Microsoft如何識別惡意代碼和潛在的垃圾應用程式
Microsoft旨在藉由努力確保您安全且能控制裝置,來提供令人滿意且具生產力的 Windows 體驗。 Microsoft藉由識別和分析軟體和在線內容,協助您抵禦潛在威脅。 當您下載、安裝及執行軟體時,我們會檢查已下載程式的信譽,並確保您受到保護,免於遭受已知的威脅。 系統也會警告您我們不知道的軟體。
您可以提交 未知或可疑的軟體進行分析,以協助Microsoft。 提交有助於確保我們的系統會掃描未知或可疑的軟體,以開始建立信譽。 深入瞭解提交檔案以進行分析
下一節提供我們用於應用程式的分類概觀,以及導致該分類的行為類型。
注意
新形式的惡意代碼和潛在的垃圾應用程式正在快速開發和散發。 下列清單可能不完整,且Microsoft保留在未事先通知或公告的情況下調整、展開及更新這些項目的權利。
沒有防病毒軟體或保護技術是完美的。 識別和封鎖惡意網站和應用程式,或信任新發行的程序和憑證需要一些時間。 由於因特網上有將近 20 億個網站和軟體持續更新和發行,因此不可能有每個單一網站和程式的相關信息。
將未知/不常下載的警告視為可能未偵測到惡意代碼的早期警告系統。 一般而言,從新惡意代碼釋放到識別惡意代碼的時間,會有延遲。 並非所有不常見的程式都是惡意的,但對於一般使用者而言,未知類別的風險會更高。 未知軟體的警告不是區塊。 如果使用者想要的話,可以選擇正常下載並執行應用程式。
收集足夠的數據之後,Microsoft的安全性解決方案就可以做出決定。 找不到任何威脅,或將應用程式或軟體分類為惡意代碼或潛在的垃圾軟體。
惡意代碼是應用程式和其他程式代碼的概略名稱,例如軟體,Microsoft更細微地分類為 惡意軟體、 垃圾軟體或 竄改軟體。
惡意軟體是危害使用者安全性的應用程式或程序代碼。 惡意軟體可能會竊取您的個人資訊、鎖定您的裝置,直到您支付勒索、使用您的裝置傳送垃圾郵件,或下載其他惡意軟體為止。 一般而言,惡意軟體會想要詐騙、詐騙或詐騙使用者,讓他們處於易受攻擊的狀態。
Microsoft將大部分惡意軟體分類為下列其中一個類別:
後門: 一種惡意代碼,可讓惡意駭客從遠端訪問並控制您的裝置。
命令和控件: 一種惡意代碼,會感染您的裝置,並與駭客的命令和控制伺服器建立通訊以接收指示。 建立通訊之後,駭客可以傳送命令來竊取數據、關閉裝置並重新啟動,以及中斷 Web 服務。
下載者: 將其他惡意代碼下載到裝置的一種惡意代碼。 它必須連線到因特網才能下載檔。
滴管: 一種將其他惡意代碼檔案安裝到裝置上的惡意代碼類型。 不同於下載者,投送者不需要連線到因特網即可卸除惡意檔案。 卸除的檔案通常會內嵌在投送工具本身中。
利用: 一段程式代碼,使用軟體弱點來存取您的裝置並執行其他工作,例如安裝惡意代碼。
Hacktool: 一種工具類型,可用來取得未經授權的裝置存取權。
巨集病毒:散佈於受感染檔的一種惡意代碼,例如Microsoft Word 或Excel檔。 當您開啟受感染的檔時,就會執行病毒。
模糊器: 一種隱藏其程式代碼和用途的惡意代碼,讓安全性軟體更難偵測或移除。
密碼竊取者: 收集個人資訊的惡意代碼類型,例如使用者名稱和密碼。 它通常會與金鑰記錄器一起運作,以收集並傳送您按下之按鍵的相關信息,以及您造訪的網站。
勒索軟體: 一種會加密檔案或進行其他修改的惡意代碼類型,可防止您使用裝置。 然後會顯示一則勒索注意事項,指出您必須付款或執行其他動作,才能再次使用您的裝置。 請參閱勒索軟體的詳細資訊。
Rogue 安全性軟體: 偽裝成安全性軟體但不提供任何保護的惡意代碼。 這種類型的惡意代碼通常會顯示裝置上不存在威脅的警示。 它也會嘗試說服您支付其服務費用。
木馬: 嘗試顯示為無害的惡意代碼類型。 不同於病毒或蠕蟲,特洛伊木馬病毒不會自行散佈。 相反地,它會嘗試合法地誘使用戶下載並安裝它。 安裝之後,特洛伊木馬程式會執行各種惡意活動,例如竊取個人資訊、下載其他惡意程式碼,或讓攻擊者存取您的裝置。
特洛伊木馬程式點擊器: 一種在網站或應用程式上自動按下按鈕或類似控制件的特洛伊木馬程式類型。 攻擊者可以使用此特洛伊木馬程式來按下在線廣告。 這些點選可能會扭曲在線輪詢或其他追蹤系統,甚至可以在您的裝置上安裝應用程式。
蠕蟲: 散佈至其他裝置的一種惡意代碼。 蠕蟲可以透過電子郵件、立即訊息、檔案共用平台、社交網路、網路共用和抽取式磁碟散佈。 複雜的蠕蟲利用軟體弱點來傳播。
Microsoft相信您應該能夠控制您的 Windows 體驗。 在 Windows 上執行的軟體應該透過明智的選擇和可存取的控件,讓您能夠控制裝置。 Microsoft識別可確保您保持控制的軟體行為。 我們會將未完全示範這些行為的軟體分類為「垃圾軟體」。
您必須收到裝置上發生什麼情況的通知,包括軟體的功能,以及其是否作用中。
顯示缺乏選擇的軟體可能會:
無法提供軟體行為及其用途和意圖的顯著注意事項。
無法清楚指出軟體何時在使用中。 它也可能嘗試隱藏或偽裝其存在狀態。
不需您的許可權、互動或同意,即可安裝、重新安裝或移除軟體。
安裝其他軟體,但未清楚指出其與主要軟體的關聯性。
從瀏覽器或操作系統規避使用者同意對話框。
錯誤地宣告為來自 Microsoft 的軟體。
軟體不得誤導或強制您對裝置做出決策。 這會被視為會限制您選擇的行為。 除了上一個清單之外,展示缺乏選擇的軟體可能:
顯示有關裝置健康情況的過分說明宣告。
對裝置上的檔案、登錄專案或其他專案提出誤導或不正確的宣告。
以有關裝置健康情況的警覺方式顯示宣告,並要求付款或採取特定動作,以修正所要求的問題。
儲存或傳輸活動或資料的軟體必須:
- 請通知您並取得同意。 軟體不應包含設定為隱藏與儲存或傳輸數據相關聯之活動的選項。
您必須能夠控制裝置上的軟體。 您必須能夠啟動、停止或撤銷軟體的授權。
顯示缺乏控制權的軟體可能會:
防止或限制您檢視或修改瀏覽器功能或設定。
在未經授權的情況下開啟瀏覽器視窗。
重新導向網路流量,而不需通知並取得同意。
在未經您同意的情況下修改或操作網頁內容。
變更瀏覽體驗的軟體只能使用瀏覽器支援的擴充性模型來安裝、執行、停用或移除。 不提供支持擴充性模型的瀏覽器會被視為不可延伸,不應修改。
您必須能夠啟動、停止或撤銷授與軟體的授權。 軟體應該在安裝之前取得您的同意,而且它必須提供清楚且直接的方式,讓您安裝、卸載或停用它。
提供 不良安裝體驗 的軟體可能會配套或下載Microsoft分類的其他「垃圾軟體」。
提供 不良移除體驗 的軟體可能會:
當您嘗試卸載時,會出現令人混淆或誤導的提示或彈出視窗。
無法使用標準安裝/卸載功能,例如新增/移除程式。
在軟體本身之外升級產品或服務的軟體可能會干擾您的運算體驗。 安裝顯示廣告的軟體時,您應該有明確的選擇和控制。
軟體所呈現的廣告必須:
包含使用者關閉廣告的明顯方式。 關閉廣告的動作不得開啟另一個廣告。
包含顯示廣告的軟體名稱。
顯示這些公告的軟體必須:
- 為軟體提供標準卸載方法,其名稱與其顯示的公告中所示的名稱相同。
向您顯示的廣告必須:
可與網站內容區別。
不誤導、粗心或混淆。
不包含惡意代碼。
不叫用檔案下載。
Microsoft維護全球的分析師和智慧系統網路,您可以在其中 提交軟體進行分析。 您的參與可協助Microsoft快速識別新的惡意代碼。 分析之後,Microsoft會針對符合所述準則的軟體建立安全性情報。 此安全性情報會將軟體識別為惡意代碼,並可透過 Microsoft Defender 防病毒軟體和其他Microsoft反惡意代碼解決方案提供給所有使用者。
竄改軟體包含各種工具和威脅,可直接或間接降低裝置的整體安全性層級。 常見的竄改動作範例包括:
停用或卸載安全性軟體:透過停用或卸載安全性軟體,例如防病毒軟體、EDR 或網路保護系統,嘗試規避防禦機制的工具和威脅。 這些動作讓系統容易遭受進一步的攻擊。
濫用作業系統功能和設定:利用操作系統內的功能和設定來危害安全性的工具和威脅。 範例包含:
防火牆濫用:攻擊者使用防火牆元件間接竄改安全性軟體或封鎖合法的網路連線,可能會啟用未經授權的存取或數據外流。
DNS 操作:竄改 DNS 設定以重新導向流量或封鎖安全性更新,讓系統暴露於惡意活動。
安全模式惡意探索:利用合法的安全模式設定,將裝置置於可能略過安全性解決方案的狀態,允許未經授權的存取或惡意代碼執行。
操作系統元件:以核心驅動程式或系統服務等重要系統元件為目標的工具和威脅,會危害裝置的整體安全性和穩定性。
許可權提升:旨在提高用戶權力以取得系統資源控制權,並可能操控安全性設定的技術。
干擾安全性更新:嘗試封鎖或操作安全性更新,讓系統容易受到已知弱點的影響。
中斷重要服務:干擾基本系統服務或程序的動作,可能會造成系統不穩定,並開啟其他攻擊的門。
未經授權的登錄變更:修改會影響裝置安全性狀態的 Windows 登錄或系統設定。
竄改開機程式:努力操作開機程式,這可能會導致在啟動期間載入惡意代碼。
我們的PUA保護旨在保護用戶生產力,並確保可享受的 Windows 體驗。 此保護有助於提供更具生產力、高效能且令人滿意的 Windows 體驗。 如需如何在以 Chromium 為基礎的 Microsoft Edge 和 Microsoft Defender 防病毒軟體中啟用 PUA 保護的指示,請參閱偵測和封鎖潛在的垃圾應用程式。
PUA 不會被視為惡意代碼。
Microsoft使用特定類別和類別定義,將軟體分類為 PUA。
廣告軟體: 顯示廣告或促銷的軟體,或提示您完成軟體本身以外的其他產品或服務問卷調查。 這包括將廣告插入網頁的軟體。
僅限企業 (的 Torrent 軟體) : 用來建立或下載 Torrents 或其他特別用於點對點檔案共享技術之檔案的軟體。
僅限加密軟體 (企業版) : 使用裝置資源來挖掘加密貨幣的軟體。
統合軟體: 提供安裝其他軟體的軟體,這些軟體不是由相同的實體所開發,或是軟體執行時不需要。 此外,提供安裝其他軟體的軟體,這些軟體會根據本檔中所述的準則來限定為 PUA。
營銷軟體: 軟體,可監視用戶的活動,並將其傳輸至本身以外的應用程式或服務,以進行行銷研究。
規避軟體: 主動嘗試規避安全性產品偵測的軟體,包括在安全性產品出現時行為不同的軟體。
產業信譽不佳: 受信任的安全性提供者會使用其安全性產品偵測軟體。 安全性產業致力於保護客戶並改善其體驗。 Microsoft和安全性產業中的其他組織會持續交換我們所分析檔案的相關知識,為使用者提供最佳的保護。
易受攻擊的軟體是具有安全性瑕疵或弱點的應用程式或程式代碼,攻擊者可能會利用這些弱點來執行各種惡意且可能具破壞性的動作。 這些弱點可能源自於非預期的程式代碼撰寫錯誤或設計缺陷,如果遭到惡意探索,可能會導致有害的活動,例如未經授權的存取、許可權提升、竄改等等。
儘管對核心中執行的程式代碼施加了嚴格的需求和檢閱,設備驅動器仍容易受到各種類型的弱點和錯誤影響。 範例包括記憶體損毀和任意讀取和寫入錯誤,攻擊者可能會利用這些錯誤來執行更重大的惡意和破壞性動作 -– 通常會在使用者模式中限制的動作。 在裝置上終止重要進程是這類惡意動作的範例。