微点设置&使用问题集合

野马

http://bbs.kafan.cn/viewthread.php?tid=123975&extra=page%3D1
简析微点杀毒原理，微点为什么可以未卜先知查杀明天的病毒？

初次接触微点的朋友，会觉得微点很神奇，不用升级居然都可以杀明天的病毒~！其实行为杀毒的原理是很容易理解的：
从逻辑上讲，特征码是一种精确比对方案，病毒的特征码就相当于人的指纹，一个指纹可以确认一个坏人，在杀毒软件上就是一个特征码可以杀一种病毒，所以病毒库中有多少种病毒的特征，杀毒软件就只能杀多少种病毒木马，如果明天出现了新病毒，只能在升级病毒库之后才可以查杀。
而行为杀毒是一种模糊比对方案，所谓的行为杀毒，针对的对象不是单一的指纹而是思路和方法，行为杀毒本质上杀的是病毒和木马的编写思路方法。一种病毒木马的编写思路可以编写出多少种病毒木马？理论上是无限多种的！一条行为规则可以杀一种病毒木马的编写思路，所以一条行为规则理论上就可以查杀无限多种病毒木马，那么一个完善的行为规则库基本上就可以彻底查杀绝绝绝大多数的病毒和木马。明天的病毒还会沿用今天的病毒编写思路么？答案是肯定的，所以微点杀明天的病毒效果也会非常好。
上半年的时候金山做了件好事，气势磅礴地剿灭灰鸽子木马，不过俺们微点的老网友们根本不为所动。为什么呢？因为不管什么灰鸽子、上兴、PCshare、黑洞，这些远程控制木马不管怎么变花样编写思路都是一样的，所以微点见一个杀一个完全不用去专门操心什么灰鸽子。同样的道理，无论是偷QQ的木马、偷传奇的木马、偷WOW的木马，对微点来说也都是一回事，没什么新鲜的，来一个杀一个，来两个就杀一双。
如果后天出了个病毒天才发明了一种全新的病毒编写思路怎么办？其实没什么大不了的，微点分析研究一下新加一条行为规则，就可以把这种新思路的病毒连同它以后所有的变种全部杀掉。嘿嘿，某种程度上说，微点和病毒作者斗法是有着天然优势的，天才的病毒作者挖空心思研究出一种新的病毒编写思路，微点稍微一研究就搞出一种彻底封杀的解决方案。然后病毒天才只能再去闭关研究新方案，斗法的过程微点以逸待劳，最后累也要把病毒天才们累死。。。
所以，我觉得刘旭最大的贡献不是搞出了微点这么一个产品，而是提出了主动防御这么一套体系。正像我们上面分析的那样，杀毒软件面对潮水般涌出的病毒木马已经自顾不暇了，在和病毒作者的斗争中完全处于劣势，被动挨打。卡巴斯基现在都已经每小时升级一次病毒库了，他难道自己不知道累么？没有人不喜欢清闲的，只能说是病毒泛滥迫使卡巴斯基出此下策。主动防御最大的意义就是使整个反病毒行业重新夺回主动权，全面压制住病毒作者的疯狂作案。试问最天才的病毒作者一年能搞出几个全新的病毒编写思路？呵呵，还是那话，用不了几个回合不把病毒天才烦死也要把他给累死。。。
去年在微点论坛讨论这个话题的时候，大家意见还不统一，不少朋友都不认同主动防御是未来的发展方向。不过现如今2008年大势已定，除了微点这个主动防御的旗手，瑞星、江民、卡巴斯基、赛门铁克等主流反病毒厂商都要全面主动防御了。杀毒软件全面换代为主动防御的那一天起，病毒的日子就要越来越难过咯。反病毒行业取得胜利，最终用户也是受益者，大家一起盼望着明年不用再看网游网银被盗的新闻吧！

野马

http://bbs.kafan.cn/viewthread.php?tid=123685&extra=page%3D2
晒晒我巧用微点“自启动信息”的经验，不看后悔哟！

用微点有一段日子了，由于它跟常用的杀软有很大的区别，起初阶段用起来很不适应（连最起码的扫描都没有）。后来一想，既然能提出主动防御的全新理念，这必然有其过人之处。所以通过前段时间在各大论坛潜心学习之后，终于自己也发现了微点的一些使用小技巧。哈哈，今天也发到坛子里晒晒，算是我的一点儿小经验吧，希望对大家有用哟。

一、巧用微点“系统自启动信息”清除注册表体内垃圾，为注册表“瘦身”

唉，时下的很多软件毫不考虑我们用户的感受，自卸载工具做的很是垃圾，虽然进行了卸载但往往只删除了自己的文件，没有对自己写的注册表项进行彻底清理，一段时间后，我们的注册表变得越来越臃肿不堪，不仅影响了我们系统的启动速度，更为严重的是这些垃圾注册表项有时还会与我们新安装的软件冲突，严重甚至导致系统蓝屏（还让很多用户误以为新安装的软件有问题呢，哼，嫁祸于人啊），让我们无法正常使用。所以啊，我们有必要定时清除这些垃圾注册表项，给宝机作注册表消肥减脂的美容手术了。
现在请出我们今天的主角－微点主动防御软件，让她在给你“保家护院”的同时，再做点打扫卫生的活儿吧。嘿嘿，节省成本吧。好，废话少说，现在开始。

1 、先清除那些文件不存在的垃圾注册表项

   第一步：点击“全路径”进行排序，看一下那些标注“文件不存在”的信息
   第二步：鼠标选中要清除的注册表项，进行删除。
    删除时的小小提示：
   1） 程序说明项中显示为“其他软件”的信息，可直接点击右键菜单中的“仅删除自启动项”进行删除

    2） 程序说明项中显示为不是“其他软件”的信息，需要用户双击要删除的信息名称，可以直接打开注册表，并能够准确定位到该项记录的注册表键值，然后直接将所定位的注册表键值进行删除即可。

    Ps:  对显示为不是“其他软件”的信息进行清理时需要打开注册表进行操作，操作起来麻烦些，建议微点能对所有的信息都加入右键操作的功能，希望微点采纳了啊

2、再清除那些已经卸载但还残存的启动项

   第一步：查看“系统自启动信息”中是否残存已卸载软件的启动项：
   
   由于偶的宝机配置较低，安装微点后，就将原来安装的卡巴卸载了，可是卸载后，机器仍启动缓慢，是否卡巴没有卸载干净呢.
      打开微点的“系统自启动信息”一搜索，原来卡巴的两个文件没有被彻底卸载，如图，既然找到了，当然不能再保留它了。

    第二步：利用微点手动删除残余启动项

    删除klif.sys： 在“自启动信息”中，选中klif.sys，双击后，则直接定位到其注册表的键值，点击右键删除此注册表项。然后在“系统自启动信息”中，选中klif.sys点“查找目标”，则会自动定位到klif.sys在磁盘的位置，进行删除。
删除klogon.dll：klogon.dll也是卡巴的文件，但微点似乎没有识别，既然是在“其他软件”中，清理起来也就轻松多了，右键选中该文件，点击“删除文件与自启动项”，即可删除。

删除完这两个文件后，重启了下系统，机器启动恢复正常。

二、巧用微点“系统自启动信息”清理插件和流氓软件

看看我用微点怎么清除讨厌的百度和google插件

  第一步：打开的自启动信息列表比较乱，不便于分析，我们可以点击窗口中的“程序说明”字段进行排序，或者点击右键菜单中的“隐藏已知的自启动项”，如图,只对归类为“其他软件”的自启动项进行分析处理。

小小提示：微点对于系统中运行正常软件进行了分类，而对于可疑的程序都归类到“其他软件”中 ，因此我们只要分析“其他软件”的信息即可。

  第二步： 对“其他软件”的自启动项进行分析：
        1） 通过“文件名称”依据经验来识别是否为流氓软件
        2） 通过“全路径”来识别是否为流氓软件
        3） 通过查看文件属性来识别是否为流氓软件：鼠标轻移到文件名称上，微点主动放于软件会弹出窗口，显示当前文件的描述信息，根据描述信息进行初步分析判断。   
        4） 根据文件名称上网查询来确认是否为流氓软件

  第三步：删除流氓软件：通过第二步的方法，确认为流氓软件的自启动信息，直接点击右键菜单中的“删除文件与自启动项”

  第四步：彻底清理残留文件：打开c:\program Files 目录，找到baidu和google的目录，手动删除。

讨厌的baidu和google插件就这样轻松被我赶走了


三、巧用微点“系统自启动信息”识别潜在危害启动程序

常在安全论坛求助的人都知道使用HiJack和SREN2工具扫描日志来请论坛高手来分析，论坛高手可根据提供的日志分析是否已被感染了病毒，如果您安装了微点，这些工具就不需要了。微点不仅具有强大的病毒查杀能力，基本上直接就能发现并清除病毒，还能通过微点提供的“系统自启动信息”找出那些漏网之鱼。

首先使用右键选择“隐藏已知启动项"嘿嘿，那些可疑的启动就全出来啦，然后，鼠标指向那些程序名称，哈哈，程序的详细信息就出来啦，什么产品名称、公司名称、版本号等等，全出来啦，如果什么都没有的就最可疑啦。尤其是，注意Explorer和IExplorer插件启动的程序，如果没有产品名称、公司名称、版本号等（号称三无产品吧）就更加可疑啦。既然已经确定这些可疑分子，那就右键“删除文件与自启动项”。说到这里，如果您觉得自己没把握，那就通过右键导出，然后将内容发布到网上（微点论坛的版主和网友很负责哦）让其他网友协助分析解决。

野马

http://bbs.deepin.org/read.php?tid=257824&fpage=3&toread=&page=1
深度研究微点主动防御
(注：该文部分内容是辩驳性文章，但可以加深对微点的了解）

1.已知病毒和未知病毒有什么不同？
已完成，见2楼
2.质疑微点行为判断的逻辑完全讲不通，除非微点的病毒收集能力高出卡巴上百倍。
已完成，见7楼
3.为什么总要带有色眼镜歧视微点？为什么就不能一碗水端平？
已完成，见27楼
4.什么是主动，什么是被动
已完成，见39楼
5.黑箱行为规则特征更重要的是保证用户安全，而不单是为了防止竞争。
已完成，见53楼
6.简析微点杀毒原理，微点为什么可以未卜先知查杀明天的病毒？
已完成，见79楼
7.微点和HIPS的区别
已完成，见87楼

1.已知病毒和未知病毒究竟有什么不同？

以微点的这篇病毒快报为例：
http://bbs.micropoint.com.cn/showthread.asp?tid=14430

已知病毒命名：Trojan.Win32.VB.bjs
未知病毒命名：Trojan.genus(未知木马)

我想问问大家，如果不看上面那份病毒快告的具体内容，单从名字上判断，谁能去分出已知木马和未知木马有什么不同？

相同点在于：已知和未知都明确说明了是木马程序
不同点在于：已知命名详细说明了这个木马是VB编写的Win32程序，序号是bjs

VB编写的Win32程序，序号是bjs，这两点真的很有用么？显然不是，因为我们更关心的是这个程序是不是木马！

所以，其实微点报已知和报未知对于用户来讲感受是基本一样的。至于lsyer提到的“见到未知就心烦”，完全属于其个人的心理作用。因为已知命名并没有比未知命名更多出什么有用的信息，难道说微点报警“未知木马.007”，加上个序号看着就爽了么？

当然，我也很理解lsyer对于“未知”这个提法的反感，因为“未知”一词，在心理上确会给人一种比较茫然的感觉。但是要注意，对于“未知”提法的修改应属于建议性质，而不是反对性质。欢迎大家一起来讨论出一个更好的提法，譬如说叫“新病毒”、“新木马”好不好？

2.质疑微点行为判断的逻辑完全讲不通，除非微点的病毒收集能力高出卡巴上百倍！


像lsyer质疑的，微点为了凸显行为监控，故意对已知病毒报未知病毒，乍一听好像很符合微点的商业利益，是有可能的。但是从逻辑上一分析则是完全讲不通的，就像carsbus举的例子那样。微点和卡巴在样本区的表现是有目共睹的，样本区有很多样本卡巴不报警（也就是说卡巴还没收集到），但是微点报未知。

如果按照lsyer的逻辑，微点故意对已知病毒报未知病毒，那就推论出微点居然可以收集到大量卡巴斯基还没收集到的样本。结论是微点的病毒收集能力比卡巴要强百倍！！！

说微点的病毒收集能力比卡巴要强百倍，有人会相信么？显然大家都知道这太不现实了，至少今天没有人会去相信。所以lsyer的质疑是无法成立的。

理论上讲目前只有卡巴这种病毒收集能力超强，而且还有主动防御功能的产品，才具备上述作弊的可能。但是目前主动防御并不是卡巴当前首要突出的重点，所以卡巴也没有理由去做这种事。

呵呵，不过在以后主动防御市场竞争到白热化阶段的时候，并不排除某些无良厂商会用这种作弊手法来展现产品效果。

3.为什么总要带有色眼镜歧视微点？为什么就不能一碗水端平？

特征码扫描的时候，没有一个人去质询具体的特征拾取方案，没有一个人说某某杀软要是不公布特征码偏移量，不公布特征码方案，我就不承认你是特征码扫描~！大家只是在夸某某杀软病毒库巨大，升级速度快。

扫描引擎脱壳的时候，没有一个人会去质询具体的脱壳方案，没有一个人说某某杀软要是不公布他的脱壳算法，不公布他的虚拟机设计方案，我就不承认你是脱壳引擎~！大家只是在夸某某杀软的扫描引擎强大，拖壳能力强。

启发式扫描的时候，没有一个人会去质询具体的启发式设计方案，没有一个人说某某杀软要是不公布他的启发式算法，不公布他的虚拟机设计方案，我就不承认你是启发式引擎~！大家只是在夸某某杀软的启发式引擎功能强大。

而事情换成了微点呢，有人会去质询具体的行为分析设计方案，有人会说微点你要是不公布你的监控点，不公布你的行为分析设计方案，我就不承认你是行为分析，我就认为你是胡乱报警，我就认为你是用已知特征作弊，我就认为你用黑白名单……


启发式报警“suspicious Trojan/Worm”，就叫有名字？就叫准确报警？就叫光明正大的报？就叫真材实料？
那微点报警“Spyware.genus”(未知间谍)、“Trojan.genus”(未知木马)，和启发式的报警结果有什么不同？
难道说，报洋文就叫准确报出病毒名称，报中文就是骗子？

反正我是完全理解不了上面的现象，为什么事情到了微点这里就会完全变味儿，为什么微点就要被歧视？为什么微点就要被特殊化？为什么就不能一碗水端平？

可能是我太偏激了吧，可能是大家都非常关注微点这个新一代的安全产品，可能是微点在样本区的表现让很多人和厂商红了眼。

有人片面引用霏凡PETER的话，来为自己做例证。我想问问，为什么不去引用霏凡syst分析归纳的微点逻辑架构图呢？为什么不去引用在突破主动防御上很有研究的flo和xyzreg的话呢？
不要拿霏凡来忽悠人，不才在下也可以登录霏凡查阅原帖；
不要再给霏凡两个字抹黑了，出自霏凡的那篇所谓世界上只有五大杀毒引擎的文章，误导了多少人？！其实原作者早已在霏凡公开致歉的。随便说两个例子，除了那所谓的五大，至少NOD32和瑞星是自己开发的扫描引擎。

4.什么是主动，什么是被动？

从字面意思来讲，主动是一种积极的态度，形势由我们自己掌控，一切尽在掌握；被动是一种消极的态度，形势不由我们掌控，未来前景叵测。随便举个生活中的例子，如果我们要保护一个仓库的安全，在忽略费用问题和其他因素的情况下，安装最好的防盗门和雇最好的保安哪个安全性更高呢？答案是显而易见的，当然是保安比防盗门要安全得多，因为再好的防盗门也不过是一种被动防护，早晚要被攻破；而优秀的保安会去主动巡逻主动盘查可疑进出人员。

反病毒技术的发展，我觉得也是一个不断从被动转为主动的过程。

第一代较为成熟的反病毒软件，主要技术为特征码识别，主要形态是扫描。扫描是一个完全被动的防护过程，我只有给杀毒软件下达了扫描命令，杀毒软件才会去扫描。换个角度讲，如果我们在扫描的时候，查出了病毒，那么很遗憾，已经确认您被病毒肆虐过了，请注意即时检查各种帐号是否丢失……

有些网友认为我手工去扫描是一种主动行为啊，怎么会是被动呢？我们谈到的主动和被动是从安全防护的角度出发的，先中毒，后杀毒，所以扫描是一种被动防御。

既然扫描有这么多的缺点，那么为什么早期的大多数杀毒软件都采用扫描作为主要杀毒手段呢？我认为这和早期的病毒环境有关，早期的病毒以感染型病毒为主，一个病毒会使得全盘的可执行文件都被感染，而扫描在批量处理方面有着其他技术无法比拟的优势，所以扫描理所当然的就成为了早期最重要的杀毒手段。

随着时代的发展，病毒越来越多，用户越来越不堪病毒的烦扰，被动的扫描越来越被用户所诟病——很可能一次扫描还没有结束，几分钟前刚被扫描完的文件就又被感染了。。。

一个很理所当然的想法就出现了——如果每时每刻都在不间断的做扫描，那岂不是可以把安全系数提高很多？！实时监控就这么出现了。
PS：具体我没有考证，据说实时监控技术是Norton首先开始应用的。

实时监控是具有划时代的意义的，每时每刻都在监控系统中当前正在被使用或即将被访问（使用）的文件，以保证磁盘中所有文件的安全。相对于被动扫描来说，实时监控就是一种主动扫描。所以，我们说安全的发展就是一个不断从被动转向主动的过程。

上面一直在提特征码，特征码究竟是什么意思？其实特征码就相当于我们生活中的通缉令，犯罪分子作案潜逃，警察侦查后公安部发布通缉令，全国各地的警察协助查找具有某些特征（性别、身材、相貌、衣着等）的人。特征码杀毒也是一样，有人先中毒了，联系反病毒公司提交病毒样本，反病毒公司分析病毒样本组织升级，全国的用户升级后检查自己的电脑是否中毒。

特征码最大的缺点就是命运交由他人，电脑的安全并不因我安装了杀毒软件就可以得到控制，而是完全受制于杀毒软件公司。可能有时候我已经感觉到电脑很不正常，QQ密码也丢失了，但无论是扫描还是实时监控都没有报告出任何问题，为什么呢？因为控制这我命运的杀毒软件公司没有能收集到样本……

虽然实时监控是一种非常好的技术理念，本意也是为了夺回电脑安全的控制权，但是由于其本质上仍然要特征码整体被动性的困扰，所以在当前病毒数量大幅度爆发，病毒日益木马化的时期，实时监控日益遭受用户的白眼。在这种形势下，特征码最具优势的批量扫描逐渐失去了优势。因为木马只有很少几个文件，不会做全盘感染，用扫描引擎试图在诺大的硬盘上查找几个文件，费时费力，效果还不甚理想。

但实时监控的精神是非常好的，只有实时控制才能有效保证系统的整体安全。所以下一代的安全软件，仍然会以实时监控为主要表现形势。但是监控的要点或者说根本，由病毒特征码的比对转为了病毒的行为判断了。行为判断的代表，应该是2005年微点提出的主动防御。大家还记得IT168做的评测么？对付熊猫烧香这么一个完全没有技术含量的病毒，特征码完败，主动防御完胜。
http://publish.it168.com/2007/0131/20070131002301.shtml

为什么主动防御的产品会完胜特征码？道理很简单，其实还是主动和被动的问题。特征码的被动根源在于其冗长的操作环节：要有人先中毒，联系反病毒公司提交病毒样本，反病毒公司分析病毒样本组织升级，全国的用户升级后才能检查自己的电脑是否中毒。主动防御对病毒的分析由程序自动在本地完成，省去了样本提交和后续升级的过程，计算机的运行速度是很快的，整个主动防御的过程瞬间完成，时差可以忽略不计，再次把被动变为了主动。所以主动防御的安全效果必然要强于特征码。

特征码相当于门口的保安，遇到陌生人只要通缉令上没有的一律放行。而主动防御就相当于私人保镖，实时保护在主人四周，无论大门口放进来的是强盗还是小偷，只要危害到主人利益就会挺身而出。某种程度上说，虽然主动防御形式上是更新换代的安全软件，但是其安全理念更返璞归真了，更关注安全最本源的东西。

5.黑箱行为规则更重要的是保证用户安全，而不单是为了防止竞争。


偷个懒，借用一篇文章，自己可以少打点字哈：
HIPS(程序动作拦截器)规则割裂防护体系
http://network.ccidnet.com/art/1099/20070807/1170171_1.html

我个人认为这个文章的精神是很对的，但是讲得过于隐晦，所以很多人都无法理解HIPS把规则公开会对于整体系统安全所带来的巨大隐患，包括部分论坛的反馈也是这样：有的论坛甚至有网友说可以用md5校验来保证规则的安全性。我觉得这种回复是很典型的对HIPS对行为监控缺乏理念理解造成的。

HIPS监控的虽是一个动作点，但是其真正意义是封锁基于这个动作（API）的整个一类（无限多种）的程序调用，结果是试图阻止整个一类（无限多种）程序的恶意方式。正是因此，HIPS虽然只监控了系统中病毒最常用的一些API，但在全拒绝状态确实可以有效保证系统的安全。不过，全拒绝状态完全没办法应用，比如说为了安装一个新软件必须先把HIPS停掉，谁都知道安装新软件恰恰是最危险的时候，在最危险的时候HIPS居然先要被手工停止，这从安全理念上讲完全是混蛋逻辑，无异于主动伸出脖子来任人宰割。

正因为全拒绝无法正常使用电脑，HIPS使用了每个程序动作(API)都做询问的机制来兼顾安全性和正常使用。但是呢，正如原作者所说“Win32 API是微软公司公开提供的应用程序接口，供广大Windows用户开发应用程序与系统进行交互操作。所以从本质上讲，API并没有好坏之分，也没有善恶之别。”HIPS报警的那些所谓的危险API，实际上很多正常程序也在使用的，所以HIPS最典型的情况就是报警频繁，并且报警的内容以无意义的虚警居多。

针对海量的虚警情况，对单一确切程序的点规则是意义不大的，除非我们有能力彻底确认一个程序的安全性，有耐心针对系统中的每一个应用程序都做若干条规则（3D防护），并且要对系统中不断安装更新的新软件不断分析确认安全性并不断地补充规则。那请问，海量的需要不断扩充维护的点规则有普遍可操作性么？答案显然是否定的。而且对于新建文件这种情况，因为新建文件本身就是未知的，所以FD防护不可能完全使用带有md5校验的点规则来完成。现实中的真实情况，就是大量点规则配合部分类规则来使用，以达到最大限度减少虚警的目的。

点规则的安全性是有保证的，HIPS的安全性隐患恰恰出在了类规则的身上。因为类规则针对的是一类动作（无限多种），既然是无限多种具体的实际应用，那么被恶意利用的可能肯定是必然存在的。比如说原文作者提到了.gho案例，我理解就是一个典型的类规则产生的安全隐患。允许生成*.gho，这种规则就是FD系统最典型的类规则，他针对的是一类（无限多个）程序调用——允许随便一个进程都可以随意生成任意内容、任意文件名、任意数量的.gho文件。不管怎么说，利用.gho规则，木马就已经轻松写入到硬盘当中，至于后续如何隐蔽地激活木马，则要看其他规则的具体设置了。

上面说了这么多，其实孙武子怹老人家用一句话就全概括了：正所谓“知彼知己者，百战不殆”，病毒木马的作者既然可以得到网络上大范围传播的HIPS规则，他怎么可能不去主动研究利用呢？HIPS规则结构上的缺陷，对于其原本很安全的防护体系来说就是最致命的威胁。

所以说，我觉得微点采用黑箱行为规则，不是一个简单为了保护自己产品利益的行为，因为从整体结构看，黑箱行为规则对于最大限度保证用户安全是非常必要的。而且安全产品对自身核心部分采用黑箱机制是一贯的传统，比如说没有一家杀软公布他们的特征码拾取方案，没有一家杀软公布他们的虚拟机，没有一家杀软公布他们的启发式规则。保护产品是一方面，但更重要的是对安全检测技术的保密，可以有效提高病毒木马的编写技术门槛，增加他们的开发难度，从而在整体上尽可能地保护用户的系统安全。

PS：黑箱就是指不公开、保密的意思。白箱与之相对。

当然，同样作为一名信息安全技术的爱好者，我对上述的这些保密技术也是非常感兴趣的。反汇编彻底分析软件结构，难度太大，离我们太遥远。大家要注意到，我们网友间为了研究分析安全软件，出了一些很有意思的小工具，比如说针对特征码扫描的分析工具CCL特征码定位器等。我想，既然大家对微点的行为分析这么有兴趣，为什么没有人去做一个行为探测器呢？目前还没有看到类似的工具，但应该是不远了~！

6.简析微点杀毒原理，微点为什么可以未卜先知查杀明天的病毒？
（略，见上文）

7.微点和HIPS的区别

一、先看表象：
1.定义
HIPS：程序动作拦截器，作用就是对HIPS所监控的API拦截报警，安装用户的要求阻止或放行。作用相当于一个动态的系统分析器，告诉使用者系统当前有哪些变化。
微点：主动防御软件，主要依据程序行为判定新病毒，辅以特征码、状态检测防火墙等技术的综合性安全软件。作用相当于杀毒软件+防火墙。

2.软件结构
HIPS：监控
微点：监控+分析+清除

我没有要贬低HIPS的意思，但是从结构来看，微点的软件规模要远大于HIPS，复杂度要远大于HIPS，开发难度、工作量、代码数量都要远大于HIPS。

延伸一个问题，不知道朋友们是否想过单就微点和HIPS重合的这一个点——“监控”来说，谁的监控更灵敏呢？换句话说也就是谁的API监控得更多呢？

答案可能出乎很多人预料，实际上微点监控的API要远多于HIPS的。
道理很简单，Windows API的数量太多了，HIPS为了提高其易用性，监控的API越少越好，所以只监控与安全相关的一些API，其余的一律放任不理。
而微点的监控则要BT很多，除了HIPS监控的那些众所周知的安全性API，微点还监控了很多和安全有可能有关的API。有谁会想到微点竟然会监控程序被改名！根据网友提供的资料，我测试了一下，微点确实监控程序被改名，在程序生成日志中也有体现。原因也很好解释，如果不监控程序改名，那么微点根据程序生成日志向上追杀木马源的时候就有可能会被误导造成杀毒不彻底。微点究竟还有哪些BT的监控项，我是没能力分析，欢迎大牛们逆向一下，列个清单出来大家一同分析总结。

PS：
《揭秘行为杀毒》里有较详细的介绍，遗憾的是贴图没能找到。
http://www.ixpub.net/thread-678163-1-1.html


二、分析内因
谈谈我的看法，微点和HIPS究竟有什么区别呢？我的意见是实在没有必要非分出个谁强谁弱，两个软件的设计目的完全不一样，最终表现出来的软件形态也是天壤之别。如果非要定性的话，只能说微点和HIPS是两类软件，不能简单做比较。

大家想过HIPS为什么要去监控程序API动作？因为HIPS是程序动作拦截器，它的使命就是告诉使用者系统当前有哪些变化(API调用)。然后呢？HIPS监控了API之后会去做什么？答案是然后什么也不干，因为HIPS的使命已经完成了。

大家想过微点为什么要去监控程序API动作么？
因为微点要对一系列动作进行行为分析，需要监控点提供足够的信息。
为什么微点要进行行为分析？
因为微点要判断出程序是否有害。
微点判断程序有害是为了什么？
因为微点是一款综合性安全软件，它的使命是保护系统安全，杀毒杀木马杀后门杀蠕虫……
微点发现程序有害之后会怎么办？
根据日志中的记录，逆向操作中止有害进程、删文件、删注册表……
至此，微点的使命得以实现。也就是说微点前面所有工作的努力都是为了彻底清除有害程序这最终的目的。

微点虽然比HIPS多了很多东西，但是你绝不能简单地说微点比HIPS NB多少多少，这样是不客观的，因为不同类软件，不能简单地直接做对比。HIPS完成了它的设计使命，所以HIPS是称职的。微点完成了它的设计使命，所以微点也不错。

篇外：
over，本章到此理应结束。我很欢迎朋友们来积极热烈参与讨论，在深度这种技术性讨论社区，大家应以技术、逻辑、以理服人。嘿嘿，不过从私心来讲，我对某些朋友混淆概念，搞文字游戏的把戏还是很有兴趣的，稍微掺和几句，权当调节气氛了。

以微点和HIPS都具有监控模块，而论证出微点是高级HIPS的结论，还是很站不住脚的。莫忘了除了监控和分析模块，微点还有最重要的清除模块呢。对微点来说，监控是手段，分析是方法，清除才是最核心最重要的目的。完全忽略主体，而只谈某一个过程，就有点儿太矫情了……

诚然HIPS虽没有清除能力，但使用动作阻拦也可以达到一定的安全防护作用。但如果我以钳子和六轴精密数控车床都可以加工金属部件为由，非说车床==高级钳子，我想问问有人能接受么？呵呵，实际上，钳子归属五金类，而车床归属机械类，完全是两类产品，不能在一块简单作比较的。使钳子（当然不止钳子咯）的高手叫钳工，使床子的高手叫车工，高级钳工和高级车工都是优秀的高级人才，并没有高下之分。。。

答案就是这么简单。

哈哈，想起上学时的金工实习了，师傅指着车床一声“上床”~！然后我们就都想歪了。。。
车铣刨磨钳铸，数控、线切割，怀念哦……

野马

http://bbs.deepin.org/read.php?tid=287471&fpage=3
微点扫盲帖合集（二楼更新传统防火墙设置方法）

本人前段时间本来是想做继续做测试贴的，但在各论坛发现，很多朋友对微点还是不是很了解，于是就想暂停测试帖的更新，做一个微点扫盲的合集，希望对各位有一定的帮助，我将会把我的使用心得跟技巧与大家分享！

初识主动防御
                                
    从我接触的很多电脑内经常装着多个杀毒软件，从瑞星到卡巴斯基，再到小红伞、毒霸、诺顿等等，尤其是那些使用免费杀毒软件的朋友更是如此，显然他们对自己使用的杀毒软件并不是很放心，那么究竟是什么使他们如此的提心吊胆呢？显然，他们对杀毒软件的防御能力没有把握，也就是说他们很怀疑当前杀毒软件的预防病毒能力，这也是当初熊猫烧香能够迅速蔓延的一个有力证据，因为目前的杀毒软件的主动防御能力薄弱，才使得熊猫烧香这种没有多少技术含量的病毒可以迅速扩散。那么就没有提前预防的杀毒软件吗？

    我一直比较看好国内的微点的主动防御，，但很多人对此心中也没有底，毕竟是一个新事物，接受他是需要一定的时间的，究竟如何要拉出来遛遛才知。在微点官方下载了最新的微点主动防御软件，安装简单，按照提示一路点击“下一步”就可以了。对于首次使用微点的朋友，只需要到官方下载，并注册安装，就会享受免费使用！绝对超值！



这就是微点主动防御软件测试版的界面，主功能区分安全防护与策略、系统分析、网络分析、安全日志、系统日志和辅助功能六大部分。界面相对简单，没有过多的花哨。当然，我们主要看的是它的性能。



在安全防护与策略中，有如图一些项目，可疑程序的诊断和漏洞扫描是比较常用的项目，事实上，现在许多的防木马和流氓软件的程序大多也有这些功能，相信使用过360安全卫士和Windows优化大师的人对这些功能早已经是耳熟能详了。毕竟现在的流氓软件铺天盖地，很多人对此已经是疲于奔命了，流氓软件一度也成为过街老鼠人人喊打。



微点主动防御软件的系统分析中，进程综合信息的查看还是比较实用的，你可以查看每个程序生成了什么，修改了什么注册表；而注册表修复和保护也是比较实用的一些功能。系统自启动信息里，列出了所有开机时自动加载的文件，无论是病毒，木马，鸽子什么的，都有个共同的特点，那就是极其迫切需要自动运行或者间接激活运行，因为只有将木马激活了才能去干坏事，所以利用这些自启动信息，就很容易找到那些有害程序。如果你需要追究其注册表位置，双击文件就会自动打开注册表编辑器，并定位到相关注册表项。对那些对注册表编辑器不是很熟悉的用户来说，这个功能非常不错的，它可以直接定位到注册表中，省去了很多麻烦。



网络分析的一些功能也比较细致，流量图很直观。点击蓝色的监视窗口上的IP地址，可以快速打开进程网络信息,定位到相关进程。如果有任务管理器中断不掉的进程，用微点结束进程树一般就可以中断。当然更主要的是我们看它的主动防御能力是不是很强。
微点是通过行为分析的，而不是传统的特征码判断，所以可以更加有效的防住最新的病毒以及病毒变种，加壳木马，鸽子之类的危害计算机的程序。和传统的杀毒软件相比，微点主动防御的特点主要是分析未知程序的执行行为，也就是它们所说的“以行为为基础的”（behavior-based），而不是查询比较程序有没有病毒的特征码来判断是否病毒或恶意软件。

当然，衡量一款反病毒软件的性能，主要要看他对新病毒的防范能力究竟如何。因为老病毒几乎所有反病毒软件都可以处理的很好，真正威胁我们的是每天不断涌现的新病毒。根据国内著名的几大安全论坛病毒样本交流区的测试结果，微点的表现总体来讲还是很令人满意的。



作为市场上一个新星的软件，尤其是在国内杀毒厂商林立的情况下，微点能有自己的创新还是非常不错的。尤其是国内的杀毒软件市场竞争激烈，卡巴斯基、诺顿等等外来的和尚也开始在这里不停地讲经布道，再加上瑞星的异常强势，都使后来者有一定的压力。当然压力也是动力，正因为有压力，才有创新，这也是微点能够在市场上站住脚跟的关键所在。

    最近，各个杀毒软件都在说自己“主动防御”，就连360安全卫士也要开始主动防御了。据悉，在360安全卫士发布一周年之际，将隆重发布奇虎360旗下的一款新产品。该产品是一款主动防御类产品：他的主要功能是帮助大家保护电脑中的QQ号、网游帐号、虚拟装备、网银帐号等虚拟资产，保证您的电脑即便在不小心感染了未知木马的情况下，也能够不丢失重要的虚拟网络财物。从这些表述上看，显然和微点的创意非常类似，主动防御会不会成为安全市场的一道新的风景线呢？毕竟，我们最讲究的防患于未然，如果真的可以把安全隐患直接扼杀在萌芽状态，岂不是最简单和直接的一个结果吗？相信随着微点和奇虎的开始努力，主动防御也必然会在市场上掀起一股新的思潮。

注：上文中测试样例并不是主动防御的结果，如果要保留这个环节，可以换一个样本，其他软件查不出来，微点报“未知”的即可。

*****************************************************************************************************

微点的防火墙包括
1.智能防火墙
2.传统防火墙

微点的传统防火墙是在很多朋友的要求下，加上的。但发现还是有很多人不知道微点的传统防火墙怎么设置，希望能够在以后变得更加方便，那么针对现在的情况，我就简单介绍下微点的传统防火墙的设置方法吧！希望对大家有所帮助！

下面是官方在防火墙设置的时候一点意见和建议：

如何自己设计规则包？

方法1：在微点主界面中【安全防护与策略】→【传统防火墙设置】→【规则包列表】，右键菜单单击【新建】，输入规则包名称和描述，然后双击建立的规则包就可以根据自己的实际情况建立具体规则，规则包设计完成后，应用此规则包即可。
方法2：在微点主界面中【安全防护与策略】→【传统防火墙设置】→【规则包列表】中选择微点提供的任意规则包，右键菜单选择“另存”，输入规则包名称和描述，然后根据自己的实际情况在微点提供的规则包基础上修改某些规则，然后再应用此规则包即可。

微点主动防御软件对应用程序访问不同地址和端口设置了两条特殊规则即：允许可识别程序通过（TCP）、允许可识别程序通过（UDP）
在这里提及到的可识别程序是指：已知程序、可信程序、以及“程序访问网络策略”中允许访问网络的应用程序。对于这些可识别程序，可以不受后面规则中对端口及访问地址的限制，可以任意访问任何地址和端口。
建议：在您创建自己的规则包时，微点建议您至少导入“允许可识别程序通过（TCP）”和“允许可识别程序通过（UDP）”两条规则。


那么我就简单用图来说下如何进行设置：

一、    首先在微点的五个规则包中，选择一个适合你的包，右键选择另存，输入一个包名。
   
二、双击你新建的规则包，会弹出一个新窗口，下面就可以开始进行编辑！
在新窗口右键----》选择新建策略，下面我就以教育网直通车加速器为例进行说明：
（加速器在规则5下是无法运行的，因为端口没有开放）


教育网直通车的资料：教育网直通车客户端使用TCP协议1723端口和UDP1701端口与服务器建立连接
开始编辑：
允许直通车的TCP：


允许直通车的UDP：


如何关闭本地端口：

通过此项设置，本地端口445就被关闭了！你可以根据自己的环境，进行相应的设置。

[ 本帖最后由 野马 于 2007-9-26 21:49 编辑 ]