微点主动防御体系简介

真小读者

资料比较老了，大家看看就行了。毕竟不是搞技术的，有点了解就行了。

1、微点主防系统包括以下五个部分：

（1）、程序判断部：识别并将用户计算机内的程序分为正常程序和异常程序。

①、正常程序包括：微点已知程序知识库中的程序、桌面上有图标的程序、出现在程序组中的程序和有安装程序安装的程序。

②、安装程序判断的依据：程序运行时有程序，创建程序组或创建桌面图标，创建卸载项。

（2）、程序监控部：通过勾挂系统API函数监控和记录程序的动作行为。包括监控动作和危险动作。

①、监控动作：该动作可能影响计算机安全，而且是程序执行的常见动作，需要对其进行实时监控。这些动作包括文件操作、网络操作、创建进程和线程、注册表操作、窗口和托盘操作、堆栈溢出、注入线程、拦截系统API调用及访问、修改和创建用户帐号等。

②、危险动作：监控动作中可能威胁计算机安全的动作，只有少数正常程序会执行，多数病毒程序需要执行。这些动作包括调用Shell程序、修改程序文件或者写程序文件、调用FTP或TFTP、创建FTP或TFTP服务、发送邮件、浏览器或邮件系统自动运行其它程序、创建大量相同进程、修改和创建用户账户、危险网络操作、向系统注册表添加启动项、修改系统启动文件、向其他进程注入线程、堆栈溢出、应用级进程自动提升为系统级进程操作、拦截系统API调用等。

③、非监控动作：不影响计算机安全，无需进行监控的动作。

（3）、关联分析部：构造关联树（包括加载关联树和创建关联树），并通过该关联树对程序动作行为进行关联性分析。

①、创建关联树：每个节点代表一个程序，保存有该程序文件创建时的相关信息及其在加载关联树中索引信息。每个节点的父节点是其创建者。

A、每个节点保存的信息包括：PE文件全路径、创建者全路径、创建者的特性、创建者有无窗口、与创建者是否是同一文件、拷贝自身。

B、创建者特性：即创建者所属程序分类，包括未知程序、邮件系统、网络浏览器、网络交流系统和其他已知程序。

②、加载关联树：每个节点代表一个进程，保存该进程运行时的动作行为信息及其在创建关联树中的索引信息。每个节点的父节点是其父进程。

A、每个节点保存的信息包括：PE文件全路径、加载者全路径、文件有无描述、是否自启动、谁创建的自启动项、自身其他特征、是否被创建者启动、是否自己创建启动项、是否有窗口或托盘图标、父进程PID号、修改注册表项链表、网络动作链表

B、注册表链表：入口列表、键名、值名、值。

C、网络动作链表：网络动作类型、本地端口、本地地址、远程端口、远程地址、使用协议。

（4）、病毒识别知识库：包括程序行为知识库和攻击识别知识库。

①、程序行为知识库包括：通过钩挂系统API函数，注意对已知程序所执行的动作行为进行分析列表，并将所述分析列表进行存储的数据库。其结构描述包括：程序ID、程序类型、程序运行层级、写PE文件权限、调用系统Shell权限、网络行为和注册表操作。可以按照用户需要进行补充。

A、程序类型：可被缓冲区溢出攻击的程序和普通应用程序

B、网络行为结构描述：网络连接动作类型、使用端口数量及连接描述（本地端口、本地地址、远程端口及使用协议）。

C、注册表操作结构描述包括：操作的注册表项数和每项操作的的键值。

②、攻击识别规则库包括：通过钩挂系统API函数记录病毒程序的攻击动作行为特征的数据库，每一记录对应一类病毒，每一类病毒对应一个动作集，该动作集包括一系列动作及其关联关系（包括前后动作之间的时间关系以及调用和被调用关系）。其结构包括：可执行PE文件全路径、创建者全路径、创建者特性、创建者有无窗口、与创建者是否同一文件、是否复制自身、文件有无描述、是否自启动、谁创建的自启动项、是否被创建者启动、是否自己创建启动项、是否有窗口或托盘图标、修改注册表项链表和网络动作链表。

A、注册表链表结构：入口列表、键名、值名、值。

B、网络动作链表结构：网络连接类型、本地端口、本地地址、远程端口、远程地址、使用协议。

（5）、病毒防护识别部：接受程序监控部捕获的程序行为动作，结合程序判断部的信息，将捕获的动作与病毒识别知识库中的信息进行比较，并在需要时调用关联分析部判断该程序是否为病毒。

①、对已知程序：将监控到的程序行为与记录在上述程序行为知识库中的动作行为进行比对，判断是否属于合法动作。

②、对未知程序：将监控到的程序行为与记录在攻击识别规则库中的病毒规则进行比对，判断是否为有害动作行为。

2、微点主防工作及判断流程：如下图所示

（1）、程序启动后，钩挂该程序的系统API函数调用。

（2）、判断该程序是否是已知程序。如果该程序执行了创建程序的行为，则将程序创建信息添加到创建关联树中，判断被创建程序是否为正常程序并进行记录。

（3）、如果判断为已知程序，则进行如下判断：

①、监控并捕获该程序的监控动作和危险动作。

②、将捕获的动作与程序行为知识库中的信息比较，判断是否是合法行为。

③、如果判断结果为是，则返回步骤①；否则证明该程序已经受到攻击，向用户报警。同时进一步判断系统进程是否被溢出。

④、如果判断结果为是，则调用系统API函数结束当前线程。否则结束当前进程。

（4）、如果判断为未知程序，则进行如下判断：

①、监控并记录该程序的监控动作和危险动作，包括动作类型、发生时间和调用者。

②、判断是否为正常程序，是否经过用户确认。

③、如果是正常程序，则将监控到的动作行为记录到程序行为知识库，并返回步骤（1）继续监控和记录。如果不是正常程序，则与攻击识别规则库中的规则进行比对，判断是否为有害程序行为。

④、比较中会得到该动作的权值并加以累加。累加到权值上限即判断为是，由用户确认是否允许当前动作；否则返回步骤①。权值上限由发明者提供的经验值判断，用户也可以自定义。

⑤、如果用户确认允许当前动作，则将该程序标识为正常程序，并将该动作行为记录到程序行为知识库并返回步骤①继续监控和记录。如果用户不允许该动作，则调用系统API函数结束该位置程序的当前进程。

⑥、所有经过用户确认允许的程序再次运行时，将按照已知程序的判断方法进行判断。

图示如下

真小读者

3、嗅探式启发扫描技术介绍：

（1）、微点启发扫描流程

①、获取待扫描文件的文件信息（获取模块）。

②、判断待扫描文件是否为仅使用Windows标准动态库的可执行文件，若是，则可以对待扫描文件进行启发扫描（第一判断模块，又称第一启发条件）。

③、扫描前，根据壳静态特征及虚拟机动态模拟执行判断待扫描文件是否进行了加壳操作（第二判断模块，又称第二启发条件）。

④、扫描前还应判断，待扫描文件大小应小于预定值（第三判断模块，又称第三启发条件）。

⑤、扫描前还应判断，待扫描文件为使用非只读型API函数的可执行文件（第四判断模块，又称第四启发条件）。

⑥、启发扫描流程

根据行为启发特征库中的特征及其特征组对待扫描文件进行粗略匹配（第一匹配单元）。

当匹配出待扫描文件至少具备一个大类特征时，根据所述大类特征中的特征对待扫描文件进行精确匹配（第二匹配单元）。

根据所述可执行程序的使用频度和危险程度为匹配到的特征分别设置相应的危险系数（报警单元设置子单元）。对所有匹配到的所述特征的危险系数进行加权计算，得到综合危险系数（报警单元计算子单元）。

当综合危险系数高于预设的危险阈值时报警（报警单元报警子单元）。

（2）相关说明：

①、只读型API函数是只能从系统中读取数据，运行后不会对系统造成任何改变的函数。除此之外的函数称为非只读型API函数。如果某可执行程序只使用只读型API函数，无法达到盗取用户信息、破坏系统的目的，因此是病毒程序的可能性很低，也就无需对其进行扫描。

②、据统计，现有病毒程序主要使用如下API函数，称为风险API函数：注册表写入函数、内存操作函数、进程线程操作函数、权限管理函数、异步过程调用队列操作函数、内核通讯函数、磁盘信息获取函数、网络通讯函数、文件下载函数、钩子函数、同步函数、文件操作函数、时间操作函数、获取特定目录函数、窗口信息获取函数等。

③、（1）中条件②、③、④、⑤之间没有必然顺序，执行顺序可根据需要进行调整。条件③、④、⑤之间也没有必然的逻辑关系，无需同时具备，可以根据需要选择性应用。

④、启发特征库中的特征及特征组可分为如下五类：危险注册表项及其键值特征、特征组；危险API函数调用参数特征及其特征组；危险API函数名称特征组；危险CMD命令行特征及其特征组；常规广谱特征及其特征组。

（3）微点常见启发报警名称：Malware.Win32.Suspect.a、Malware.Win32.Dynamic.a、Malware.Win32.Confusion.a、Malware.Win32.AntiVM.a、Packed.Win32.Unknown.a。

图示如下

itcql

这个技术在当年还是蛮前卫的，现在可能人家觉得微点老了

huicuan

说实话 你这帖子给我的感觉微点的技术蛮牛逼，但是现在病毒过微点的太多了，他还没有新功能所以

a445441

微点慢慢跟不上时代了

ft_8001

微点,对危险行为的判定,不是一次完成的啊~~

一直以为,微点是直接对照行为库,一次判断的~~

看来是我把微点的主防想简单了啊,现在明白了~~

在就是微点的多次回滚吗?

zkx6762

还是希望快快改进

真小读者

huicuan 发表于 2013-2-18 16:12
说实话 你这帖子给我的感觉微点的技术蛮牛逼，但是现在病毒过微点的太多了，他还没有新功能所以

再牛的技术没有与时俱进也是白搭

超现实主义

已经断断续续用了三年微点了，感觉很不错。

a22271001

微点对白加黑