【预发布】微点主动防御软件2.0实用教程

真小读者

预发布版本下载地址：http://pan.baidu.com/share/link?shareid=32820&uk=3624810614欢迎各位联系赐教！

微点主防2.0正式发布过去8个月了。微点7年来的发展也积累了不少用户，而且从卡饭论坛微点区的每日新回复量来看，微点的用户群也在不断扩大。08年统计微点有700万用户，到目前为止估计应该至少是千万左右了吧。

很多微点用户在使用过程中都会遇到各种问题，很多人会都选择从网络上搜索解决办法，或者到百度知道和微点论坛、卡饭论坛等提问发帖。然而获得的结果和解决办法或者会不够详细，或者仍然是1.2时代的方法，现在已经不再适用。而且网海无边，能寻找到自己满意的答案实属不易。再加上由于微点主防的特殊性，从微点推出之日到现在，仍然有很多问题不能得到比较一致的结论。比如微点主防的性质如何？它和hips有什么异同？网上的辩论文章也是铺天盖地，鱼龙混杂，难辨是非。

为了方便微点用户解决问题，为了方便微点新用户了解微点技术特点，为了方便微点用户用好微点，我编辑整理了一套微点主防2.0的教程。本教程是我以微点主防2.0的帮助文件和使用手册为主要根据，以卡饭论坛微点区资源教程总索引为主要参考资料，汇集目前网上流传的各种有关微点的资料，旁及各种计算机安全科普文章，并逐步参考相关专业书籍，去芜存精整理而成。整体性好，可信度高，方便检索，希望能成为微点用户日常使用中的一个小帮手。

当然，限于才力，这部教程目前还不能令人满意。应当成为教程核心部分的高级应用和对比分析，就由于我对相关知识的缺乏而留有遗憾。我将在日后不断提升自己的水平，这部教程也将不断完善。

本次发布的为“预发布版”，类似于官方文件中的“征求意见稿”。由于编辑整理速度加快，所以提前发布。如果一切正常，一周内会发布第一次正式版。敬请期待。其他详细情况请参看发布地址中的情况说明。
原计划本周发布正式版，但是修改过程中添加内容较多，调整结构有些麻烦。因此正式版推迟到一个月后发布。给您带来的不便在此深表歉意。

1、这是封面：

2、这是本教程的几大主题板块：
（1）微点简介——以微点帮助文件为基础，参考微点论坛版主回复及各论坛的研究对官方介绍做出通俗解释。
（2）微点购买、安装、注册、指南——介绍微点购买、安装、注册的相关事宜。
（3）微点基本设置。
（4）微点使用常见问题——常见问题的解决方法、微点错误代码详解以及微点搭配指南。
（5）微点高级应用——微点专家模式和防火墙详细介绍和设置及扩展应用。
（6）关于微点主防技术的争论和看法——微点的防御体系、微点和和hips的对比以及微点的发展方向等。
（6）附录——微点服务与支持方式、微点更新日志、本教程参考文献和卡饭论坛微点测试数据。

3、以下是教程一部分里对官方介绍的解释以及一些微点使用的小技巧：
（1）无需扫描。

微点主防在发现病毒之后，会根据监控到的病毒程序的各种行为进行逆向回滚，修复病毒程序对系统内文件和注册表的破坏。因此无需扫描即可保证系统安全。那些没有被触发执行或者根本无法运行的病毒（所谓的病毒尸体），由于没有病毒行为，不会对系统造成威胁。

网上对于微点逆向回滚修复一般认为是根据日志回滚。实则病毒行为远不止日志记录的那一部分，那只是为了方便用户手动杀毒的工具而已。火绒CEO刘刚在卡饭示例多步行为分析时将一个病毒样本拖入火绒剑监控，其行为触发了火绒剑13万个监控点，其它病毒的行为和微点监控分析的范围可想而知。

（2）不依赖升级。

任何病毒程序发作的时候都会有或明显或隐晦的行为。为了实现破坏系统和盗取信息的目的，病毒的行为有很多共性。通过对程序行为的监控和分析，微点主防可以有效判断和查杀各种新病毒和未知病毒，保护系统安全，无需用户频繁刻意升级。

（3）系统分析识别出未知病毒后，能够自动提取其特征码并升级本地病毒特征码库。

当微点提示发现未知病毒之后，将自动提取该病毒的特征码。在重启系统之前，如果该病毒继续运行，则直接使用特征码防御。这种临时特征码防御只在重启系统前有效。

（4）驱动级清除病毒机制和安全保护机制

驱动级程序是操作系统内优先级最高的程序，它先于普通应用程序启动，可以获得内核级系统优先权和控制权。微点驱动加载仅次于windows几个核心驱动，核心部分嵌入系统内核，因此可以获得很高的系统控制权限，从而实现强大的自我保护和清除病毒的能力，能有效清除rootkit。目前，常用的Anti-Rootkit（简称ARK，反Rootkit）工具无法正常结束微点进程，如果强行结束会造成蓝屏。

Rootkit是一种内核级恶意软件，通过加载特殊的驱动，修改系统内核，在安装目标上隐藏自身及指定的文件、进程和网络链接等信息。Rootkit一般都和木马、后门等其他恶意程序结合使用。

目前已知可以或曾经可以正常结束微点进程的ARK工具有天琊、Powertool 64位 1.1版（1.2版结束即蓝屏）等。部分网友反馈火绒剑可以正常结束微点进程，经测火绒剑最新版在win7 64位下不能结束微点进程。经进一步联系，得知此问题已经被上报了，有可能官方已经解决。另外也可能和系统环境有关。特此注明。

（5）启用虚拟机扫描。

卡饭论坛会员angir曾有专文讨论过微点虚拟机时间设置问题，当时发现微点虚拟机有“10秒bug”，即同一样本，设置成10秒虚拟机扫描和10秒以上虚拟扫描的效果是一样的。未做考证目前是否仍存在这一问题，从微点帮助文件来看是设置的时间越长效果会更好些，而且是否存在bug似乎不应以少量样本来判断。保守起见，我的建议是设置成60秒虚拟机扫描，志此待定。

（6）在微点专家模式“进程综合信息”非系统进程的空白区域双击，将弹窗显示当前进程除IP、端口、协议、网络状态之外的所有字段信息。
（7）利用程序访问网络策略禁止广告进程联网，可以在一定程度上实现反广告的效果。

-oAo-

http://bbs.kafan.cn/thread-654183-1-1.html这里基本上都有了

真小读者

-oAo- 发表于 2012-9-1 19:16
http://bbs.kafan.cn/thread-654183-1-1.html这里基本上都有了

嗯，那个也是我的资料来源。
感觉东西太过庞杂，而且大部分都是1.2时代的，不免有些会过时。整理一下查看起来也比较方便

-oAo-

真小读者 发表于 2012-9-1 19:18
嗯，那个也是我的资料来源。
感觉东西太过庞杂，而且大部分都是1.2时代的，不免有些会过时。整理一下查看 ...

2.0的也基本相同的

a445441

以前点饭有很多这样的资料。。不懂现在有没有。。

真小读者

a445441 发表于 2012-9-1 21:01
以前点饭有很多这样的资料。。不懂现在有没有。。

点饭？点饭技术论坛吗？貌似去年关闭之后相关资源都看不成了

a445441

真小读者 发表于 2012-9-1 21:04
点饭？点饭技术论坛吗？貌似去年关闭之后相关资源都看不成了

现在已经开了，但必须是点饭群里面的才有邀请码。。。

镜湖

别把简单的事情搞复杂，微点需要使用吗，会安装不就可以了。

ft_8001

发现未知病毒后，自动提取病毒的特征码。

微点有怎么智能？有点不敢相信啊～～

我一直认为微点可以杀未知病毒，是因为，虽然病毒特征码没有入库，但病毒行为入了行为征码库了。所以，它才能杀出了的～～

huicuan

支持啊，另外使用火绒剑可以轻松结束微点 根本不蓝屏