如何將傳送到 Microsoft 的惡意程式碼分析

文章翻譯 文章翻譯
文章編號: 939288 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

當您懷疑檔案或程式是惡意時,您可以將檔案傳送給 Microsoft 研究和回應小組進行分析。惡意的檔案或程式 (惡意程式) 可能包含病毒、 間諜軟體、 病蟲和廣告軟體。此外,如果您使用 Microsoft Forefront 用戶端安全性,您可以指定此程式決定檔案是惡意的方式。

本文將告訴您可用來進行分析,將惡意程式碼檔案傳送至 Microsoft 的方法。本文也將告訴您如何準備送出的檔案。

簡介

本文將告訴您可用來進行分析,將惡意程式碼檔案傳送至 Microsoft 的方法。

其他相關資訊

您可以使用下列方法之一來進行分析,將惡意程式碼檔案傳送至 Microsoft:
  • 以 web 為基礎的送出
  • 由 Microsoft 客戶支援服務的送出
  • 提示送出
如果您懷疑檔案或程式可能有惡意 (例如,您可疑的檔案或程式是病毒、 蠕蟲、 間諜軟體或廣告軟體),您可以使用這些方法。如需有關如何將惡意程式碼檔案傳送給 Microsoft,進行分析的詳細資訊,請參閱以 Web 為基礎送出 」 一節、 「 送出的 Microsoft 客戶支援服務 」 區段中或 「 系統提示您送出 」 一節。

以 web 為基礎的送出

若要傳送檔案給 Microsoft 進行分析使用 Web,請造訪下列 Microsoft 網站:
惡意程式碼防護中心
遵循惡意程式碼防護中心,若要準備包含您想要傳送的可疑的惡意軟體檔案的保存檔的 「 送出範例 」 一節中的步驟。

回應訊息

Microsoft 會傳送回應訊息在封存檔案中包含的檔案清單。Microsoft 已經分析過您傳送的檔案,如果第一個回應訊息將包含所做的每個檔案的決定。如果 Microsoft 已經分析檔案,或如果您的檔案不正確地判定為惡意軟體,Microsoft 會分析檔案。

若要正確地瞭解回應訊息,您必須了解判定與掃描結果之間的差異。

判斷與掃描結果之間的差異

  • 判斷
    決定便是與特定檔案相關聯。Microsoft 分析判斷,而且輸入研究和回應小組的資料庫。
  • 掃描結果
    掃描的結果,是由 anti-malicious 軟體定義個別的檔案執行掃描的結果。
判斷和掃描結果是只有相同檔案傳送給 Microsoft,並檢閱分析師之後。

附註 即使 Microsoft 掃描結果顯示檔案遭感染,判斷可能會顯示為 「 沒有判斷"。當偵測由使用泛型演算法套用至一系列的惡意程式碼時,就會發生這種情況。.Gen 檔案的副檔名會附加至惡意軟體,做為"TrojanDownloader:Win32/Emerleox.gen"檔案名稱中的名稱時,可能就會發生這種情況。在此情況下,判斷不完全代表是否 Forefront 用戶端安全性決定這個檔案是惡意程式碼。

分析結果

分析完畢之後,另一則訊息會傳送至您所提供的電子郵件地址。此訊息包含的檔案的最後決定。如果 Microsoft anti-malicious 軟體定義更新以回應這個送出,訊息也會包含下列資訊:
  • 名稱和惡意軟體的類別。
  • 一個網際網路連結到這個惡意軟體潛在威脅的相關的線上百科全書項目。

    附註 供百科全書項目出現在網際網路上傳送回應訊息後,它可能要花一段時間。
  • 定義,其中包含這項威脅的相關資訊的版本。
  • 一個網際網路連結到包含測試版定義檔的位置。

    附註 請參閱"Beta 定義 」 部分以取得更多資訊。

由 Microsoft 客戶支援服務的送出

Microsoft 客戶支援服務可以傳送給 Microsoft 研究和回應小組在您的名義上的檔案。如果您有 Forefront 用戶端安全性不能解決的緊急惡意程式碼情況下,我們建議您連絡客戶支援服務的說明。若要這樣做,請使用您在購買 Forefront 用戶端安全性時,您所提供的支援資訊。或者,請造訪下列 Microsoft 網站:
Microsoft 消費者安全性支援中心

提示送出

Microsoft 研究和回應小組可能表示小組可以從中衍生的詳細資訊的檔案。如果您加入 Microsoft SpyNet 社群,且如果 Forefront 用戶端安全性偵測到尚未風險分類的電腦上的軟體,可能會要求您傳送至 Microsoft SpyNet 「 軟體 」 之範例以供分析。當系統提示您時,Forefront 用戶端安全性會顯示一份檔案,可協助您判斷是否是惡意軟體的分析師。您可以決定傳送部份或全部的檔案清單中。

是否使用群組原則設定聯結的 Microsoft SpyNet 社群 forefront 用戶端安全性,可讓系統管理員控制。如需有關如何執行這項操作的詳細資訊,請參閱 Forefront 用戶端安全性系統管理指南 》。

如何準備送出的檔案

當您處理可能會被歸類為惡意軟體的檔案時請務必小心。將可疑的惡意軟體檔案新增至壓縮的封存檔案使用密碼。透過這種方式,您可以避免感染其他電腦,當檔案位於傳輸或當您傳送檔案。若要新增檔案至封存檔使用密碼,請依照下列步驟執行。

附註 若已安裝 WinZip 或類似的壓縮公用程式,您可以使用它來建立封存。不過,您必須使用相同的檔案名稱和相同的密碼包含在下面的步驟。
  1. 在 Windows 檔案總管] 中開啟包含可疑的惡意軟體檔案的資料夾。
  2. 在視窗中的空白區域上按一下滑鼠右鍵指向 然後按一下 壓縮的 (zipped) 資料夾.
  3. 型別 malware.zip 若要命名新的封存檔案,然後按 ENTER 鍵。
  4. 當您會將它們拖到一般的 Windows 資料夾,請拖曳至封存檔的可疑的惡意軟體檔案。
  5. 連按兩下的封存檔。
  6. 在上 檔案 功能表中,按一下 新增密碼.
  7. 在中 密碼 方塊中輸入 感染.
  8. 在中 確認密碼 方塊中,請重新輸入 感染然後按一下 [確定].

Beta 定義

Microsoft 研究和回應小組使用新的威脅資訊更新惡意軟體定義。然後,小組廣泛地測試新的定義。雖然這項測試可保護您以 Forefront 用戶端安全性的使用者,才能執行此測試的時間可能重要您環境中惡意軟體危機。

因此,Microsoft 會讓您可以下載完整測試的發行版之前的部分測試的測試版定義就可以使用。您可以快速將這個 beta 版定義部署受感染的電腦。Beta 定義亦可幫助保護可能受到即時的病毒感染的受感染的電腦。Beta 定義並不適合部署許多。建議 Forefront 用戶端安全性客戶執行不部署它們除非客戶遇到明確建立的測試版定義是惡意軟體潛在威脅。

如需詳細資訊請參閱此 Microsoft 知識庫 」 文件:
939757 如何下載 Forefront 用戶端安全性的最新的 beta 惡意軟體定義更新



本文將告訴您的協力廠商產品製造所公司 Microsoft 無關。Microsoft 發佈任何擔保、 默示或其他相關的效能或這些產品的可靠性。

屬性

文章編號: 939288 - 上次校閱: 2011年4月22日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Microsoft Forefront Client Security
關鍵字:?
kbhowto kbmt KB939288 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:939288
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com