疑软件来协助 Microsoft 进行分析。 这将有助于确保系统扫描未知或可疑软件以开始建立信誉。 详细了解如何提交文件进行分析
接下来的部分概述了我们用于应用程序的分类以及导致该分类的行为类型。
注意
新形式的恶意软件和可能不需要的应用程序正在迅速开发和分发。 以下列表可能并不全面,Microsoft 保留在不事先通知或公告的情况下调整、扩展和更新这些列表的权利。
未知 - 无法识别的软件
没有防病毒或保护技术是完美的。 识别和阻止恶意站点和应用程序,或信任新发布的程序和证书需要一些时间。 随着互联网上近 20 亿个网站和软件的不断更新和发布,不可能有关于每个网站和程序的信息。
将未知/不常见下载的警告视为潜在未检测到的恶意软件的预警系统。 从发布新恶意软件到识别它之前,通常会有一个延迟。 并非所有不常见的程序都是恶意程序,但对于典型用户来说,未知类别的风险要高得多。 未知软件的警告不是块。 用户可以根据需要选择下载并正常运行应用程序。
收集足够的数据后,Microsoft 的安全解决方案就可以做出决定。 未发现任何威胁,或者应用程序或软件被归类为恶意软件或可能不需要的软件。
恶意软件
恶意软件是应用程序和其他代码(如软件)的统称,Microsoft 更精细地将其分类为 恶意软件 或 不需要的软件。
恶意软件
恶意软件是危害用户安全的应用程序或代码。 恶意软件可能会窃取你的个人信息,锁定你的设备,直到你支付赎金,使用你的设备发送垃圾邮件,或下载其他恶意软件。 通常,恶意软件会欺骗、欺骗或欺骗用户,使他们处于易受攻击的状态。
Microsoft 将大多数恶意软件分类为以下类别之一:
后门: 一种恶意软件,可让恶意黑客远程访问和控制你的设备。
命令和控制: 一种恶意软件,可感染设备并与黑客的命令和控制服务器建立通信以接收指令。 建立通信后,黑客可以发送命令来窃取数据、关闭和重启设备以及中断 Web 服务。
下载: 一种将其他恶意软件下载到设备上的恶意软件。 它必须连接到 Internet 才能下载文件。
滴管: 一种将其他恶意软件文件安装到设备中的恶意软件。 与下载程序不同,放置器无需连接到 Internet 来删除恶意文件。 已删除的文件通常嵌入到拖放器本身中。
利用: 一段代码,它使用软件漏洞获取对设备的访问权限并执行其他任务,例如安装恶意软件。
Hacktool: 一种可用于对设备进行未经授权的访问的工具。
宏病毒:一种通过受感染的文档(如 Microsoft Word 或 Excel 文档)传播的恶意软件。 打开受感染的文档时,会运行病毒。
模糊处理器: 一种隐藏其代码和目的的恶意软件,使安全软件更难检测或删除。
密码窃取者: 一种收集个人信息(例如用户名和密码)的恶意软件。 它通常与键盘记录器一起使用,该记录器收集并发送有关你按下的键和你访问的网站的信息。
勒索软件: 一种恶意软件,可加密文件或进行其他修改,从而阻止你使用设备。 然后,它会显示一条勒索说明,指出必须先付款或执行其他操作,然后才能再次使用设备。 查看有关勒索软件的详细信息。
恶意安全软件: 假装是安全软件但不提供任何保护的恶意软件。 这种类型的恶意软件通常显示有关设备上不存在威胁的警报。 它还试图说服你为其服务付费。
木马: 一种试图看起来无害的恶意软件。 与病毒或蠕虫不同,木马病毒本身不会传播。 相反,它会尝试欺骗用户下载和安装它,看起来是合法的。 一旦安装,木马会进行各种恶意活动,如窃取个人信息,下载其他恶意软件,或让攻击者访问你的设备。
特洛伊木马遥控器: 一种可自动单击网站或应用程序上的按钮或类似控件的特洛伊木马类型。 攻击者可以使用此特洛伊木马单击联机广告。 这些单击可能会使在线投票或其他跟踪系统倾斜,甚至可以在设备上安装应用程序。
蠕虫: 一种传播到其他设备的恶意软件。 蠕虫病毒可以通过电子邮件、即时消息、文件共享平台、社交网络、网络共享和可移动驱动器进行传播。 复杂的蠕虫利用软件漏洞进行传播。
不需要的软件
Microsoft 认为你应该能够控制你的 Windows 体验。 在 Windows 上运行的软件应通过明智的选择和可访问的控件使你能够控制设备。 Microsoft 识别确保你保持控制的软件行为。 我们将未完全演示这些行为的软件分类为“不需要的软件”。
缺乏选择
必须收到有关设备上发生的情况的通知,包括哪些软件的作用以及它是否处于活动状态。
缺乏选择的软件可能会:
无法提供有关软件行为及其用途和意图的醒目通知。
无法清楚地指示软件何时处于活动状态。 它还可能试图隐藏或伪装其存在。
未经你的许可、交互或同意,安装、重新安装或删除软件。
安装其他软件,但未明确指示其与主软件的关系。
绕过浏览器或操作系统中的用户同意对话框。
错误地声称自己是 Microsoft 提供的软件。
软件不得误导或强迫你做出有关设备的决策。 它被视为限制你的选择的行为。 除了前面的列表外,缺乏选择的软件可能:
显示有关设备运行状况的夸大声明。
对设备上的文件、注册表项或其他项提出误导性或不准确的声明。
以惊人的方式显示有关设备运行状况的声明,并要求付款或某些操作以换取修复所谓的问题。
存储或传输活动或数据的软件必须:
- 请发出通知并获取同意。 软件不应包含将其配置为隐藏与存储或传输数据相关的活动的选项。
缺乏控制
你必须能够控制设备上的软件。 必须能够启动、停止或以其他方式撤销对软件的授权。
缺乏控制的软件可能会:
阻止或限制查看或修改浏览器功能或设置。
在未经授权的情况下打开浏览器窗口。
重定向 Web 流量,无需发出通知并获取同意。
未经你的同意修改或操作网页内容。
更改浏览体验的软件必须仅使用浏览器支持的扩展性模型进行安装、执行、禁用或删除。 不提供支持的扩展性模型的浏览器被视为非可扩展,不应修改。
安装和删除
必须能够启动、停止或以其他方式撤销授予软件的授权。 软件应在安装前获得你的同意,并且它必须提供一种清晰直接的方式来安装、卸载或禁用它。
安装 体验不佳 的软件可能会捆绑或下载 Microsoft 分类的其他“不需要的软件”。
提供 不良删除体验 的软件可能会:
尝试卸载时,显示令人困惑或误导性的提示或弹出窗口。
无法使用标准安装/卸载功能,例如添加/删除程序。
广告和广告
在软件本身之外推广产品或服务的软件可能会干扰你的计算体验。 安装显示播发的软件时,你应该有明确的选择和控制力。
软件提供的播发必须:
包括一种让用户关闭广告的明显方式。 关闭广告的行为不得再打开广告。
包括显示广告的软件的名称。
提供这些播发的软件必须:
- 为软件提供标准卸载方法,其名称与它所呈现的播发中所示的名称相同。
向你显示的广告必须:
与网站内容区分开来。
不误导、欺骗或混淆。
不包含恶意代码。
不调用文件下载。
消费者意见
Microsoft 维护一个全球分析师和智能系统网络,你可以在其中 提交软件进行分析。 你的参与可帮助 Microsoft 快速识别新的恶意软件。 分析后,Microsoft 为满足所述条件的软件创建安全智能。 此安全智能将软件标识为恶意软件,并通过Microsoft Defender防病毒和其他 Microsoft 反恶意软件解决方案向所有用户提供。
可能不需要的应用程序 (PUA)
我们的 PUA 保护旨在保护用户的工作效率,并确保提供愉快的 Windows 体验。 此保护有助于提供更高效、更高性能、更令人愉快的 Windows 体验。 有关如何在基于 Chromium 的 Microsoft Edge 和 Microsoft Defender 防病毒中启用 PUA 保护的说明,请参阅检测和阻止可能不需要的应用程序。
PUA 不被视为恶意软件。
Microsoft 使用特定类别和类别定义将软件分类为 PUA。
广告软件: 显示广告或促销,或提示你完成软件中除自身以外的其他产品或服务的调查的软件。 这包括向网页插入播发的软件。
Torrent 软件 (企业版仅) : 用于创建或下载洪流或其他专门与对等文件共享技术配合使用的文件的软件。
加密矿软件 (企业版仅) : 使用设备资源挖掘加密货币的软件。
捆绑软件: 提供安装其他软件的软件,这些软件不是由同一实体开发或软件运行所必需的。 此外,根据本文档中所述的条件,提供安装符合 PUA 的其他软件的软件。
营销软件: 用于监视用户活动并将其传输到除自身以外的应用程序或服务进行营销研究的软件。
Evasion 软件: 主动尝试逃避安全产品检测的软件,包括存在安全产品时行为不同的软件。
行业声誉不佳: 受信任的安全提供商使用其安全产品进行检测的软件。 安全行业致力于保护客户并改善他们的体验。 Microsoft 和安全行业的其他组织不断交流有关我们分析的文件的知识,以便为用户提供可能的最佳保护。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈