在生物学中，最明智的攻击方式不是暴力突破身体的防御机制，而是让免疫系统也能为它所用，最着名的是HIV病毒。但事实证明，计算机也面临着同样类型的恶意软件威胁—— 它们可以防止被反病毒软件清理，甚至可以控制计算机的守护进程。因此，恶意软件可以完全渗透到系统的每个部分并修改硬盘和内存中的数据。

好消息是，在Windows Defender博客上，微软宣布他们已经找到了在沙盒中运行Windows Defender反病毒软件的方法。

Windows Defender杀毒软件已经达到了一个新的里程碑：Windows上的内置防病毒功能现在可以在沙箱中运行。通过这一新的开发，Windows Defender 成为第一个拥有此功能的完整防病毒解决方案，并继续引领行业提高安全性。

性能通常是围绕沙盒引发的主要问题，特别是考虑到反恶意软件产品处于许多关键路径中，例如同步检查文件操作和处理以及聚合或匹配大量运行时事件。为了确保性能不会降低，微软必须尽量减少沙箱和特权进程之间的交互次数，同时，只在成本不显着的关键时刻执行这些交互。

因此，维护一个模型是至关重要的，沙盒可以根据需要请求数据进行检查，而不是传递整个内容。

沙盒的另一个重要问题是与进程间通信机制有关，以避免诸如死锁和优先级倒置等潜在问题。此外，沙盒过程本身不应触发检查操作。所有检查都应该在不触发额外扫描的情况下进行。这需要完全控制沙箱的功能，并确保不会触发意外操作。

Windows Defender是一种内置的反恶意软件解决方案，可为台式机，便携式计算机和服务器提供下一代保护。

Windows Defender 包括：

• 云端交付保护，可实现近乎即时的检测并阻止新出现的威胁。除了机器学习和智能安全图之外，云交付保护还是为Windows Defender 提供支持的下一代技术的一部分。

• 使用高级文件和进程行为监控以及其他启发式（也称为“实时保护”）进行永久在线扫描。

• 基于机器学习，人工和自动化大数据分析以及深入的威胁抵抗研究的专用保护更新。

微软称，Windows Defender是第一款完全采用此功能的防病毒软件解决方案。微软现已将此功能推向Insider测试人员，但也可以在稳定的系统中手动激活：

• 打开‘开始菜单’，准备运行‘命令提示符’（cmd.exe）；

  
  

• 记得右键点击，然后选择‘以管理员身份运行’；

  
  

• 输入 SETX / M MP_FORCE_USE_SANDBOX 1；

  
  

• 按下‘回车键’并等待验证；

  
  

• 重启计算机。

启用沙箱后，客户将看到MsMpEngCP.exe与反恶意软件服务MsMpEng.exe一起运行的内容进程。

微软表示，正在逐步为Windows内部人员启用此功能，并不断分析反馈以优化实施。

用户还可以通过设置计算机范围的环境变量（setx / M MP_FORCE_USE_SANDBOX 1）并重新启动计算机来强制启用沙盒实现。 

目前，Windows 10，版本1703或更高版本目前支持此功能。

参考来源：

• microsoft

• meterpreter
  

往期热门资讯：                                        

公众号ID：ikanxue
官方微博：看雪安全

商务合作：wsc@kanxue.com