先发制人 解析微点主动防御

烟雨无声

作者: 甘肃/老五, 　出处:IT专家网,　责任编辑: 张帅,　2007-12-29 09:52

原帖地址：http://security.ctocio.com.cn/securitycomment/34/7747034.shtml

如今市面上的杀毒软件产品越来越多，其关键技术依然基于特征码查询，此类软件一大缺陷就是查杀病素完全依靠病毒库的数据量，本文将介绍主动防御软件代表微点主动防御软件……


【IT专家网独家】注定是个悲剧，杀毒技术总是落后于病毒技术，我们的系统往往成了这悲剧的主角。疯狂的病毒，抓狂的用户，杀毒软件往往在其中扮演了“事后诸葛亮”的角色，甚至是个“死诸葛”。我们期待，先发制人防患于未然的狠角色，这就是安全领域中炙手可热的主动防御技术，微点可谓其中的佼佼者。

　　前置知识：现在市面上的杀毒软件和防火墙软件越来越多，不过它们大都是基于特征码查询软件，此类软件有一个很大的缺陷，就是查杀病素完全依靠病毒库的数据量。对于新出的病毒，这类软件往往是心有余而力不足。而根据程序行为，智能诊断可疑程序的微点主动防御在预防新病毒上就已经是棋高一着了。它能够自动识别新病毒，实现对病毒、蠕虫、木马、后门、间谍等有害程序的主动防御，并且完成病毒库的本地升级。

　　下面我们就进行一次微点主动防御的体验

　　1.安装：安装程序很简单，一路Next即可，需要注意的是，此安装软件必须在线注册之后方可使用，注册成功后系统会自动更新，并且更新完成后要求你重新启动计算机。

　　2.功能介绍：

　　微点的功能大致分4个大的模块，其中包括“安全防护与策略”、“系统分析”、“网络分析”、“日志”(包括安全日志和系统日志)。

　　“安全防护与策略”中，我们可以通过“漏洞扫描”来为系统打补丁，这里的漏洞补丁列表与Windows Update中的信息是同步的，但是它并不需要你与服务器进行身份验证，只要点击下载，如图1。



图1

　　“程序访问网络策略”类似于大家使用过的各种网络防火墙，我们只需简单的对程序设置是否允许访问网络即可。如图2。


图2

　　“传统防火墙设置”可以根据不同的使用环境设置不同的防火墙规则，应用于不同情况下。比如适用于局域网中的规则、适用于互联网的规则等。如图3。


图3

3.原理解释：

　　微点作为一款主动防御软件，它的杀毒过程对我们来说是透明的，虽然我们无法调整它的杀毒规则，但是这里还是有必要了解一下它的工作原理：

　　(1).已知性判断

　　首先使用已知病毒库(特征码)来查询，如果有相同的特征码，则直接将之处理，并将该处理结果写入日志。

　　(2).未知性判断

　　使用已知病毒库扫描后，继续使用未知性病毒库扫描。

　　(3).程序行为性判断

　　在使用已知和未知病毒库扫描后，微点根据木马或者病毒的行为动作来确定，它是否是有危害的软件，并且及时处理并拦截新的有害程序。

　　(4).自动提取特征码

　　确定某程序后，开始自动提取该有害程序的特征码。

　　(5).自动更新本地特征库。

　　提取特征码后，自动更新本地未知病毒库，当该有害程序再次攻击或感染时有利于快速检测。

　　接下来我们进行传统防火墙的设置，“传统防火墙设置”中已经附带了5条规则，分别是“开放网络、不对进出数据做任何限制”、“禁止网络，禁止任何数据包进出”、“开放本机连接共享，适用于局域网内部用户”、“禁止本机连接共享，适用于局域网内部用户”、“推荐设置，适用于使用设置的用户”这5条规则设置起来非常简单，可以满足大家常用需求。


  图4

　　4.实际应用：

　　(1)进程分析

　　在系统分析的进程综合信息下，我们可以看到进程名、运行时间、路径名、远程IP和端口，以及程序所使用的流通量，如果进程名前的括号中有数字，就表示有多少个进程在访问网络，单击打开后，可以看到详细的网络连接信息。如图5


图5

　　(2)注册表恢复

　　注册表修复和注册表保护也是比较常用的功能，一些流氓软件劫持浏览器之后，我们的IE会被修改的面目全非，这个时候就可以用注册表修复功能来恢复一下了。如图6


图6

(3)进程运行状态

　　在程序的主界面上，我们可以看到顶部写着“远端地址”的字样，只要点击任何一个IP地址，就会自动转到“进程网络分格”的相关进程下，在此我们可以详细地得知进程的运行状态以及各种详细信息。如图7


图7

(4)数据流量分析

　　“远端地址”中所出现的IP，都会在IP流量图中出现，我们可以按照自己的需要，随时分析数据流量，查看网络是否存在异常情况，端口/进程流量图的作用与此相似。如图8


图8

　　(5)查看日志

　　微点的日志功能做得不错，因为它是按照行为来确定程序是木马还是病毒的，所以它的日志也分为了：病毒、木马、溢出、蠕虫、网络入侵、异常访问、可疑程序等多个类别。通过日志我们可以更快速的找到系统出问题的地方，并根据这些信息来及时修补自己的系统。

　　总结：经过测试可以看出微点的主动防御功能非常不错，无论是对于病毒爱好者还是网管来说，它都是一款不可多得的木马、病毒查杀工具。当然它最可贵的是主动防御，能够未雨绸廖，先下手为强，在病毒、木马运行前杀死它们。

hzlfhj

好贴

占了传说中的沙发

lastnight

应该叫后发制人

病毒不运行就不会扫描,只有病毒运行了才能发现,这不叫后发制人吗?

旭日东升

不依赖于特征值，在特征库没有升级之前，就能将病毒的威胁化解，难道还不是先发制人？

lastnight

原帖由 旭日东升 于 2008-1-3 11:56 发表
不依赖于特征值，在特征库没有升级之前，就能将病毒的威胁化解，难道还不是先发制人？

那干脆叫未卜先知好了

taiw_1144

记得金庸在神雕结尾处借觉远的口说过，武功最高境界，后发制人人，先发制于人。微点的行为分析技术是先让病毒运行，触动规则拦之，也有点后发制毒的味道，这是巧合吗？？

[ 本帖最后由 taiw_1144 于 2008-1-3 13:34 编辑 ]