微软杀毒软件“监控排除”功能是怎样的?

微软杀毒软件“监控排除”功能是怎样的?
文章图片

文章图片

在小编的印象中 , 病毒(含恶意软件)最猖獗的时期是WindowsXP到Windows7之间的那些年 , 那个时候电脑安装杀毒软件是刚需中的刚需 , 每次重装系统联网之前最重要的一件事那就是安装杀毒软件 , 不安装杀毒软件裸奔是不可想象的事情 。
但是这种情况在2015年微软发布Windows10系统 , 自带杀毒软件MicrosoftDefender之后 , 逐步发生了改变 。因为经过多年的升级迭代 , 之前很多人看不上眼的MicrosoftDefender已经变得很强大了 , 让电脑不用再另外安装杀毒软件变成了事实 , 包括小编自己 。
但是“安全”都是相对的 , 没有绝对的 , 杀毒软件和病毒之间的斗争始终是道高一尺 , 魔高一丈 , 此消彼长的 , 最近几个月对于MicrosoftDefender , 坊间也有不少负面评价和争议 , 而且还爆出了一个比较严重的漏洞 。
一般来说 , 病毒或者系统漏洞的原理涉及的知识都非常专业、深奥 , 大多数普通朋友、非专业人士都很难看懂理解 , 但是这个被爆出来的漏洞比较另类例外 , 它真的非常简单、粗暴和低级 , 很好理解 。
微软杀毒软件“监控排除”功能是怎样的?
文章图片

文章图片

所有的杀毒(安全)软件都会向用户提供这样一个功能 , 那就是位置“监控排除” , 用户可以手动指定硬盘上的某些文件目录不被杀毒软件所监控 , 因为在现实中 , 某些正常软件被杀毒软件反复误报、误杀、误删除关键文件 , 从而导致某些软件无法正常工作的情况确实存在 。
所以 , 这个“监控排除”功能在客观上是有必要的 , 所以各种杀毒软件一直都提供 , 如果遇到这种情况 , 用户只需把该软件的目录添加到“监控排除”中即可 , 微软的杀毒软件MicrosoftDefender也是一样 。
但是 , 凡事有利就有弊 , 这个功能也有可能会被某些病毒(恶意软件)所利用、钻空子 , 黑客不用绞尽脑汁地去思考如何给病毒加壳 , 如何对抗杀毒软件 , 只需要想办法直接把自己加入到杀毒软件的“监控排除”之内 , 即可彻底躲避查杀 , 万事无忧 。
有些朋友可能会说 , 加入“监控排除”必须要用户本人点鼠标手动操作才能完成 , 病毒做不到吧?其实不是这样 , 这一切都可以用代码来实现完成 , 所以这种病毒(恶意软件)的思路就是想尽一切办法 , 把自己加入到MicrosoftDefender的“监控排除”中 , 打法就是这么简单、低级 。
一旦成功得手之后 , 黑客就可以从排除的文件目录中存储、执行任意恶意软件 , 而不必担心被发现 。在实测中 , 从该目录中执行的恶意软件可在Windows系统上不受任何阻碍地运行 , 畅通无阻 , 也不会触发MicrosoftDefender的警报 。
【微软杀毒软件“监控排除”功能是怎样的?】微软杀毒软件“监控排除”功能是怎样的?
文章图片

文章图片

安全专家使用了一个Conti恶意软件样本进行测试 , 当它从普通文件目录(未加入“监控排除”)执行时 , MicrosoftDefender立即启动并阻止了该恶意软件 , 表现得很出色 。
然而 , 如果将Conti恶意软件放在排除的文件夹中再运行 , MicrosoftDefender没有显示任何警告 , 也没有采取任何措施 , 恶意软件可以为所欲为 。
据悉 , 该漏洞目前至少已经存在八年时间了 , 可影响Windows1021H1和Windows1021H2 , 但是Windows11不受影响 , 安全性更高 。