微点,主动防御软件,[强烈推荐] 内有详细教程及功能说明
微点,主动防御软件,[强烈推荐] 内有详细教程及功能说明
原文出自木蚂蚁社区www.mumayi.net,本贴地址:http://bbs.mumayi.net/viewthread.php?tid=861776
下载点(请选择你的城市或者与你城市近的下载点下载)本帖隐藏的内容需要回复才可以浏览
说明:
1、本软件测试期间注册免费,注册后可享受升级服务。
2、本软件目前支持windows 2000以上操作系统,暂不支持windows
98系统。
3、您在使用微点主动防御软件过程中,如果遇到问题或者发表个人心得,欢迎通过以下方式与我们联系:
如遇到疑为病毒木马的文件,请用压缩工具(如RAR,ZIP)压缩发送至病毒上报邮箱。
病毒上报邮箱:virus@micropoint.com.cn
如需技术支持,请联系技术支持邮箱。
技术支持邮箱:support@micropoint.com.cn
技服电话:0591-87569401、87516430、87539717
微点技术交流QQ群:630086 或
1471553 或 16998902 (默认只开放其中一群,请会员逐个试下)
非官方微点交流QQ群:1016343
微点官方论坛:bbs.micropoint.com.cn
【个人谈点对微点先进技术的理解,兼麦咖啡的一些理念】
补充一下:我所说的下面这些文字,只是我自己的认识水平有限,个人看法而已。有错误请指出,非常感谢!
不怕丢人,我对微点不太熟悉,对麦咖啡更是一知半解。只能通过简单的说明进行对比,看看微点高在什么地方。这贴子不是为了吵架的,如果想吵架,请另找地儿开枪。
微点第一个特点(以下特点均是官方技术说明文字):
① 创立动态仿真反病毒专家系统:对病毒行为规律分析、归纳、总结,并结合反病毒专家判定病毒的经验,提炼成病毒识别规则知识库。模拟专家发现新病毒的机理,通过对各种程序动作的自动监视,自动分析程序动作之间的逻辑关系,综合应用病毒识别规则知识,实现自动判定新病毒,达到主动防御的目的。
据我理解,这一特点的主要意思是:用病毒识别规则知识库来判断某一文件是不是病毒。而这个病毒识别规则知识库是根据反病毒专家判定病毒的经验(对病毒行为规律分析、归纳、总结)而成的。
也就是说,某一程序,当它在系统中进行某一动作,而这一动作恰恰符合病毒识别规则知识库中的一种或一类,则微点就将其判定为病毒,进而制止它的犯罪行为。不知道我这么理解对不对?
如果我的理解没有错得太离谱,那么这一技术特点与麦咖啡相比好像并没有太大的优势。在我看来,所谓的病毒行为规律,不外乎就是修改文件(这里的文件概念包括注册表、可执行文件等所有的文件格式)、读取文件(包括密码等私密信息)、建立文件、删除文件(格式化也是删除的一种方式)等几种有限的方式吧?
打个简单的比方,反病毒专家可能认为:非法修改注册表往往是病毒的一种行为方式,只要非法修改注册表就触动了病毒识别规则知识库。那么,微点是通过某一程序是否非法修改注册表来判断它是否为病毒的(当然不只判断这一条)。而麦咖啡加一条规则,直接禁止对注册表进行操作(你自己指定可以修改注册表的程序除外)。
也就是说,微点病毒识别规则知识库中的所有病毒行为判断规则,在麦咖啡中都可以用一种更为极端的方式来实现。你认为它在系统文件夹下私自写文件改文件是病毒行为,那麦咖啡直接就禁止除了你指定的程序外不能动系统文件夹下的任何文件。哪个更极端?
② 自动准确判定新病毒:分布在操作系统的众多探针,动态监视所运行程序调用各种应用编程接口(api)的动作,自动分析程序动作之间的逻辑关系,自动判定程序行为的合法性,实现自动诊断新病毒,明确报告诊断结论;有效克服当前安全技术大多依据单一动作,频繁询问是否允许修改注册表或访问网络,给用户带来困惑以及用户因难以自行判断,导致误判、造成危害产生或正常程序无法运行的缺陷。
首先,我认为,越来越多的软件开始借鉴一些病毒的技术。在这种情况下,如果一款新软件像以往的病毒一样采用新的接口动作,微点如何判定这一新软件到底是不是病毒?尤其是,像一些涉及系统底层接口的软件,怎么判断?有没有误判的可能性?
第二,我们平常所用的软件基本是有数的。就算出现了新软件,对一个非新手来说,它的功能、需要的支持基本上也能断定。比如新出了一款浏览器,根据它的软件说明,我想作出一个大致的判断应该不难:需要通过80端口上网,需要对缓存区进行读写,需要支持HTTP和FTP下载支持等等。而这些东西,在麦咖啡里完全可以通过自定义规则中的排除来搞定,在这几条限定规则中把这款浏览器的进程给排除掉,就万事OK了。
也就是说:微点能做到的,麦咖啡也能做到,只是对使用者的技术水平要求不同而已。
③ 程序行为监控并举:在全面监视程序运行的同时,自主分析程序行为,发现新病毒后,自动阻止病毒行为并终止病毒程序运行,自动清除病毒,并自动修复注册表。
发现新病毒后自动阻止病毒行为,对一款防/杀毒软件来说都是必要的。问题是,杀软的进程优先级比较麻烦。如果病毒进程的优先级高于杀软,想把它干掉恐怕不太可能。微点在没有系统底层代码的前提下,能保证这种情况不会发生吗?要知道,几家国际知名杀软可大多拿到了微软公布的部分底层代码。
④ 自动提取特征值实现多重防护:在采用动态仿真技术的同时,有效克服特征值扫描技术滞后于病毒出现的缺陷,发现新病毒后自动提取病毒特征值,并自动更新本地未知特征库,实现“捕获、分析、升级”自动化,有利于对此后同一个病毒攻击的快速检测,使用户系统得到安全高效的多重防护。
特征值扫描确实滞后于病毒的出现。我理解微点的这一技术特点,应该是:通过行为判断技术判定病毒,接着在本机直接提取特征值加入本地未知特征库,从而避免变种损害,以及官方升级病毒特征的麻烦。
这一点非常好,严重支持。麦咖啡能达到的程度是:即使知道你是病毒,即使我不想杀毒,并且直接手动启动该病毒,也无法运行。记得剑盟某牛人发过一条麦咖啡的规则,开启之后计算机处于“无敌”状态,任何操作都不能进行,除非你手动指定哪个程序是良民(包括系统本身极其重要的一些进程,比如SVCHOST)。孰优孰劣,自行判断。
⑤ 可视化显示监控信息:对所监控程序行为的信息可视化显示,用户可随时了解计算机正在运行哪些程序,其中哪些是系统程序,哪些是应用程序,还可进一步了解程序是何时安装,什么时候运行,运行时是否修改了注册表启动项,是否生成新的程序文件,程序是否具有自启动,程序由谁启动执行,程序调用了哪些模块,以及当前网络使用状况等等。用户直观掌握系统运行状态,并依据其分析系统安全性。既可用作系统分析工具,又可作为用户了解计算机系统的学习工具。
非常赞同的一点是:可视化显示监控信息,可以作为用户了解计算机系统的学习工具。因为这种可视化显示,有N多的进程查看软件可以做到。如果是为了看这个,我想,也并没有必要一直开着它占用系统资源,需要看的时候打开看一下就行了。对新手来说,这个特点着实不错。
主动防御与反病毒软件通用的病毒特征值扫描技术的区别
微点主动防御软件属于防病毒软件,但完全区别于目前市场上的防病毒软件。
当前杀毒软件多采用特征值扫描技术,即由专业反病毒人员在反病毒公司对已可疑的程序进行人工分析研究,人工判断该程序是否是病毒;如果该程序是病毒,由反病毒工程师人工提取该病毒的特征码,再通过升级的方式更新用户计算机上杀毒软件的病毒特征库,此时用户计算机上的杀毒软件才能判断某个程序是病毒。也就是说,如果用户不升级,用户计算机上的杀毒软件就不能防范新出现的病毒。这也就是防病毒公司始终强调用户要实时升级的原因。可以这样说,病毒总是出现在杀毒软件更新病毒特征码之前的,因此,传统的杀毒软件对新病毒的防范始终滞后于病毒的出现。
微点主动防御软件建立了动态仿真反病毒专家系统,能够自动准确判定新病毒,并且能够自动提取特征值,自动更新本地特征值库,实现对病毒的主动防御。简单来讲,微点主动防御软件不是依赖于病毒特征码的判断,是依靠动态仿真反病毒专家系统根据病毒程序运行的行为进行判定,就像一个专业反病毒人员人工判断病毒一样,但微点实现了程序的自动化;
微点主动防御软件与当前流行杀毒软件的主要区别:微点主动防御软件依靠动态仿真反病毒专家系统的病毒识别规则知识库自动准确判定新病毒,当前流行杀毒软件依赖于专业反病毒人员手工判断提取的病毒特征码。在防范新出现病毒的时间上,微点主动防御软件是实时发现新病毒,当前流行杀毒软件需要等待防病毒公司更新病毒特征码后才能发现病毒。
总而言之,我的看法:微点开辟了一条杀毒防毒的新路子,可喜可贺。国产杀/防软件为有微点应该可以长出一口气了。
但是,诸位,请不要由此就声称微点天下无敌,因为这并不是事实。可能对某些用户来说,微点直观、聪明,但并不代表它的功能别的软件就无法企及。从另一个层面上来说,如果熟用了麦咖啡,自己配置规则,除了那个可有可无的可视化监控信息化,其它的统统不在话下。
形象点说,
微点是:发现谁在做坏事,制止并将其投入大牢或枪毙,完好地解决他带来的一切后果。
麦咖啡是:一套详细的制度,保证任何想犯法的人都没有犯法的机会。
写到这里,怎么突然发现这简直有点像中国跟美国的执法系统——这是题外话,不要多想,呵呵。
最后,祝微点越走越好,不管瑞星多么混蛋,都不要阻碍了微点前进的脚步。
建议:计算机水平比较高的用户,不妨试试麦咖啡企业版。对参数、进程名、规则不耐烦的朋友,微点绝对是最佳的选择。
[ 本帖最后由 baobaobruse 于 2007-6-1 18:56 编辑 ] |