【我的微点杀毒】微点杀毒软件angir之主观分析~基本完成~

angir

目录：
1楼：目录 & 前言
2楼：个人总结的一些微点杀毒软件知识
3楼：微点杀毒软件的优势以及未来发展
4楼：微点杀毒软件的不足之处

前言：我与卡饭（微点区）不得不说的故事~

记得那是2009的1月份，我还在用KIS2009.当时已经流露出了典型的综合症患者症状--整天百度“KIS2009和XXX搭配好不好”。但是令我惊奇的是，几乎每一次我都会被百度带进 卡饭论坛 。
后来我又去百度：KIS2009的HIPS设置方案。百度再次把我带进了 卡饭论坛 ……（众：这就是猿粪，猿粪啊！）

那一次，我特意访问了bbs.kafan.cn。令我惊奇的是，这里拥有那么多安全软件的讨论区，对于我来说真是一个特大的惊喜。

然后，在经过几次睡懒觉误过注册时机以后，2009-02-15这一天，我把闹钟调到了8点。就这样，一个新手angir在卡饭论坛诞生了。

来到卡饭以后，我就在每一个版区流连忘返（特别是国内讨论区）。渐渐地，随着时间的流逝，我发现“微点”这个词出现的频率很高。“微点是什么？”带着这个疑问，我进入了卡饭论坛的微点区。

在微点区，我如饥似渴地查看一切和微点有关的帖子。后来，渐渐的也了解到了一些[屏蔽]的事情，也使我对微点软件产生了好奇：这个软件真的有那么厉害的魔力，使一个国内杀软的巨头不惜代价进行封杀吗？

带着这个疑问，我安装了微点软件。令我惊讶，这个软件的设置项目竟然是那么少，确实让我感觉到它和卡巴的不一样：智能，易用。

但是，在使用微点软件的时候，我自己也会有疑惑。于是我就常常去打扰微点QQ客服（客服：你这个小哥把我打扰的面如土色啊~）

通过对QQ客服坚持不懈的厚脸皮打扰，结合我自己的经验，我发现我甚至可以在微点区回答广大点饭的疑难问题了（骄傲一下~）

于是，一整个暑假，我都投入了在微点区的问答以及样本区的测试上报中。

后来开学了，就没有时间进行样本区测试了，只有偶尔通过学校的报废机登陆卡饭，看看微点区的状况

令人高兴的是，微点区涌现出了一批技术热心高手，比如现任版主红烧大颤抖，优秀卡饭cs，啊弥陀佛，112112，热心网友佰恋雨，深秋，405016，F12，foreverhyx……
多亏了他们，微点区才能有今天的成就。

微点区的发展还在继续。我在卡饭的故事，也仍在继续。

angir

微点杀毒软件，2009年5月发布alpha内测版本，2009年11月发布beta版本，2010年4月上市



微点杀毒软件的反病毒方式有：虚拟强效有点占用资源的虚拟机+高效强大偶尔误报的启发引擎+比较完整但是稍感滞后的特征码



目前可以免费使用微点杀毒软件的方法有：
    1）BETA内测资格赠送的3年正版序列号
    2）BETA 公测获赠的1年正版序列号
    3）根据http://www.micropoint.com.cn/active/正版主防注册用户可以获取的正版序列号
    4）直接下载安装包，享受180天免费



微点杀毒软件的版本分为：正式版/预升级版



微点杀毒软件的目录作用：
MP1：微点程序日志文件
MP3:微点软件的特征库
MP4：MPAV应用程序文件
MP7：隔离区文件索引目录
MP12：升级文件临时存放文件夹
MP14：微点软件的隔离区
MP19：微点软件的报警声音储存文件夹
MP34：换肤文件夹



MPAV常见启发式报警名称：
Malware.Suspect.Win32
Malware.Dynamic.Win32
Malware.Confusion.Win32
Malware.AntiVM.Win32
Packed.Win32.Unknown

angir

优势
1.特征码利用率高
现在很多免杀手段，要么就是修改特征码（对于主流），要么就是加壳加密（对于脱壳解密差的）
所以一些主流软件需要不停地更新特征码，以防御这些免杀。

但是MPAV就不会这样
第一点，MPAV目前的市场占有率来看，根本算不上主流（所以现在基本上变相免费了），所以很少专门针对MPAV做特征码免杀的；
第二点，面对加壳加密的变种，MPAV还有虚拟强效的反病毒专用虚拟机。MPAV的虚拟机第一个优势之处就是API级别的脱壳能力，对于绝大多数已知壳都可以轻松脱掉（），解密的话，虚拟机运行后也可以顺利解密获取明文。

这样，MPAV就不需要频繁更新特征码，一条特征码配合虚拟机组件就可以防御大多数的变种了。


未来发展
1.完善虚拟机系统以及启发引擎
在没有云安全的情况下，MPAV不可能走特征码大王的路线。既然定位于传统反病毒软件，那么MPAV还有一条路--启发。

只有启发，才能弥补微点特征码收集缓慢的弱点
只有启发，才能更好的查杀未知病毒
只有启发，才能让MPAV在这豪杰并起的安软市场占有一席之地
只有启发，才能阻止病毒于运行之前

在拥有了启发的MPAV配合下，行为分析+启发检测，才能真正把99%的病毒拦截。否则，单靠行为分析或者启发，永远都会非常单薄。

2.精简特征库
目前MPAV的特征库已经有113MB了，每天以近百KB的速度膨胀中。

在MPAV不可能作为特征码杀软（如卡巴（卡巴现在也走HIPS+云的路线），a2）的情况下，携带如此庞大的特征库只会加大系统资源的占用，降低引擎的效率。

而且，很多很多特征码都是化石码（不再流行）和免杀码，这些特征码本来就不需要存在于MPAV的特征库
还有一部分特征码，可以通过启发式检测检测出来，这部分特征码也不需要存在。

在不影响检测率的情况下，微点可以尝试进行特征库精简。相信经过精简特征库的MPAV会以轻巧的形象出现在大家眼前的~

angir

1.虚拟机60秒死循环问题
这个60秒死循环问题已经发现挺久了，具体描述就是：

虚拟机最大分析时限为60秒，启发等级为最高启发。扫描一个（一堆）文件时，足足扫描了60秒后，才报警:Packed.Unknown.Win32.a/b。但是如果把虚拟机最大分析时限修改为10秒（随便一个＞5秒的数字都可以），你会发现经过10秒的扫描后还是一样的报警，Packed.Unknown.Win32.a/b

这个60秒死循环问题有个不利之处：
1）耗费资源和时间
扫描的时候，如果你虚拟机设置为60秒最大时限，而正好你电脑有几个文件都是会使MPAV进行死循环的话……
不但你扫描时间要变久，电脑资源的耗费也会变大（都拿去分给虚拟机了），这样你在扫描的时候想干什么都不行啊……
2）报警存在不准确性
MPAV有很多误报都是源于packed的报警。

2.升级问题
这个升级问题有3个。
1）升级速度慢
这个问题从BETA测试就已经出现了，但是到了现在也没有解决。具体描述为：

启动MPAV升级程序以后，在连接服务器时耗时较长。初始化更新列表耗时较长。下载时速度较慢。

这个升级速度慢，还直接导致了升级程序启动后，电脑资源占用变大等问题。

2）每天发布的特征码更新少
对于一款传统的安全软件，特征码的重要性不言而喻。但是MPAV每天才更新1~2次的特征码，无法对于 过了启发的病毒 以及 突然爆发的病毒 提供快速的解决方案。虽然MPAV设计上是辅助主防的，但是也不能软弱到连一个流行病毒都要等2天更新再杀这种地步吧？

3）注册后需要用户再次手动操作才能启动MPAV升级程序
这个问题的具体描述为

第一次安装MPAV以后，手动启动升级程序后弹出注册框。顺利注册以后，升级程序也不会自动启动进行升级（可能这个要等到自动升级发挥作用吧），需要用户再次点击升级才会启动升级程序

这个问题也没有什么不利之处，但是如果用户下载MPAV是用来应急的，而MPAV无法及时升级的话……


3.和主防的配合不够完善
既然MPAV是用来搭配主防的，那么至少和主防需要有一定的联动，才能说搭配这个词。但是在实际应用中（特别是默认设置），对于一个病毒会造成主防和MPAV两次监控的情况。对于一个双方都入库的病毒会造成双方都弹报警框的情况出现。这样一来加大了系统资源的占用，二来说不定还有一些潜在的冲突。

112112

占好位了？俺的沙发

84291800

坐板凳观之........

cs305040184

做小板凳

pepsi079

都喜欢前十，坐下来慢慢看楼主更新

62590423

前10

超现实主义

我还是前10。