近来,北京东方微点信息技术有限责任公司开发的中国首款主动防御实用化产品微点主动防御软件,经历近三年不同寻常的超长时间公开测试之后,正式上市发行。863国家科技攻关项目、有别于传统特征码的主动防御规则、无需扫描不依赖升级、瑞星杀毒软件原设计者刘旭……这些耀眼的词汇无疑吸引了很多关注的目光。
在各大论坛里面,很多“马甲”把东方微点奉若神灵!在大致了解微点主动防御软件风风雨雨的研发历程之后,这让我在拿到这款软件的时候,有种沉甸甸的感觉!试用之余,信手敲下一些感受,不敢妄称“深入分析”,恐有误导读者之嫌!首先,“深入分析”容易引起歧义;其次,小编能力有限,对微点底层运作不清楚;再次,怕文章充斥自己的主观感受。
好了,闲话就此打住,进入正题。
软件介绍
微点主动防御软件,是北京东方微点信息技术有限责任公司(以下简称微点公司)自主研发的具有完全自主知识产权的新一代反病毒产品,在国际上首次实现了主动防御技术体系,并依此确立了反病毒技术新标准。微点主动防御软件最显著的特点是,除具有特征值扫描技术查杀已知病毒的功能外,更实现了用软件技术模拟反病毒专家智能分析判定病毒的机制,自主发现并自动清除未知病毒。
.jpg)
配置要求
处理器:Intel Pentium Ⅱ 450MHz
内 存:128M以上
硬 盘:100M以上剩余空间
>>>>点击立即拥有<<<<<
软件信息
软件注册
东方微点主动防御软件安装很简单,初级用户对安装也不会感到吃力。在这里对如何安装微点主动防御软件不作详细介绍,而是谈谈如何注册软件。
读者也许会奇怪为什么要谈如何注册软件,那不是很简单嘛!的确,微点主动防御软件的注册很简单,但是在各个论坛,有不少读者反应自己不知道如何注册微点主动防御软件,这一点我觉得很意外!
现在拿微点主动防御软件试用版来说明一下它的注册方法。在软件安装过程当中,会出现【客户信息】窗口,见图1所示:
.jpg)
(图:1)
在其中输入正确的以下信息:用户名、公司名、产品序列号(盒装正式版随产品提供,序列号见说明书首页),免费试用版用默认的序列号即可。然后完成安装即可。
如果才装上的试用版出现试用期已过,微点图标灰掉的现象,说明试用版注册有问题。可以进行如下操作,以激活试用版。
打开微点主动防御软件,在【辅助选项】中选择“注册”,见图2所示:
.jpg)
(图:2)
填入国家、省市、电子邮箱等信息,然后点击【注册】,即可激活微点主动防御软件。
软件设置
程序行为实时监控策略
微点主动防御软件以服务的形式启动,在操作系统启动时,微点主动防御软件就开始监控系统所有进程,为系统提供安全防御保障。
设置程序行为实时监控策略
在【安全防护与策略】中选择【程序行为实时监控策略】如图3:
.jpg)
(图:3)
发现有害程序的处理方式
【程序行为实时监控】具有三种处理方式:自动处理、采用静默方式、询问后处理,默认选项是【询问后处理】。
自动处理
“自动处理”是指微点主动防御软件监控到系统中的有害程序时,弹出报警信息,同时微点会自动删除有害程序,并将有害程序放入有害程序隔离。
采用静默方式的自动处理
“静默方式”是指微点主动防御软件监控到系统中的有害程序时,不弹出报警信息,自动删除有害程序。
询问后处理
“询问后处理”是指微点主动防御软件监控到系统中的有害程序时,弹出报警信息提示框,让用户选择处理方式,弹出的报警窗口的显示保留一定的时间,以便用户查看报警窗口的信息,若超过等待时间,则微点主动防御软件自动按照默认的方式(删除)进行处理。该时间值的设定见【设置询问等待时间】。
设置询问等待时间
如果您选择了【询问后处理】,需要确定“询问等待”时间,微点主动防御软件默认的“询问等待”时间是48秒,用户可根据需要自己定制10-300秒内的任意时间值;然后单击“保存”按钮,即可完成设置。
上报截获的未知有害程序样本
对已准确判定且确认删除的未知有害程序样本,微点主动防御软件给出三种处理方式,供用户选择:
方式一:自动传送(默认方式)
【自动传送】即微点主动防御软件在截获未知有害程序后,不出现任何提示信息,自动将截获到的未知有害程序样本提交给东方微点公司。
方式二:智能询问处理
【智能询问处理】即微点主动防御软件截获到未知有害程序,弹出报警信息提示框,询问用户是否将未知有害程序样本提交给东方微点公司。
方式三:不传送
【不传送】即微点主动防御软件不提交未知有害程序的样本。
锁定系统时间
“锁定系统时间”即保护系统时间不被修改。启动“锁定系统时间”后,则禁止对系统时间进行修改设置,若需要修改系统时间,需要去掉“锁定系统时间”前的勾选,然后点保存后,再进行更改设置。默认状态下,不启用此功能,用户可根据需要选择是否锁定系统时间。
可信程序设置
在主功能【安全与防护策略】中点击子功能【程序行为实时监控策略】,在打开的标签页中单击“可信程序设置”按钮,打开【可信程序】窗口,如图4:
.jpg)
(图:4)
【可信程序】信息区的操作提供两种操作方式:右键菜单操作方式和按钮操作方式。这两种操作方式完成同样的功能,用户可根据习惯选择操作方式。
【可信程序】的操作包含:添加、修改、删除。
添加【可信程序】
【第一步】在【可信程序】窗口中,单击“添加”按钮,或单击鼠标右键选择“添加策略”,选择要添加为可信程序的程序文件。
【第二步】选择可信程序类型:选中程序后,单击“打开”按钮,微点主动防御软件提示如图,要求对选中的程序选择可信程序类型。 见图5所示:
.jpg)
(图:5)
可信任程序--即由用户认可的一切可信任程序,对于类型为可信任程序的可信程序,微点主动防御软件的动态仿真反病毒专家系统对其以可信模式进行监控。
允许修改程序——即由用户认可允许所选程序修改程序文件的行为的可信任程序。对于类型为修改程序行为的可信程序,微点主动防御软件的动态仿真反病毒专家系统对其进程以可信任模式进行监控。
提醒:注意:对于微点主动防御软件已识别为正常软件或已经判定为已知有害程序的程序禁止加入可信程序中。
【第三步】 选择完可信程序类型后,单击“确定”,完成可信程序的添加。
修改可信程序类型
在【可信程序】窗口中,选中要修改的可信程序后,单击“修改”按钮,或单击右键菜单中的“修改策略”,重新选择可信程序的类型,然后点击【确定】,修改完成。
删除【可信程序】
删除所选
在【可信程序】窗口中,选择要删除的可信程序后,单击“删除”按钮,或单击右键菜单中的“删除策略”,则将所选程序从【可信程序】中删除。
全部删除
在【可信程序】窗口中,单击右键菜单中的“全部删除”,则将【可信程序】中的所有策略全部删除。
设置程序访问网络策略
在 【安全防护与策略】的子功能项中单击【程序访问网络策略 】,打开【程序访问网络策略 】标签页,如图6所示:
.jpg)
(图:6)
【程序访问网络策略】的设置包含两种操作方式:右键菜单方式和按钮操作方式。
添加程序访问控制规则
【第一步】 进程选择:单击“添加”按钮,在系统中选择欲添加的应用程序。
【第二步】 设置规则:对所添加的程序设置网络访问规则。 规则有 3 种动作,如图7所示:
.jpg)
(图:7)
【允许访问网络】 —— 允许所选程序访问网络;
【不允许访问网络】 —— 禁止所选程序访问网络;
【访问网络时询问】 ——对设置为此规则的程序在访问网络时,系统会弹出警示框,询问用户是否允许改进程访问网络。
.jpg)
(图:8)
【第三步】单击"确定",完成程序规则的添加。
修改程序访问控制规则
在程序规则信息区中,选择要修改的规则,直接点击“修改”按钮或点击鼠标右键选择“修改策略”,在弹出【修改程序规则】重新设置新的规则,然后点击【确定】,修改完成。
删除程序访问网络策略
在程序规则信息区中,选择要删除的规则,直接点击【删除】按钮或点击鼠标右键选择【删除策略】,则所选策略被删除。
智能识别设置
“智能识别”是通过微点主动防御软件的动态仿真反病毒专家系统,自动识别并处理系统中进程访问网络的行为。正常进程访问网络的行为,直接放行,可疑进程访问网络的行为,微点主动防御软件弹出报警,提示用户是否允许该进程访问网络。
打开【程序网络访问策略】标签页,用户可根据实际情况选择对系统中进车观念进程的网络访问行为是否采用“智能识别”, 微点主动防御软件对系统中进程的网络访问行为,默认设置为“智能识别”,若取消“智能识别”,则系统中所有进程在进行网络访问时,微点主动防御软件都会进行报警询问。
传统防火墙设置
微点主动防御软件提供的传统防火墙实时监控任何网络连接,过滤不安全的服务,减少计算机被攻击的风险,为计算机系统提供更全面的保护。
在【安全与防护策略】中单击【传统防火墙设置】,打开微点的传统防火墙设置窗口,如图9所示:
.jpg)
(图:9)
传统防火墙的默认规则包
微点主动防御软件提供了五个规则包供用户选择,用户可以根据实际使用环境选择不同的规则包,传统防火墙默认使用的规则包为:规则包(一)。为了确保用户安全,微点主动防御软件提供的五个默认规则包不允进行任何更改。用户可以根据自己的需要,自行编辑定义新规则包,也可以采用另存方式,在微点主动防御软件提供的默认规则包的基础上编辑自己的防火墙规则策略。
规则包一:开放网络,不对进出数据包做任何限制。
规则包二:允许本机连接共享,适用于局域网内部用户。。
规则包三:禁止远端计算机和局域网内的机器访问本机的共享服务,禁止连接的局域网的其他机器看到本主机,不允许别的机器探测本主机等,适用于普通单机用户。
规则包四:普通用户规则,禁止远端计算机和局域网内的机器访问本机的共享服务,禁止连接的局域网的其他机器看到本主机,不允许别的机器探测本主机等,适用于普通单机用户。
规则包五:适用于使用互联网的用户。
使用微点的防火墙规则包
自定义规则包
在“规则包列表”中,单击右键,选择“新建”,在打开的窗口中输入规则包名称及其对该规则包的描述信息后,点击确定,则新建一个空的规则包。
应用规则包
在“规则包列表”中,选择要应用的规则包,单击右键,选择“应用”,或者直接点击快捷应用列表的规则包,此时,提示“设置成功”的对话框,表示应用新规则包成功。
导入规则包
在“规则包列表”中,单击鼠标右键,选择“导入”,在打开的对话框中选择要导入的规则包,微点主动防御软件的防火墙规则包文件的格式为rpk格式。
导出规则包
在“规则包列表”中,选择要导出的规则包,双击该规则包,打开规则包编辑窗口,在编辑窗口中单击图标 
,打开“导出规则包到文件”的对话框,选择保存规则包的本地路径后,命名导出的规则包,单击“保存”按钮,导出当前规则包。
另存规则包
“另存规则包”即将已存在的规则包重命名后作为一个新的规则包加到规则包列表中,对于禁止修改的默认规则包,用户可以采用“另存”规则包后,对其进行更改。
单击“传统防火墙设置”标签页上的“恢复默认设置”,则恢复到传统防火墙的初始设置。
修改规则包
双击“规则包列表”中的某一规则包,或者单击右键菜单列表中“修改”,打开规则包的编辑窗口,可对规则包的各项规则进行修改。
删除规则包
删除选定的规则包。
编辑防火墙的规则包
双击规则包列表中的规则包名称,打开“编辑规则包”的窗口如图10:
.jpg)
(图:10)
更改规则包的描述信息
单击“编辑规则包”窗口中的“描述”按钮,在打开的“规则表描述”对话框中修改对规则包的描述信息。
新建防火墙的规则策略
【第一步】填写规则名称及其描述信息。
【第二步】设置规则的条件:选择规则的数据包的协议类型:TCP、UDP、IGMP、ICMP、IP。
【第三步】选择规则对哪个方向的数据包有效:发送、接收、双向。
【第四步】设置端口和地址。
【第五步】设置对规则的处理:拦截和放行。
【拦截】——阻止该数据包进入您的计算机。
【放行】——允许该数据包进入您的计算机。
【报警】——若勾选该项则会记录拦截或放行的数据包入侵你的计算机时的信息,详细信息请参看【传统防火墙信息】。
【记日志】——若勾选该项,则将拦截或放行的数据包的信息记录到【传统防火墙日志】中。
设置IP地址组
单击快捷图标 ,打开“IP地址段”的设置窗口如图所示,设置传统防火墙组策略的IP地址段。
设置端口段
单击快捷图标,打开“端口段”的设置窗口,设置传统防火墙组策略的端口段。
导入规则策略
即导入微点主动防御软件默认的规则,单击右键菜单中的“导入策略”或者单击快捷图标,打开如图所示的窗口,从微点主动防御软件提供的默认规则表(左边)中移入要导入的策略,点击“确定”按钮,将策略导入到传统防火墙规则列表中。
微点主动防御软件对应用程序访问不同地址和端口设置了两条规则即:允许可识别程序通过(TCP)、允许可识别程序通过(UDP)
在这里提及到的可识别程序是指:已知程序、可信程序、以及“程序访问网络策略”中允许访问网络的应用程序。对于这些可识别程序,可以不受后面规则中对端口及访问地址的限制,可以任意访问任何地址和端口。
建议:在您创建自己的规则包时,微点建议您至少导入“允许可识别程序通过(TCP)”和“允许可识别程序通过(UDP)”两条规则。
.jpg)
(图:11)
修改防火墙的规则策略
单击右键菜单中的“修改策略”或者单击快捷图标 
对所选策略进行修改。
调整规则策略的位置
在策略列表中选择要移动的规则策略,单击鼠标右键选择上移(或者是下移按钮对策略位置进行更换,也可以单击快捷图标(: 
上移选定的规则。 : 
下移选定的规则。)完成同样的功能。
删除防火墙的规则策略
选择要删除的规则策略后,单击右键菜单中“删除策略”,或者单击快捷按钮 
,删除所选策略。
保存规则包策略
设置完规则包策略后,点击“保存”按钮或者单击快捷图标 
,保存对当前规则包的编辑修改。
取消对规则包策略的修改
点击“取消”按钮或者单击快捷图标 
,则放弃对当前规则包所做的修改。
恢复传统防火墙的默认设置
单击“传统防火墙设置”标签页上的“恢复默认设置”,则恢复到传统防火墙的初始设置。
绑定MAC地址
微点主动防御软件的“传统防火墙”提供了绑定MAC地址的功能,通过将IP地址与MAC地址绑定,防御局域网内的Arp欺骗。
在【传统防火墙设置】窗口中,双击“绑定mac地址”按钮,打开如图12所示窗口.
(图:12)
启用IP与MAC地址的绑定
单击“刷新网关”和“查找所有主机”搜寻局域网内的其他机器的IP地址以及其对应的MAC地址的列表,点击中间的方向按钮,将其移动到左边的列表,勾选“启用绑定”,点击“应用”按纽,实现对左边列表中的IP与MAC地址的绑定。
您也可以在两边的列表中,点击右键菜单中的“添加”,手工添加要IP地址和MAC地址,进行绑定。或者点击右键菜单中的“修改”或“删除”,对列表中的信息进行更改和删除。
有害程序隔离
微点主动防御软件对于确认删除的有害程序直接将其删除到 微点主动防御软件的【有害程序隔离】区,放置在【有害程序隔离】区中的文件都经过特殊格式保存,不会对系统造成任何影响。
隔离区文件管理
在主功能区单击【安全与防护策略】中的子功能【有害程序隔离】,打开【有害程序隔离】标签页,显示被删除的有害程序文件的列表信息,您可以根据需要对已删除的隔离文件对隔离区的文件进行备份、恢复、删除以及样本上报等管理。如图13:
(图:13)
删除
在【有害程序隔离】信息列表中,选择要删除的隔离文件,点击按钮“删除所选”或在右键菜单中选择“删除所选”,可将所选的隔离文件彻底删除。
要全部清除隔离区内的文件,在列表中单击按钮“全部删除”。
恢复
在【有害程序隔离】信息列表中选择要恢复的隔离文件后,点击“恢复所选”按钮或者单击鼠标右键在列表中选择“恢复所选”,则将所选的隔离文件恢复到文件删除前所在的位置。
在有害程序隔离信息列表中若选择按钮“全部恢复”,则将有害程序隔离信息列表中的所有文件恢复到其原先的位置。
重要提示:建议用户只将那些准确确认是微点主动防御软件误报的隔离文件进行恢复。
备份隔离文件
在【有害程序隔离】信息列表中选择要备份的隔离文件后,单击鼠标右键,在打开的菜单中选择“另存为”,选择文件的保存路径后,单击“确认”按钮,备份所选的隔离文件。
上报样本
“上报样本”即将隔离列表中的病毒文件上报给东方微点公司,在有害程序隔离信息列表中,选择要上报的隔离文件,在右键菜单中选择“上报样本”,可将所选的隔离文件直接上报到东方微点公司。
刷新
刷新当前隔离列表。
隔离区设置
为了存储越来越多被隔离的有害程序,微点主动防御软件允许用户调整【有害程序隔离】中的隔离区的路径及存储位置。
单击【有害程序隔离】中的“设置”按钮,弹出【隔离区大小设置】窗口,如图14:
(图:14)
隔离区设置操作
设置隔离区存储路径
单击“浏览”按钮,在磁盘中选择隔离文件的存储位置。
隔离区尺寸的设置
自动调整隔离区大小
默认的设置方式,即隔离文件可存储在磁盘自由使用区内,隔离区空间的大小只跟磁盘的自由使用区的大小有关。
限定隔离区大小
即对隔离区的大小作限制,隔离文件只能存储在限定的空间中,拖动隔离区尺寸设置图中的分割线来设置隔离区、自由使用区、分区保留区的大小。
注意:当隔离区文件的大小超过隔离区空间的尺寸后,自动替换最早的隔离文件。
好了,在了解微点主动防御软件的功能之后,再来看看它的特点:主动防杀未知病毒;智能病毒分析技术;强大的病毒清除能力;驱动级的安全保护机制;智能防火墙……简单来说,微点是一款主防软件。用不是很专业的话来说叫做行为杀毒,那么和特征码杀毒又有多少差别呢?行为杀毒软件的杀毒引擎是不是比特征码杀毒软件的引擎优越?
杀毒引擎是一套判断特定程序行为是否为病毒程序(包括可疑的)的技术机制。一个完整的技术引擎遵守如下的行为过程:(引自百度百科——杀毒引擎词条)
1.非自身程序行为的程序行为捕获。包括来自于内存的程序运行,来自于给定文件的行为虚拟判断,来自于网络的动态的信息等等。一般情况下,我们称之为引擎前端。捕捉的方法非常多,除诺顿以外的杀毒软件采用的都是行为规范代码化的方法。诺顿由于与微软有这远远高于其它厂商合作关系,其实现过程比较独特,另有叙述。
2.基于引擎机制的规则判断。这个环节代表了杀毒引擎的质量水平,一个好的杀毒引擎应该能在这个环节发现很多或者称之为相当规模的病毒行为,存而避免进入下一个判断环节。传统的反病毒软件引擎使用的是基于特征码的静态扫描技术,即在文件中寻找特定十六进制串,如果找到,就可判定文件感染了某种病毒。但这种方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用了。为了更好的发现病毒,相继开发了所谓的虚拟机,实时监控等相关技术。这个环节被叫做杀毒软件引擎工作的核心层。
杀毒引擎与要将非自身程序行为过程转化为杀毒软件自身可识别的行为标识符(包括静态代码等),然后与病毒库中所存贮的行为信息进行对应,并作出相应处理。当然必须承认,当前的杀毒软件对大量病毒的识别都是在这个阶段完成的。因此一个足够庞大的病毒库往往能够弥补杀毒软件引擎的不足之处。但是必须意识到,如果在核心层阶段就可以结束并清除病毒程序,那么杀毒软件的工作速度将会大幅提升。
也许,在核心层阶段就可以结束并清除病毒程序就是东方微点主动防御软件的追求!
我们再来了解一下常见的病毒检测方法。
检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法等等。这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。
特征代码法
特征代码法的实现步骤如下:
采集已知病毒样本,病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。
在病毒样本中,抽取特征代码。依据如下原则:
抽取的代码比较特殊,不大可能与普通正常程序代码吻合。抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节,要检测3000种病毒,增加的空间就是3000字节。在保持唯一性的前提下,尽量使特征代码长度短些,以减少空间与时间开销。
在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。将特征代码纳入病毒数据库。
打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。
采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒。
特征代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理。其缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)。
其特点:
A.速度慢。随着病毒种类的增多,检索时间变长。如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。如果病毒种数再增加,检病毒的时间开销就变得十分可观。此类工具检测的高速性,将变得日益困难。
B.误报警率低。
C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特
征代码法的索命者。
D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的“好文件”,而不能报警,被隐蔽性病毒所蒙骗。
校验和法
将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外,还纳入校验和法,以提高其检测能力。
这种方法既能发现已知病毒,也能发现未知病毒,但是,它不能识别病毒类,不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。
病毒感染的确会引起文件内容变化,但是校验和法对文件内容的变化太敏感,又不能区分正常程序引起的变动,而频繁报警。用监视文件的校验和来检测病毒,不是最好的方法。
这种方法遇到下述情况:已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。
校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和。
运用校验和法查病毒采用三种方式:
①在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。
②在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。实现应用程序的自检测。
③将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。
校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是:发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。
行为监测法
利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
这些做为监测病毒的行为特征如下:
A.占有INT 13H
所有的引导型病毒,都攻击Boot扇区或主引导扇区。系统启动时,当Boot扇区或主引导扇区获得执行权时,系统刚刚开工。一般引导型病毒都会占用INT 13H功能,因为其他系统功能未设置好,无法利用。引导型病毒占据INT 13H功能,在其中放置病毒所需的代码。
B.改DOS系统为数据区的内存总量
病毒常驻内存后,为了防止DOS系统将其覆盖,必须修改系统内存总量。
C.对COM、EXE文件做写入动作
病毒要感染,必须写COM、EXE文件。
D.病毒程序与宿主程序的切换
染毒程序运行中,先运行病毒,而后执行宿主程序。在两者切换时,有许多特征行为。
行为监测法的长处:可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处:可能误报警、不能识别病毒名称、实现时有一定难度。
软件模拟法
多态性病毒每次感染都变化其病毒密码,对付这种病毒,特征代码法失效。因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较,也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒,但是在检测出病毒后,因为不知病毒的种类,难于做消毒处理。
从杀毒原理来看,微点主动防御软件的杀毒原理最接近行为监测法,即利用病毒的特有行为特征性来监测病毒。这种办法的好处在于可发现未知病毒、可相当准确地预报未知的多数病毒,并可以识别病毒的变种。但是,这种办法也有其弱点,可能误报、不能识别病毒名称、实现时有一定难度。
微点主动防御软件的行为监测法杀毒,很好很强大!但是,也并非很多用户认为的那么绝对强大!有些较为感性的用户甚至认为:在微点面前,一切木马、病毒、恶意程序都是渣。其实不然,任何东西都有弱点的。
此前,在卡饭论坛里面看到的一个帖子《与王者的较量---再次轻松绕过微点主动防御》,就是探讨如何过微点的,见图15所示:
.jpg)
(图:15)
里面提及的一些过微点的想法还是很现实的,引述部分如下:
微点查杀木马的几个绝招:
1.正常用户使用的程序,绝对不会hook自身,实现隐藏进程,而隐藏进程的必然是木马病毒。
2.正常用户使用的程序,绝对不会插入其它进程,尤其是ie浏览器和svchost.exe,这两个进程,一旦插入进程进行访问网络的程序必然是木马病毒。
要现说一说主流木马运过程:
1.双击木马运行。
2.木马会以隐藏窗口形式进行运行。
3.向C盘下的,windows 或system或system32.等等,系统关键的几个文件夹释放木马的文件。
4.注册服务,修改服务,或者修改注册表添加启动项,好让程序从新启动后能够再次运行。
5.插入ie浏览器进程和hook自身隐藏进程,外连网络。
微点查杀木马就是依靠以上的几点规则来判断,你运行的程序是不是木马,然后进行拦截。
只要木马不具备这几点特征,自然微点也就不会拦截。我的思路就是构造正常用户的操作,这样微点就不会报警木马。
实现思路:
1.不隐藏进程
2.不插入进程外连网络
3,不修改注册表
4.不创建服务来实现启动
下面我们来开始构造用户正常的操作:
1.打开任务管理器。
2.结束alg.exe这个进程。
3.打开system32这个目录将alg.exe删除。
4.打开system32这个目录将系统自带的alg备份文件删除。(防止系统自修复alg.exe)
4.将木马文件改名alg.exe并且复制到system32。
5.然后运行alg.exe
6.就这么简单简单突破微点。
好了,讲了这么多了,我们来看看微点实际表现吧!由于微点不是传统意义上的杀毒软件,所以这里就不采用惯用的扫描病毒包以检出多少病毒体现优劣的做法,而是运行病毒看微点的表现,下面就来看一看。
小编用迅雷下载一个病毒样本包,打开链接,开始下载的时候,迅雷的安全下载服务检测出文件包含病毒,见图16所示:
.jpg)
(图:16)
微点此时没有任何的反应。那么,忽略迅雷的安全下载提示,继续下载病毒包。好了,病毒包下载到了本地硬盘了,微点还是没有任何反应!看到这,也许不少习惯特征码杀毒软件的朋友已经不耐烦了,因为一般情况下杀毒软件在打开链接的时候就会检测到威胁,并予以清除!当然,杀毒软件要靠谱的那种。
下载到本地硬盘了微点还没有反应,要不,运行病毒试试。那就运行病毒吧!先解压病毒样本的压缩包,看看微点有无反应。额,刚解压,微点就开始吼了,如图17所示:
.jpg)
(图:17)
选用的病毒包共计170个病毒样本,见图18所示:
.jpg)
(图:18)
在微点清除病毒后,残余文件见截图19:
.jpg)
(图:19)
被微点清除后,这些程序已经不能继续作恶了。
看到这里,相信大家对微点多少有了一些感性的认识。也许你会觉得微点要病毒运行后才拦截,不够安全;微点不能够全盘扫描,心里总觉得不踏实……这是用惯了特征码杀毒软件罢了,一时半会儿不适应这种类似于HIPS软件。微点只是在病毒运行到一定阶段,足以判断为病毒时才报警。从测试的结果来看,并不逊色于大多数的特征码、校验和法、软件模拟法等杀毒软件的。
不过,在试用微点的过程当中还是发现一些不尽如人意的地方的。比如说,一个病毒包,N多的病毒,微点发现一个提示操作一次,等全部查完了,意味着发现多少病毒就得点多少次删除。要是掉毒窝里面,可怜的鼠标要点坏掉了哈,鼠标很贵的朋友怕要心疼死。
此外,微点又很好的监控系统,发现病毒也能够清除,不过,没有全盘扫描功能,给人的感觉不是杀毒软件,更像是HIPS。
另外要说的是,很多点饭对微点的“无需升级病毒库”引以为豪,其实不然,微点它不是依靠特征码来防毒的,也就无所谓病毒库升级的。事实上微点还是要不断更新的,不同的是微点要更新的是所谓的“规则”而已。在这个世界上,无论过去还是未来都不会有一劳永逸的事情。
好了,在了解微点的防毒杀毒能力之后,再来看看微点的自我保护能力。如果一款安全软件连自己都保护不了的话,那无疑是冷笑话。
添加文件
在微点的安装文件夹里面添加文件看看。找到路径,尝试新建文件看看。结果如图20所示:
.jpg)
(图:20)
把创建好的恶意程序复制粘贴看看,结果不行,见图21:
.jpg)
(图:21)
删除文件
先尝试右键删除微点的文件看看,结果是微点不答应,见图22所示:
.jpg)
(图:22)
右键删除没用,那么再看看第三方暴力删除工具能不能删除。首先,试用360粉碎器看看。首先,用360粉碎器选中几个微点的文件,见图23所示:
.jpg)
(图:23)
点击“粉碎选中文件”的同时,选中“阻止被删除文件再生成”,360粉碎器说“文件已删除”,见图24所示:
.jpg)
(图:24)
360粉碎器说文件已经删除了,但是,打开微点的文件夹,那几个文件赫然在目,见图25:
.jpg)
(图:25)
是360粉碎器没用?还是微点自保护能力不弱呢?
那看看超级巡警的文件暴力删除工具行不行!选中文件的同时,勾选了超级巡警文件暴力删除的“强力阻止文件再生”、“删除对应延迟删除信息”等,见图26所示:
.jpg)
(图:26)
暴力删除后看看效果。超级巡警文件暴力删除工具很诚实,如实地汇报了删除结果,见图27所示:
.jpg)
(图:27)
打开微点的文件夹看看,文件好好的都在,见图28所示:
.jpg)
(图:28)
360文件粉碎器和超级巡警文件暴力删除工具的没能破坏微点的文件,再来看看网友很推崇的unlocker的表现怎样?图29:
.jpg)
(图:29)
Unlocker也拿微点的保护没办法,提示:错误,文件不能被删除!如图30所示
.jpg)
(图:30)
进程中止
中止进程前先把微点设上密码,还是用任务管理器试试先。找出微点进程,右键结束看看,结果是微点拒绝访问。微点有五个主要进程,篇幅所限,这里只放一张截图,见图31所示:
.jpg)
(图:31)
任务管理器奈何不了微点进程,那再看看冰刃IceSword能不能结束微点的进程。选中微点的五个主要进程,右键“结束进程”,屏幕闪一下,但是微点的进程都还在。见图32所示:
.jpg)
(图:32)
微点能够经过冰刃IceSword的考验,表现不错!
时间保护
有不少病毒木马会修改系统的时间,这一行为具有一定的危害性,比如:XP的系统修改到2000年以前,可能会导致无法进入系统;时间修改后,导致杀毒软件授权过期,防护失效,滋生病毒木马。微点主动防御软件具有时间保护功能,下面就来看看微点的时间保护功能。
首先启用微点的“锁定系统时间”功能,见图33所示:
.jpg)
(图:33)
时间为2008-8-8,见图34所示:
.jpg)
(图:34)
尝试修改系统时间至2000年前,这里把系统时间修改为1998-8-8看看。设定到1998年,点击“应用”,见图35所示:
.jpg)
(图:35)
但是,在微点的保护下,系统时间任然为2008-8-8。图36:
(图:36)
资源占用
不作评测,觉得没有意义!如果现在的电脑还跑不起一款安全软件,还能指望它干什么?不如送给老爹玩蜘蛛纸牌吧!
写在最后
总的来说,微点主动防御软件像是一款更为智能的HIPS+墙。很安静——只有在病毒木马现出狰狞面目的时候,才出手伏恶;很轻快——资源占用少,运行稳定流畅。即使是老爷机也可以流畅使用。
不过,不要因此就觉得微点文弱,微点防御能力较强,即使是没有被列入病毒库里的未知病毒,也难逃被清除的命运;在系统漏洞修复、注册表修复、防御和查杀U盘autorun病毒、防御arp欺骗攻击、溢出攻击、未知病毒、木马等方面,有着不俗表现!此外,特别要指出的是,微点为用户提供检测程序、进程启动、网络分析,以及系统分析等功能,这样即使杀毒软件有疏漏,用户也可利用所提供的功能,揪出潜伏在系统内的病毒、木马程序等。
当然,微点也有不尽如人意的地方!比如:1.没有扫描功能,不支持右键,习惯特征码杀毒软件的用户起初会很难适应;2.软件不够美观,当然,这不是什么毛病喽。
不过据说,微点很快就要推出扫描引擎了,或为可选组件,或为整合推出,看来是要照顾用户的使用习惯!到目前为止,官方测试版还没有推出,期待中…
>>>>点击立即拥有<<<<<