微點殺毒軟件及技術(shù)介紹

微點殺毒軟件及技術(shù)介紹第1頁/共34頁微點殺毒軟件第2頁/共34頁目錄微點殺毒軟件介紹病毒的現(xiàn)狀微點殺毒軟件的解決方案微點殺毒軟件功能特點微點殺毒軟件的優(yōu)點第3頁/共34頁微點殺毒軟件介紹第4頁/共34頁

微點殺毒軟件，是北京東方微點信息技術(shù)有限責任公司自主研發(fā)的第二代反病毒軟件，除傳統(tǒng)的特征值掃描方式外，另外融合了國際領(lǐng)先的虛擬機技術(shù)和啟發(fā)式掃描技術(shù)。微點殺毒軟件主要針對日益凸顯的病毒、木馬、惡意軟件的檢測而誕生，對于各種病毒、木馬變種具有很好的檢測能力。

微點殺毒軟件具有強大的感染型修復(fù)能力、寄生類木馬清除/修復(fù)技術(shù)、多態(tài)病毒檢測能力。軟件介紹微點殺毒軟件介紹第5頁/共34頁軟件環(huán)境需求硬件要求：處理器：IntelPentiumⅡ450MHz或以上內(nèi)

存：256M以上硬

盤：300M以上剩余空間操作系統(tǒng)：Windows2000/XP/2003/VISTA/2008（32位）Win7(32位/64位)支持語言：簡體中文和英文軟件介紹第6頁/共34頁單機版產(chǎn)品正式版銷售版盒裝版OEM版免費版獎勵1年版獎勵3年版免費版體驗版預(yù)升級版版本介紹第7頁/共34頁【微點殺毒軟件】正式版說明(參看幫助）特別說明：【微點殺毒軟件】3年期盒裝版自帶180天微點主動防御軟件體驗版卡片?！疚Ⅻc殺毒軟件】光盤中【微點殺毒軟件】安裝文件夾在根目錄下

mpav，安裝程序名稱mpsetup.exe【微點殺毒軟件】安裝光盤中自帶32位【微點主動防御軟件】安裝程序，光盤根目錄下mp\x86目錄下，安裝程序名稱mpsetup.exe產(chǎn)品介紹第8頁/共34頁版本介紹使用【微點殺毒軟件】光盤自動播放功能安裝【微點殺毒軟件】，安裝完成后，如果是32位操作系統(tǒng)（或64位win7系統(tǒng)）且未安裝微點主動防御軟件，安裝向?qū)崾居脩羰欠窭^續(xù)安裝【微點主動防御軟件體驗版】如圖：第9頁/共34頁默認安裝路徑：C:\ProgramFiles\MPAV安裝目錄說明：軟件日志：MP1；病毒庫：MP3；隔離區(qū)：MP7（文件索引目錄）和MP14加密的隔離文件）；換膚：MP34正常運行時的啟動的程序：MPAVSVC.EXE(服務(wù)）MPAVSVC2.EXE(監(jiān)控)、MPAVMON.EXE（托盤）主界面：MPAVMAIN.EXE右鍵掃描：MPAVSCAN.EXE（正常情況下啟動）MPAVSCANA.EXE(服務(wù)未啟動的情況下啟動掃描時啟動此程序）日志：MPAVLOG.EXE日志文件mp100094.con隔離區(qū)程序：MPAVQUAR.EXE程序介紹第10頁/共34頁注冊和升級正式版序列號策略正式版序列號：序列號+升級id正式版注冊唯一標識：序列號+升級id重裝軟件，自動讀取序列號和升級id。升級策略服務(wù)器上的同一個版本，允許客戶端同一個序列號升級三次。如果同一個版本升級超過三次，則升級時，會提示“用戶合法性驗證失敗。”第11頁/共34頁病毒的現(xiàn)狀第12頁/共34頁加殼、加花-----黑客利用加殼加花等工具對病毒木馬文件進行修改，修改后改變了病毒木馬本身的文件特征，使得反病毒軟件無法檢測出來。加快變種速度-----病毒木馬為了使其存活率更高，逃避殺毒軟件的檢測，采用快速變種的方式，即在短時間內(nèi)產(chǎn)生一個新的變種文件，病毒的變種速度趕超反病毒軟件的特征升級速度，使得反病毒軟件無法檢測出來。

例：熊貓燒香當時的危害如此大，一個原因就是其快速變種，殺毒軟件無法及時檢測其變種文件。病毒的現(xiàn)狀病毒反安全軟件招數(shù)第13頁/共34頁替換系統(tǒng)文件-----病毒木馬的趨勢是增強隱蔽性，采用替換系統(tǒng)文件的方法可防止被殺毒軟件檢測或者被刪除。

目前較多的病毒木馬會替換系統(tǒng)文件，殺毒軟件往往會報而不刪，或者刪除了后，造成系統(tǒng)崩潰、無法啟動、系統(tǒng)功能丟失。

例：“蝗蟲軍團”木馬會將系統(tǒng)的rpcss.dll替換，如果該文件丟失會造成系統(tǒng)的打印機功能、復(fù)制粘貼功能等功能失效。病毒的現(xiàn)狀病毒反安全軟件招數(shù)第14頁/共34頁病毒的現(xiàn)狀病毒反安全軟件招數(shù)感染正常程序文件----感染也就是通過一個病毒程序，將系統(tǒng)內(nèi)的正常文件附加上病毒的代碼，使得系統(tǒng)內(nèi)的文件都變成病毒文件。

用戶往往是在中毒后重新安裝系統(tǒng)，但是運行D、E、F等盤符下的文件后又中毒了，這就是感染型一個比較常見的現(xiàn)象。殺毒軟件如果不能清除病毒代碼（修復(fù)功能），用戶為了使用自己的數(shù)據(jù)，可能就不會刪除被感染文件，使得病毒常駐系統(tǒng)內(nèi)。第15頁/共34頁多態(tài)病毒方式感染---這是一種特殊的感染方式，病毒在感染每一個文件的時候，其感染的代碼是通過隨機加密生成的，所以指望能夠從這些代碼中找到固定的病毒特征碼是徒勞的，也就是由于這種多態(tài)（變形）病毒的出現(xiàn)，使利用簡單特征碼進行病毒檢測的技術(shù)走到了盡頭。

簡單的說，多態(tài)病毒在感染文件的時候，感染10個文件，那么這10個文件感染的代碼都不一樣。所以殺毒軟件無法通過一個固定的特征碼來檢測。病毒的現(xiàn)狀病毒反安全軟件招數(shù)第16頁/共34頁微點殺毒軟件的解決方案第17頁/共34頁微點解決方案微點殺毒來支招加殼、加花-----針對病毒常用的加殼、加花技術(shù)手段為出發(fā)點，通過微點殺毒軟件的虛擬機脫殼技術(shù)來達到對加殼、加花病毒木馬變種文件有效檢測的目的。加快變種速度-----針對病毒木馬的快速變種特性，從樣本及其變種文件中尋找共同特性，從共同特性中提取一段識別特征值，結(jié)合虛擬機、啟發(fā)式技術(shù)達到檢測病毒木馬變種文件的目的。替換系統(tǒng)文件-----針對病毒木馬替換系統(tǒng)文件的特性，微點殺毒采用了“系統(tǒng)核心文件寄生類木馬清除/修復(fù)技術(shù)”，在不破壞系統(tǒng)原功能以及保障系統(tǒng)穩(wěn)定性的同時，實現(xiàn)清除病毒的目的。第18頁/共34頁微點解決方案微點殺毒來支招感染系統(tǒng)內(nèi)文件----通過研究感染型病毒感染文件的方式，研究一套修復(fù)算法，通過微點殺毒軟件強有力的修復(fù)功能，在保證用戶系統(tǒng)內(nèi)文件的完整性和可用性，清除病毒代碼。多態(tài)病毒方式感染---多態(tài)病毒并不是無懈可擊，微點殺毒軟件在解決多態(tài)病毒時，采用虛擬機解密技術(shù)，在解密后準確查找病毒感染代碼，將其清除。第19頁/共34頁微點殺毒功能特點第20頁/共34頁功能特點微點殺毒技術(shù)特點基API級別的虛擬機脫殼技術(shù)

給殼提供所需要的條件（比如windowsAPI），使其在虛擬環(huán)境內(nèi)自行解密，再針對解密后的文件進行檢測，實現(xiàn)單變種高查殺率?；谔摂M機的動態(tài)啟發(fā)式技術(shù)（動態(tài)檢測）通過虛擬機技術(shù)對可疑文件執(zhí)行所需要的API規(guī)則與規(guī)則組對程序進行識別，從而判斷可疑文件是否屬于病毒木馬?；谔摂M機行為分析的嗅探式啟發(fā)掃描技術(shù)（靜態(tài)檢測）

通過虛擬機中對可疑文件進行反編譯，檢測該可疑文件API調(diào)用情況，通過調(diào)用情況進行分類，分類后再進行有針對性的進行細度識別，從而準確報警出文件的可疑程度。第21頁/共34頁功能特點微點殺毒技術(shù)特點基于虛擬機的多態(tài)病毒清除技術(shù)

對病毒的多態(tài)加密算法通過虛擬機進行解密，在解密后準確查找病毒感染代碼，針對各類感染方式使用修復(fù)模式，對被感染文件進行高效率清除。

基于病毒免殺特性的對抗技術(shù)

從樣本及其變種文件中尋找共同特性，在共同特性中提取一段識別特征值，結(jié)合虛擬機、啟發(fā)式技術(shù)達到檢測病毒木馬變種文件的目的。第22頁/共34頁功能特點微點殺毒技術(shù)特點系統(tǒng)核心文件寄生類木馬清除/修復(fù)技術(shù)

針對當前病毒發(fā)展趨勢使用的特殊解決方案，可以有效的清除被諸如機器狗等木馬感染的系統(tǒng)文件，達到不對系統(tǒng)原功能破壞且清除病毒的目的。第23頁/共34頁微點殺毒軟件優(yōu)點第24頁/共34頁優(yōu)點內(nèi)存占用少微點殺毒軟件在默認開啟狀態(tài)下有3個進程，3個進程總共占用內(nèi)存10M左右與其他幾款安全軟件對比：第25頁/共34頁優(yōu)點掃描速度快微點殺毒軟件引擎采用最優(yōu)算法，可以快速識別文件，使微點殺毒軟件的掃描速度很快。與其他幾款安全軟件對比：第26頁/共34頁優(yōu)點掃描深度深微點殺毒軟件深入文件內(nèi)部進行掃描，從內(nèi)部進行掃描，以確定文件的安全性。(備注：掃描文件數(shù)變多是因為殺毒軟件可以深入到文件內(nèi)部去掃描相關(guān)資源文件)與其他幾款安全軟件對比：第27頁/共34頁優(yōu)點脫殼能力強微點殺毒軟件采用虛擬機技術(shù)，具有很好的脫殼檢測能力，下面做了一個測試，將一個已知樣本，分別加入20種不同的殼，6款安全軟件掃描對比。文件總數(shù)：21個與其他幾款安全軟件對比：第28頁/共34頁優(yōu)點感染型修復(fù)能力強殺毒軟件針對感染型病毒修復(fù)能力強弱也是衡量一個產(chǎn)品好壞的標準，下面測試是針對目前常見的感染型方式進行一個測試對比。與其他幾款安全軟件對比：（感染文件不同類型19個）第29頁/共34頁優(yōu)點病毒檢測能力好本測試數(shù)據(jù)采集于卡飯論壇掃描測試板塊，由第三方卡飯論壇網(wǎng)友進行的掃描測試，反映微點殺毒軟件對病毒木馬檢測的能力。第30頁/共34頁優(yōu)點病毒檢測能力好本測試數(shù)據(jù)采集于卡飯論壇掃描測試板塊，由第三方卡飯論壇網(wǎng)友進行的掃描測試，反