防患于未然 东方微点体验评测（节选病毒检测方法 自我保护测试）

Nblock

2008-08-11 08:55:18　来源:华军资讯　作者:[email=]帕拉丁[/email] 点击: 5208

近来，北京东方微点信息技术有限责任公司开发的中国首款主动防御实用化产品微点主动防御软件，经历近三年不同寻常的超长时间公开测试之后，正式上市发行。863国家科技攻关项目、有别于传统特征码的主动防御规则、无需扫描不依赖升级、瑞星杀毒软件原设计者刘旭……这些耀眼的词汇无疑吸引了很多关注的目光。

在各大论坛里面，很多“马甲”把东方微点奉若神灵！在大致了解微点主动防御软件风风雨雨的研发历程之后，这让我在拿到这款软件的时候，有种沉甸甸的感觉！试用之余，信手敲下一些感受，不敢妄称“深入分析”，恐有误导读者之嫌！首先，“深入分析”容易引起歧义；其次，小编能力有限，对微点底层运作不清楚；再次，怕文章充斥自己的主观感受。
好了，闲话就此打住，进入正题。

软件介绍
微点主动防御软件，是北京东方微点信息技术有限责任公司（以下简称微点公司）自主研发的具有完全自主知识产权的新一代反病毒产品，在国际上首次实现了主动防御技术体系，并依此确立了反病毒技术新标准。微点主动防御软件最显著的特点是，除具有特征值扫描技术查杀已知病毒的功能外，更实现了用软件技术模拟反病毒专家智能分析判定病毒的机制，自主发现并自动清除未知病毒。
软件下载
微点主动防御软件的官方网站：点此进入
华军软件园下载：点此下载 （90天免费试用版）

好了，在了解微点主动防御软件的功能之后，再来看看它的特点：主动防杀未知病毒；智能病毒分析技术；强大的病毒清除能力；驱动级的安全保护机制；智能防火墙……简单来说，微点是一款主防软件。用不是很专业的话来说叫做行为杀毒，那么和特征码杀毒又有多少差别呢？行为杀毒软件的杀毒引擎是不是比特征码杀毒软件的引擎优越？

杀毒引擎是一套判断特定程序行为是否为病毒程序（包括可疑的）的技术机制。一个完整的技术引擎遵守如下的行为过程：（引自百度百科——杀毒引擎词条）

1.非自身程序行为的程序行为捕获。包括来自于内存的程序运行，来自于给定文件的行为虚拟判断，来自于网络的动态的信息等等。一般情况下，我们称之为引擎前端。捕捉的方法非常多，除诺顿以外的杀毒软件采用的都是行为规范代码化的方法。诺顿由于与微软有这远远高于其它厂商合作关系，其实现过程比较独特，另有叙述。
2.基于引擎机制的规则判断。这个环节代表了杀毒引擎的质量水平，一个好的杀毒引擎应该能在这个环节发现很多或者称之为相当规模的病毒行为，存而避免进入下一个判断环节。传统的反病毒软件引擎使用的是基于特征码的静态扫描技术，即在文件中寻找特定十六进制串，如果找到，就可判定文件感染了某种病毒。但这种方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用了。为了更好的发现病毒，相继开发了所谓的虚拟机，实时监控等相关技术。这个环节被叫做杀毒软件引擎工作的核心层。
杀毒引擎与要将非自身程序行为过程转化为杀毒软件自身可识别的行为标识符（包括静态代码等），然后与病毒库中所存贮的行为信息进行对应，并作出相应处理。当然必须承认，当前的杀毒软件对大量病毒的识别都是在这个阶段完成的。因此一个足够庞大的病毒库往往能够弥补杀毒软件引擎的不足之处。但是必须意识到，如果在核心层阶段就可以结束并清除病毒程序，那么杀毒软件的工作速度将会大幅提升。
也许，在核心层阶段就可以结束并清除病毒程序就是东方微点主动防御软件的追求！

我们再来了解一下常见的病毒检测方法。
检测病毒方法有：特征代码法、校验和法、行为监测法、软件模拟法等等。这些方法依据的原理不同，实现时所需开销不同，检测范围不同，各有所长。

特征代码法
特征代码法的实现步骤如下：
采集已知病毒样本，病毒如果既感染COM文件，又感染EXE文件，对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。
在病毒样本中，抽取特征代码。依据如下原则：
抽取的代码比较特殊，不大可能与普通正常程序代码吻合。抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面又不要有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节，要检测3000种病毒，增加的空间就是3000字节。在保持唯一性的前提下，尽量使特征代码长度短些，以减少空间与时间开销。
在既感染COM文件又感染EXE文件的病毒样本中，要抽取两种样本共有的代码。将特征代码纳入病毒数据库。
打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。
采用病毒特征代码法的检测工具，面对不断出现的新病毒，必须不断更新版本，否则检测工具便会老化，逐渐失去实用价值。病毒特征代码法对从未见过的新病毒，自然无法知道其特征代码，因而无法去检测这些新病毒。
特征代码法的优点是：检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理。其缺点是：不能检测未知病毒、搜集已知病毒的特征代码，费用开销大、在网络上效率低（在网络服务器上，因长时间检索会使整个网络性能变坏）。
其特点：
A.速度慢。随着病毒种类的增多，检索时间变长。如果检索5000种病毒，必须对5000个病毒特征代码逐一检查。如果病毒种数再增加，检病毒的时间开销就变得十分可观。此类工具检测的高速性，将变得日益困难。
B.误报警率低。
C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。

D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存，后运行病毒检测工具，隐蔽性病毒能先于检测工具，将被查文件中的病毒代码剥去，检测工具的确是在检查一个虚假的“好文件”，而不能报警，被隐蔽性病毒所蒙骗。

校验和法
将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外，还纳入校验和法，以提高其检测能力。
这种方法既能发现已知病毒，也能发现未知病毒，但是，它不能识别病毒类，不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因，文件内容的改变有可能是正常程序引起的，所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。
病毒感染的确会引起文件内容变化，但是校验和法对文件内容的变化太敏感，又不能区分正常程序引起的变动，而频繁报警。用监视文件的校验和来检测病毒，不是最好的方法。
这种方法遇到下述情况：已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。
校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文件算出正常校验和。
运用校验和法查病毒采用三种方式：
①在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。
②在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值。实现应用程序的自检测。
③将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。
校验和法的优点是：方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。

行为监测法
利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。
这些做为监测病毒的行为特征如下：
A.占有INT 13H
所有的引导型病毒，都攻击Boot扇区或主引导扇区。系统启动时，当Boot扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型病毒都会占用INT 13H功能，因为其他系统功能未设置好，无法利用。引导型病毒占据INT 13H功能，在其中放置病毒所需的代码。
B.改DOS系统为数据区的内存总量
病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改系统内存总量。
C.对COM、EXE文件做写入动作
病毒要感染，必须写COM、EXE文件。
D.病毒程序与宿主程序的切换
染毒程序运行中，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。
行为监测法的长处：可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处：可能误报警、不能识别病毒名称、实现时有一定难度。

软件模拟法
多态性病毒每次感染都变化其病毒密码，对付这种病毒，特征代码法失效。因为多态性病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较，也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒，但是在检测出病毒后，因为不知病毒的种类，难于做消毒处理。

从杀毒原理来看，微点主动防御软件的杀毒原理最接近行为监测法，即利用病毒的特有行为特征性来监测病毒。这种办法的好处在于可发现未知病毒、可相当准确地预报未知的多数病毒，并可以识别病毒的变种。但是，这种办法也有其弱点，可能误报、不能识别病毒名称、实现时有一定难度。
微点主动防御软件的行为监测法杀毒，很好很强大！但是，也并非很多用户认为的那么绝对强大！有些较为感性的用户甚至认为：在微点面前，一切木马、病毒、恶意程序都是渣。其实不然，任何东西都有弱点的。
此前，在卡饭论坛里面看到的一个帖子《与王者的较量---再次轻松绕过微点主动防御》，就是探讨如何过微点的（URL：点此进入 感兴趣的朋友可以去看看），见图15所示：
里面提及的一些过微点的想法还是很现实的，引述部分如下：
好了，在了解微点的防毒杀毒能力之后，再来看看微点的自我保护能力。如果一款安全软件连自己都保护不了的话，那无疑是冷笑话。

添加文件
在微点的安装文件夹里面添加文件看看。找到路径，尝试新建文件看看。结果如图20所示：

（图：20）

把创建好的恶意程序复制粘贴看看，结果不行，见图21：

（图：21）

删除文件
先尝试右键删除微点的文件看看，结果是微点不答应，见图22所示：

（图：22）

右键删除没用，那么再看看第三方暴力删除工具能不能删除。首先，试用360粉碎器看看。首先，用360粉碎器选中几个微点的文件，见图23所示：

（图：23）

点击“粉碎选中文件”的同时，选中“阻止被删除文件再生成”，360粉碎器说“文件已删除”，见图24所示：

（图：24）

360粉碎器说文件已经删除了，但是，打开微点的文件夹，那几个文件赫然在目，见图25：

（图：25）

是360粉碎器没用？还是微点自保护能力不弱呢？
那看看超级巡警的文件暴力删除工具行不行！选中文件的同时，勾选了超级巡警文件暴力删除的“强力阻止文件再生”、“删除对应延迟删除信息”等，见图26所示：

（图：26）

暴力删除后看看效果。超级巡警文件暴力删除工具很诚实，如实地汇报了删除结果，见图27所示：

（图：27）

打开微点的文件夹看看，文件好好的都在，见图28所示：

（图：28）

360文件粉碎器和超级巡警文件暴力删除工具的没能破坏微点的文件，再来看看网友很推崇的unlocker的表现怎样？图29：

（图：29）

Unlocker也拿微点的保护没办法，提示：错误，文件不能被删除！如图30所示：

（图：30）

进程中止
中止进程前先把微点设上密码，还是用任务管理器试试先。找出微点进程，右键结束看看，结果是微点拒绝访问。微点有五个主要进程，篇幅所限，这里只放一张截图，见图31所示：

（图：31）

任务管理器奈何不了微点进程，那再看看冰刃IceSword能不能结束微点的进程。选中微点的五个主要进程，右键“结束进程”，屏幕闪一下，但是微点的进程都还在。见图32所示：

（图：32）

微点能够经过冰刃IceSword的考验，表现不错！

时间保护
有不少病毒木马会修改系统的时间，这一行为具有一定的危害性，比如：XP的系统修改到2000年以前，可能会导致无法进入系统；时间修改后，导致杀毒软件授权过期，防护失效，滋生病毒木马。微点主动防御软件具有时间保护功能，下面就来看看微点的时间保护功能。
首先启用微点的“锁定系统时间”功能，见图33所示：

（图：33）

写在最后
总的来说，微点主动防御软件像是一款更为智能的HIPS+墙。很安静——只有在病毒木马现出狰狞面目的时候，才出手伏恶；很轻快——资源占用少，运行稳定流畅。即使是老爷机也可以流畅使用。
不过，不要因此就觉得微点文弱，微点防御能力较强，即使是没有被列入病毒库里的未知病毒，也难逃被清除的命运；在系统漏洞修复、注册表修复、防御和查杀U盘autorun病毒、防御arp欺骗攻击、溢出攻击、未知病毒、木马等方面，有着不俗表现！此外，特别要指出的是，微点为用户提供检测程序、进程启动、网络分析，以及系统分析等功能，这样即使杀毒软件有疏漏，用户也可利用所提供的功能，揪出潜伏在系统内的病毒、木马程序等。
当然，微点也有不尽如人意的地方！比如：1.没有扫描功能，不支持右键，习惯特征码杀毒软件的用户起初会很难适应；2.不够体贴鼠标和用户手指，微点它不像其他杀软那样提供扫描完成后执行操作的功能，它是发现一个病毒、木马就提示操作一次。在病毒包样本测试中，小编可怜的鼠标都要点坏了；3.软件不够美观，当然，这不是什么毛病喽。
不过据说，微点很快就要推出扫描引擎了，或为可选组件，或为整合推出，看来是要照顾用户的使用习惯！到目前为止，官方测试版还没有推出，期待中…
详细原文请见：http://news.newhua.com/news1/Teach_Virus/2008/811/0881185518G87I98AC98E8J34J8022C5J5C7BI9GI72J21141C8GJCI.html?lt=common

kuririn

想到用冰刃砍微點 怎麼就不用冰刃刪除微點文件試試
怎麼不用eq砍微點試試 而且還可阻止微點再啟動

醉一生爱妍

怎么就不用UG的强行终止驱动试试

polly5771

欢迎楼上2位补充测试。本区欢迎原创技术帖。更欢迎找出微点漏洞，帮助它完善。

我的观点是------用工具和病毒砍微点，效果是不一样的。别忘了，EQ已经加入微点白名单。
如果不加，在安装或运行的时候就会被砍掉了。

[ 本帖最后由 polly5771 于 2008-8-12 14:02 编辑 ]

kuririn

沒用過ug

不過強行終止驅動會bsod吧

改天試試ug  看這樣會不會bsod

taiw_1144

冰刃大名鼎鼎，如果改成EQ，恐怕会有好多人会不知道是啥东东吧！！

kuririn

好啊 怎麼就不用冰刃刪除微點文件試試

另外冰刃可以砍eq  卻不能砍微點
eq卻可以砍微點 是為什麼

kuririn

說eq是白名單 好啊 為什麼冰刃也是白名單卻不能砍微點

kuririn

況且eq我只是舉例而已

可以砍微點的多的是 當然冰刃 wsyscheck有名的除外
自我保護原來只針對有名的啊

liu95166

好多XXXXX啊，，，无语ing