针对可疑文件的有效性

下载破解、注册机、非法音乐和视频是PC感染的主要方式之一。如今，几乎 100% 的破解和注册机都带有 rootkit 和下载器。简而言之，隐藏的下载器代码会在用户不知情的情况下下载各种恶意程序。此外，许多« 屏保 »免费和一些“免费”软件充当传播媒介间谍软件和广告软件相当侵扰。

MSE查询动态签名服务

从理论上讲，MSE 使用一组通过 Windows 更新不断下载的签名来检测可疑文件。除了近乎实时地检查是否存在新签名之外，它还监控新出现的恶意软件。因此，当文件或程序表现出异常行为时，MSE 会查询动态签名服务，以查看是否应将其提交进行分析或干脆停止。

这些可疑行为包括，例如，尝试修改系统的特权元素或下载已知的恶意内容；这些将自动需要动态签名服务的更新。因此，这使得可以根据行为被视为可疑的代码的存在情况实时向用户传递签名。测试表明，在实践中，该软件实际上具有接近理论的行为，并显示出有趣的检测率。

键盘记录器的检测令人失望

为了测试 Microsoft 对新代码的响应时间，我们对软件进行了检测，检测了出现在 Microsoft 网站上的 200 个损坏文件。新闻组和“地下”站点的运行时间少于 24 小时。 MSE 实现了 100% 识别这些威胁的壮举。当然，这些文件并不包含 200 种不同的病毒，而是同一病毒的大约 20 种变种。但这些文件带有 200 个不同的签名。

对病毒基础的测试并不令人惊讶。 MSE 已检测到所有病毒并木马相对较新且以前最广泛的威胁。另一方面，他错过了一百种非常古老的病毒，顺便说一句，这些病毒不能在 Vista 和 Windows 7 下运行。

如果它确实识别了十个“地下”键盘记录器，则它没有检测到任何“商业”键盘记录器，例如那些以家长控制为借口正式销售的键盘记录器。同样的观察间谍软件/广告软件/spyware，其中 MSE 丢失了 60% 的代码（包括商业 PC 监控软件）。然而，我们并没有尝试执行它们来检查 MSE 是否当时检测到它们，但正如我们稍后将看到的，MSE 碰巧只对代码的执行做出反应（这可以通过对压缩管理的不完善来解释）代码）。