微点主动防御软件使用手册

1、微点主动防御软件使用手册北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司最终用户许可协议本最终用户许可协议(以下称“本协议”是您(自然人、法人或其他组织与东方微点软件产品(包括但不限于微点主动防御软件等,以下称“本软件”或“软件产品”版权所有人北京东方微点信息技术有限责任公司(以下称“东方微点公司”之间的具有法律效力的协议。在您使用本软件产品之前,请务必阅读本协议,任何与本协议有关的软件、电子文档等都应是按本协议的条款而授权您使用的,同时本协议亦适用于任何有关本软件产品的后期发行和升级。您一旦安装、复制、下载、访问或以其它方式使用本软件产品,即表示您同意接受本协议各项条款的约束

2、。本协议与由您签署的通过谈判订立的任何书面协议一样有效。如不同意,请不要使用本软件并确保产品及其组件的完好性。1.1 “本软件”或“软件产品”指:(1 随附了本协议磁盘、光盘、或其它介质的所有内容,包括但不限于东方微点公司或第三方电脑信息或软件;(2 相关的说明性书面材料、产品包装和电子文档;以及(3 东方微点公司许可您使用的本软件的升级程序、修改版、更新和添加内容以及东方微点公司发布的相关工具(如果有的话。1.2 “使用”指依据文档存取、安装、下载、复制或以其它方式对本软件做功能性使用。本软件及东方微点公司授权您制作的任何副本均为东方微点公司的产品,其知识产权归东方微点公司所有。本软件的结构

3、、组织和代码均为东方微点公司的有价商业秘密和保密信息。本软件受中华人民共和国著作权法、相关国际条约以及使用本软件国家所适用的法律的保护。您不得在本协议许可的范围之外复制或使用本软件,否则将构成对东方微点公司知识产权的侵犯。您还须同意不对本软件进行逆向工程、反编译、反汇编或以其它方式尝试发现本软件的源代码,东方微点公司明示允许您进行合法反编译的除外。东方微点公司提供的或您获得的有关本软件的任何信息只能由您为本协议许可的目的而使用,不得透露给任何第三方或用于创建任何与本软件风格基本相似的软件。在未经授权的情况下不得用于其他商业用途。商标的使用(其中包括商标所有者名称的标识应遵循中华人民共和国商标法

4、的规定。东方微点公司的注册商标或商标包括但不限于 【“东方微点”“Micropoint”】等。本协议对您使用本软件的授权并不意味着东方微点公司对其享有的知识产权也进行了转让。本软件产品受中华人民共和国著作权法及国际著作权条约和中国其它知识产权法及其他国际知识产权条约的保护。只要您遵守本协议的条款,东方微点公司即会授予您非独占性的软件许可,允许您依据本协议规定的用途使用本软件。3.1 授权使用范围对一份软件产品,东方微点公司只授权您在一台电脑上面使用,但在下列情况下您可以将本软件用于多用户环境或网络系统上:(a 东方微点公司明示授权许可您用于多用户环境或网络系统上;或(b 您使用本软件的每一节点

5、及终端都已向东方微点公司购买了使用许可。3.2 复制、分发和传播您应当按本协议的规定使用或复制本软件。您必须保证协议授权的每一份复制、分发和传播都必须是完整和真实的,包括所有有关本软件产品的软件、电子文档、版权和商标等方面的信息,亦包括本协议。出于备份或档案管理的目的您可以制作一个软件副本,但不可在任何其他电脑上安装或使用该副本。除东方微点公司明示授权外,您不得将该副本转让给他人使用。3.3 转让除非本协议明示许可,否则不得对本软件的所有或任何部分进行租用、出租、再许可或将其复制到其它用户的电脑上。但是您可以将使用本软件的权利转让给他人,前提是:(a 您同时将本协议、本软件和与本软件捆绑或预安

6、装在一起的所有其它软件或硬件(包括所有副本、更新版和先前版本一并转让给他人;(b 您不对任何副本进行留存,包括电脑上存储的备份和副本;以及(c 接收方接受本协议的条款和条件以及您合法购买本软件时接受的任何其他其它条款和条件。3.4 使用收费本软件将不定期进行升级,版权所有者东方微点公司将及时通知用户。在您第一次使用本软件后,东方微点公司将按使用时间收费。3.5 病毒上传您使用本软件的同时,视为您同意微点公司将病毒特征码或者病毒样本上传到微点网站,微点公司将对与您相关的信息予以保密。您也可以通过软件设置取消上传功能。4.1 东方微点公司向愿遵照本许可协议的条款使用本软件而购买的个人或实体保证,在

7、您购买本软件之日起一个月内,如果本软件的存储介质异常而导致的软件不能正常使用,在经过东方微点公司检测核实后负责更换,但如该异常是因用户错误使用、人为损坏、非法使用、突发事故导致或介质丢失的则不在此限。如依据上述规定要求东方微点公司负责进行更换的,必须在购得本软件后三十(30 天内将本软件连同购买凭据退回购买地点。4.2 东方微点公司保证本软件符合其产品说明书中规定的性能要求。4.3 东方微点公司不对本软件特殊应用目的的商业性和适应性承担保证责任。4.4 东方微点公司不保证本软件没有错误,或者能够不间断的操作。东方微点公司不保证本软件在任何情况下在任何计算机上均有效。4.5 东方微点公司不就因使

8、用或不能使用本软件而发生的损失,包括但不限于营业利润损失、业务中断、业务信息、文档、数据丢失或其他经济损失承担赔偿责任,即使已通知东方微点公司有可能发生该等损失的,亦是如此。如果您未能遵守本协议的任何规定,东方微点公司有权随时终止授予您的对本软件的使用许可。终止许可后,您应立即将本软件的原文档及其所有复制件销毁或返还给东方微点公司。东方微点公司有权随时修改本协议的任何条款,一旦本协议的内容发生变动,微点公司将会通过适当的方式向用户提示修改内容。如果不同意东方微点公司提示的对本协议所作的修改,用户有权停止使用本软件。如果用户继续使用本软件,则视为用户接受东方微点公司对本协议所作的修改。本协议的订

9、立、效力、执行和解释以及争议解决均适用中华人民共和国法律并受中国法院管辖。如双方就本协议内容或其执行发生任何争议,双方应尽量友协商解决;协商不成时,任何一方均可向微点公司所在地人民法院提起诉讼。本协议项下东方微点公司对用户的任何通知均可以通过用户提供的电子邮件、手机短信或者常规信件传送等方式送达;该等通知于发送之日视为已送达收件人。用户对东方微点公司的通知应当通过东方微点公司对外公开正式公布的通信地址、电子邮件地址、传真等联系方式进行送达。在使用本软件的同时, 视为你已经审阅、理解并接受了此协议目录第1章微点主动防御软件单机版 (11.1微点主动防御软件的重大技术创新 (11.2微点主动防御软

10、件的主要功能及其描述 (2第2章安装和卸载微点主动防御软件 (42.1微点主动防御软件的适用环境 (42.2安装微点主动防御软件 (42.3注册软件 (92.4卸载微点主动防御软件 (11第3章微点主动防御软件的主程序 (133.1启动/退出微点 (133.1.1启动微点 (133.1.2退出微点 (133.2软件的主界面 (143.2.1主界面结构及其说明 (143.2.2系统托盘图标 (16第4章软件设置 (184.1程序行为实时监控策略 (184.2可信程序设置 (204.3传统防火墙 (224.3.1传统防火墙设置 (224.3.2绑定MAC地址 (294.4程序访问网络策略设置 (2

11、94.4.1设置程序访问网络策略 (294.4.2智能识别设置 (324.5有害程序隔离 (324.5.1隔离区文件管理 (324.5.2隔离区设置 (344.6自启动项回收站 (354.7升级设置 (36第5章报警处理 (405.1有害程序的报警 (405.1.1已知有害程序报警及处理 (405.1.2未知有害程序报警及处理 (415.1.3漏洞攻击的报警及处理 (425.1.4可疑程序的报警及处理 (435.1.5发现远程安装程序的报警及处理 (445.1.6修改注册表的报警及处理 (455.2异常网络访问行为的报警及处理 (45第6章微点工具 (476.1可疑程序诊断 (476.1.1执

12、行可疑程序诊断 (476.1.2分析诊断结果 (476.1.3处理可疑程序 (496.2漏洞扫描 (516.2.1启动漏洞扫描 (516.2.2修补漏洞 (516.2.3导出漏洞信息列表 (526.3注册表修复 (526.4注册表保护 (536.5导入/导出微点主动防御软件设置 (54第7章进程分析 (577.1系统分析 (577.1.1进程综合信息 (577.1.1.1进程分类 (587.1.1.2进程综合信息的描述 (587.1.1.3进程综合信息的操作 (597.1.2系统自启动信息 (647.1.3模块/进程 (677.1.4系统信息 (697.2网络分析 (707.2.1进程网络信息

13、 (707.2.2IP流量图 (717.2.3端口流量图 (737.2.4进程流量图 (747.2.5传统防火墙信息 (75第8章日志分析 (778.1日志管理 (778.2安全日志 (798.2.1病毒日志 (798.2.2木马日志 (808.2.3溢出日志 (808.2.4蠕虫日志 (818.2.5网络入侵日志 (828.2.6异常网络访问日志 (838.2.7可疑程序日志 (848.2.8传统防火墙日志 (858.3系统日志 (858.3.1管理员日志 (868.3.2升级日志 (868.3.3进程启动日志 (878.3.4程序生成日志 (888.3.5注册表变更日志 (89第9章辅助功

14、能 (909.1修改注册信息 (909.2续费 (919.3查询剩余时间 (929.4密码设置 (92附录一常见问题解答 (93微点的安装和使用 (93注册、续费和升级 (94第1章 微点主动防御软件单机版著名反病毒专家刘旭针对当前网络新病毒日益泛滥、频繁肆虐,特征值扫描技术对新病毒防范始终滞后于病毒出现的现状,率先创立“监控并举、动态防护”主动防御体系,开创性提出主动防御产品的核心特征必须以具备动态仿真反病毒专家系统为先决条件,以自动准确判定新病毒为基本诉求,以程序行为监控并举为机制保障,并主持和领导东方微点科研人员依据这套体系,采用“程序行为自主分析判定”技术,成功研制了微点主动防御软件。

15、1.1 微点主动防御软件的重大技术创新1创立动态仿真反病毒专家系统:对病毒行为规律分析、归纳、总结,并结合反病毒专家判定病毒的经验,提炼成病毒识别规则知识库。模拟专家发现新病毒的机理,通过对各种程序动作的自动监视,自动分析程序动作之间的逻辑关系,综合应用病毒识别规则知识,实现自动判定新病毒,达到主动防御的目的。2自动准确地判定新病毒:分布在操作系统的众多探针,动态监视所运行程序调用各种应用编程接口(API的动作,自动分析程序动作之间的逻辑关系,自动判定程序行为的合法性,实现自动诊断新病毒,明确报告诊断结论;有效克服当前安全技术大多依据单一动作,频繁询问是否允许修改注册表或访问网络,给用户带来困

16、惑以及用户因难以自行判断,导致误判、造成危害产生或正常程序无法运行的缺陷。3程序行为监控并举:在全面监视程序运行的同时,自主分析程序行为,发现新病毒后,自动阻止病毒行为并终止病毒程序运行,自动清除病毒,并自动修复注册表。4自动提取特征值实现多重防护:在采用动态仿真技术的同时,有效克服特征值扫描技术滞后于病毒出现的缺陷,发现新病毒后自动提取病毒特征值,并自动更新本地未知特征库,实现“捕获、分析、升级”自动化,有利于对此后同一个病毒攻击的快速检测,使用户系统得到安全高效的多重防护。5可视化显示监控信息:对所监控程序行为的信息可视化显示,用户可随时了解计算机正在运行哪些程序,其中哪些是系统程序,哪些

17、是应用程序,还可进一步了解程序是何时安装,什么时候运行,运行时是否修改了注册表启动项,是否生成新的程序文件,程序是否具有自启动,程序由谁启动执行,程序调用了哪些模块,以及当前网络使用状况等等。用户直观掌握系统运行状态,并依据其分析系统安全性。既可用作系统分析工具,又可作为用户了解计算机系统的学习工具。1.2 微点主动防御软件的主要功能及其描述功能描述主动防御有害程序创立动态仿真反病毒专家系统,模拟专家发现新病毒的机理,自动识别新病毒,实现对病毒、蠕虫、木马、后门、间谍等有害程序的主动防御。智能诊断可疑程序根据程序行为,智能诊断可疑程序,发现系统潜在的威胁。动态追踪程序来源记录程序运行的加载过程

18、,显示加载时间、父进程、进程ID等信息,全面掌握程序来源。强大的溢出攻击防护能力 在windows系统漏洞未修复的情况下,微点主动防御软件能够有效检测到黑客利用windows系统漏洞进行的溢出攻击和入侵,实时保护计算机的安全。避免因为用户忘记修补系统漏洞给不法人员可乘之机。准确定位攻击源微点主动防御软件截获远程计算机的攻击后,能够准确记录远程计算机的IP地址,让被入侵者能够迅速准确锁定攻击者,并能够提供攻击计算机准确的地理位置,实现攻击源的全球定位。全面记录程序生成详细记录程序的生成过程,记录程序生成的时间、创建者等信息。直观显示网络信息全面掌握动态的网络信息,了解当前具有网络操作的所有进程信

19、息,包括本地和远端IP地址、端口状态、协议等等。随时掌握系统状态分类显示当前运行的程序列表,并对每个程序的描述、启动时间、所调用的模块、父进程、进程ID、命令行参数等进行详细显示。自动提取病毒特征发现新病毒后,自动提取病毒特征,自主完成本地版本的升级,实现“捕获、分析、升级”自动化,有利于对此后同一个病毒攻击的快速检测。发现系统存在漏洞漏洞扫描工具,扫描系统存在的已知漏洞,并自动给出漏洞补丁链接,方便用户及时修补漏洞。掌握系统自启动信息按启动方式的不同,分类显示系统自启动的详细信息,并提供注册表相应键值的快速自动定位,方便用户调整自启动策略。超强功能日志系统按进程启动、程序生成、注册表变更、系

20、统遭受攻击等不同分类,详细记录系统所经历的变化。第2章 安装和卸载微点主动防御软件2.1 微点主动防御软件的适用环境运行微点主动防御软件需要的计算机环境:硬件要求:处理器:Intel Pentium 450MHz或以上内存:128M以上硬盘:100M以上剩余空间适用的操作系统:M icrosoft Windows 2000/XP/2003/vista(32位语言支持简体中文,英文2.2 安装微点主动防御软件【第一步】将微点主动防御软件的安装光盘插入光盘驱动器,会自动进入安装界面;或者运行光盘根目录下的安装程序,启动微点主动防御软件的安装程序,打开如图1所示的语言选择窗口,选择一种语言后,点击“

21、下一步”,开始安装; 图 1【第二步】进入微点主动防御软件的安装向导如图2: 图 2【第三步】单击“下一步”按钮,出现【许可证协议】对话框,如图3。请用户仔细阅读“许可证协议”,接受“许可证协议”选择“同意”,否则选择“不同意”,退出安装程序; 图 3【第四步】选择“同意”后,单击“下一步”,继续安装,在打开的【客户信息】窗口(如图4中正确输入以下信息:用户名、公司名、产品序列号(随产品提供,序列号见说明书首页; 图 4【第五步】单击“下一步”按钮,指定微点主动防御软件的安装路径(如图5,若想更改安装路径,请直接点击“浏览”,在系统中选择所要的路径即可; 图 5【第六步】选择完安装路径单击“下

22、一步”,进入【选择程序文件夹】(如图6,用户既可以使用系统的默认程序文件夹名称Micropoint,也可以自定义程序文件夹名称。建议用户使用默认的程序文件夹名称; 图 6【第七步】单击“下一步”按钮,进入【开始复制文件】(如图7,【开始复制文件】窗口中显示了用户信息、安装路径以及程序组名称; 图 7【第八步】确认前面所做设置后,后按“下一步”,开始复制文件如图8所示; 图 8这个过程需要持续几分钟时间。第九步】程序初始化结束后,提示用户对微点主动防御软件进行初始设置(如图9。也可以直接单击“下一步”使用微点主动防御软件默认设置值,软件安装完成后,可以随时调整这些设置; 图9【第十步】单击“下一

23、步”进入【产品注册】窗口,根据提示信息进行注册(注册参看2.3【注册软件】,若暂时不想对软件进行注册,可单击“跳开”,继续进行软件的安装;建议您立即注册本软件,以便能实时升级。 图 10【第十一步】“注册”完成后,显示微点主动防御软件已安装完成如图11所示; 图 11【第十二步】单击“完成”,微点主动防御软件提示要求重新启动计算机(如图12,重新启动前,请关闭所有的应用程序,然后点击“是”重新启动计算机,完成微点主动防御软件的安装。 图 12注意:微点主动防御软件安装完成后,需要重新启动系统才能正常运行。2.3 注册软件请在线注册微点主动防御软件,注册后可以进行软件的升级。注册微点:【第一步】

24、注册前请检查网络,确保您的计算机已经连接到互联网上;【第二步】详细阅读【产品注册】详细信息区中提示信息,依据提示信息,正确输入各项内容(如图13; 图 13提醒:邮件帐号是必填项目,建议填写您经常使用的邮件帐号,以便您在注册时能够迅速及时收到东方微点注册服务器分发给您的确认码。【第三步】信息输入完成后,单击“注册”,请等待东方微点注册服务器返回信息:确认码;【第四步】请到您注册使用的邮箱或手机短信中获取东方微点注册服务器发出的确认码;【第五步】在如图14中输入“确认码”; 图 14【第六步】点击“确认”按钮,若确认码输入无误,微点主动防御软件提示如图15,表示软件已经成功注册。 图 15如果安

25、装过程中没有注册,安装完成后打开微点主动防御软件主界面,在【辅助功能】中单击“注册”标签页或点击系统任务栏的右键菜单中的“注册”,根据提示进行注册。2.4 卸载微点主动防御软件微点主动防御软件提供了自动卸载的功能,操作步骤如下:【第一步】运行【开始】Æ【程序】Æ【Micropoint】Æ【卸载微点主动防御软件】,打开【欢迎使用微点主动防御软件卸载向导】(如图16; 图 16【第二步】单击【下一步】,自动卸载与微点主动防御软件有关的所有程序,如图17; 图 17【第三步】卸载完成,微点主动防御软件提示(如图18“卸载本程序需重启,是否现在重启?”,单击“是”,重新启

26、动计算机,即可完全卸载微点主动防御软件。 另外,也可以从【控制面板】中的【添加/删除程序】中快速删除微点主动防御软件。第3章 微点主动防御软件的主程序3.1 启动/退出微点启动微点主动防御软件的两种方式:系统自启动和手工启动。1系统自启动:微点主动防御软件安装完毕,重新启动计算机后,微点主动防御软件以服务的形式加载启动,操作系统任务栏会出现一个图标,表示微点主动防御软件的主程序已经启动成功。2手工启动:微点主动防御软件主程序在退出时,重新启动需手动启动,启动方式有两种:z程序菜单启动单击【开始】【程序】【M icropoint】【微点主动防御软件】后,在系统任务栏出现一个图标,表明微点主动防御

27、软件主程序已经启动成功。z桌面快捷方式启动 鼠标右键点击系统任务栏中的图标,在弹出的菜单(如图19单击“退出”,托盘区的图标消失,表示微点主动防御软件已退出。微点主动防御软件退出后,将不再对系统提供安全保护。 图 193.2 软件的主界面微点主动防御软件为用户提供一个友好的、可操作性强的管理主界面,便于用户管理、设置监控模式、查看拦截日志,进一步分析和判断系统的安全性。启动微点主动防御软件主界面有三种方式:1桌面快捷方式启动:双击桌面快捷图标,打开微点主动防御软件的主界面。2程序菜单启动:点击【开始】【程序】【Micropoint】【微点主动防御软件】,快速启动主界面。3任务栏启动:z双击系统

28、任务栏中的微点图标,可迅速打开微点主动防御软件的主界面。 z用鼠标的右键点击系统任务栏的图标,在弹出的菜单中选择【主界面】,进入微点主动防御软件主界面。微点主动防御软件主界面结构及名称如图20所示: 图 20【菜单栏】通过菜单您可以迅速定位到各功能窗口。【工具栏】为方便用户使用提供了重要功能的快捷按钮:查看:查看进程综合信息,详细请参阅第七章的【进程综合信息】。诊断:诊断当前系统中的可疑程序。详细请参阅第六章的【诊断可疑程序】。扫描:扫描并报告系统当前存在的已知漏洞。详细请参阅第六章的【系统漏洞扫描】。设置:迅速打开程序行为实时监控策略设置窗口。详细请参阅第四章的【程序行为实时监控】。升级:更

29、新微点主动防御软件特征库、程序。【界面模式切换按钮】用于进行微点主界面模式切换的按钮,微点主界面有两种模式:简约模式(如图21、标准模式(默认。 图 21【智能窗口】微点主动防御软件的智能窗口实时显示计算机与外界网络通讯状态,并通过提供的IP地址的地理信息库,可以准确定位计算机与互联网络中通讯计算机的地理位置。用鼠标点击智能窗口中的远端地址,直接可以定位到“进程网络信息”中正在访问远端地址的进程上。【标签栏】显示已打开的标签页的名称列表。【标签页操作按钮】: 【标签页列表显示按钮】:点击该按钮,在下拉菜单中显示当前标签栏中所有已打开的标签页的列表,如图22: 图 22 【标签页分离按钮】:点击

30、该按钮,可将当前标签页从主界面中分离出来,便于用户在不同标签页中查看、对比、分析、编辑标签页详细信息区内的信息。鼠标右键单击标签栏中的当前标签页的名称也可以将当前标签页从主界面分离出来,您可以根据习惯选择适宜的操作方式。 【标签页关闭按钮】:关闭标签栏中的当前标签页。双击标签栏中的当前标签页的名称也可关闭当前标签页,你可以根据习惯选择适宜的操作方式。【主功能区】进行功能设置及操作的区域,与主菜单栏完成同样的管理任务。【功能区隐藏按钮】点击该按钮可以将功能区隐藏。【详细信息区】显示标签页包含的详细信息。【状态栏】显示微点主动防御软件当前版本号及更新时间。微点主动防御软件启动后,会在系统托盘处显示

31、微点主动防御软件的图标,托盘图标的不同状态表示微点主动防御软件的不同的监控状态。系统托盘图标 监控状态:微点主动防御软件正在监控系统中的进程。 暂停状态:暂时停止微点主动防御软件的实时监控,在此状态下微点主动防御软件不对系统提供防护功能 报警状态:提示用户微点主动防御软件监测到系统中有害程序或可疑程序。过期状态:提示微点主动防御软件已经过期,此时必须重新购买新的微点主动防御软件重新安装或购买续费号进行续费才能继续使用。正在升级:提示微点主动防御软件正在进行升级。升级完成:表示微点主动防御软件已经升级完成,正在退出升级程序。右键菜单另外,为了方便用户的操作,微点主动软件在系统托盘处提供了丰富的右

32、键操作功能。鼠标右键单击系统托盘处的图标,打开右键菜单,如图23: 图 23【启动/暂停】启动或暂时停止微点主动防御软件的实时监控。【启动/停止防火墙】启动或停止微点主动防御软件的防火墙功能,包括:传统防火墙功能和程序访问网络的监控功能。默认情况下,不开启防火墙功能。【注册】单击“注册”,进入产品注册向导,进行软件注册。详细参阅第二章中的【注册软件】。【升级】用于已知特征库、程序版本的立即升级,在注册成功并设置好升级方式以后,选择并执行此选项,若网络连接正常,程序会立即执行升级。【续费】用户在这里通过简单的操作就可以实现续费,以获得继续使用微点主动防御软件的权利。详细参阅第九章【辅助功能】中的

33、【续费】。【报警信息】显示计算机本次启动后微点主动防御软件的报警信息记录,报警信息窗口内的信息将在关机时清除。如图24: 图 24 【主界面】打开主程序窗口,双击任务栏图标同样可以打开主程序窗口。【退出】退出微点主动防御软件,退出后微点主动防御软件不再对系统提供安全保护。第4章 软件设置4.1 程序行为实时监控策略微点主动防御软件是在对病毒行为规律分析、归纳、总结,并结合反病毒专家判定病毒的经验的基础上,提炼成病毒识别规则知识库,创立了动态仿真反病毒专家系统。微点主动防御软件模拟专家发现新病毒的机理,通过分布在操作系统中的众多探针,动态监视所运行程序调用各种应用编程接口(API的动作,自动分析

34、程序动作之间的逻辑关系,然后自动判定程序行为的合法性,实现自动诊断新病毒,明确报告诊断结论,实时发现并拦截新有害程序(木马、蠕虫、后门、间谍、病毒,同时自动提取新有害程序的特征码,自动更新本地特征库。微点主动防御软件以服务的形式启动,在操作系统启动时,在登陆Windows系统前,微点主动防御软件就开始监控系统所有进程,为系统提供安全防御保障。在【安全防护与策略】中选择【程序行为实时监控策略】如图25: 图 251发现有害程序处理方式微点主动防御软件在发现有害程序时有三种处理方式:自动处理、采用静默方式、询问后处理,默认选项是“询问后处理”。z自动处理“自动处理”是指微点主动防御软件监控到系统中

35、的有害程序时,弹出报警信息,提示用户:发现有害程序,并已经作出处理。z采用静默方式“静默方式”是指微点主动防御软件监控到系统中的有害程序时,不弹出任何提示信息,自动对有害程序进行处理。z询问后处理“询问后处理”是指微点主动防御软件监控到系统中的有害程序时,弹出报警信息提示框,提示用户发现有害程序,并由用户选择处理方式,弹出的报警窗口按照预先设定的“询问等待时间”保留一定的显示时间,以便用户查看报警窗口的信息。该询问等待时间值的设置见【设置询问等待时间】。2设置报警窗口的询问等待时间询问等待时间是指有害程序报警窗口的显示时间。如果您选择了【询问后处理】,需要确定“询问等待”时间,微点主动防御软件

36、默认的“询问等待”时间是48秒,用户可根据情况自己定制10-300秒内的任意时间值;然后单击“保存”按钮,即可完成设置。3上报截获的未知有害程序样本对于确认删除的未知有害程序样本,微点主动防御软件提供三种处理方式:自动传送、智能询问处理、不传送,默认的处理方式是“自动传送”。z自动传送【自动传送】即微点主动防御软件捕获未知有害程序后,不出现任何提示信息,自动将捕获到的未知有害程序样本提交给东方微点公司。z智能询问处理【智能询问处理】即微点主动防御软件捕获到未知有害程序时,弹出报警信息提示框,询问用户是否将未知有害程序样本提交给东方微点公司。z不传送【不传送】即微点主动防御软件对截获到的未知有害

37、程序的样本不进行提交。4锁定系统时间“锁定系统时间”即保护系统时间不被修改。启动“锁定系统时间”后,则禁止对系统时间进行修改设置,若需要修改系统时间,需要去掉“锁定系统时间”前的勾选,然后点保存后,再进行更改设置。默认状态下,不启用此功能,用户可根据需要选择是否锁定系统时间。5显示启动界面微点主动防御软件在每次启动时,会弹出一个动态启动界面,提示用户已经启动微点主动防御软件,用户可根据情况自行选择启动时是否显示该启动界面。6显示动态托盘图标“显示动态托盘图标”即在系统的任务栏区,以动态方式(黄球循环滚动显示微点主动防御软件的托盘图标,若取消此勾选,则以静态方式显示托盘区的软件微点主动防御软件的

38、托盘图标,用户可自行选择是否显示动态托盘图标。7保存设置修改设置后,请注意点击“保存设置”按钮,以保存您改变的设置。4.2 可信程序设置在主功能【安全与防护策略】中点击【程序行为实时监控策略】,在打开的标签页中单击“可信程序设置”按钮,打开【可信程序】窗口,如图26: 图 26为满足用户的不同操作习惯,对【可信程序】信息区的操作提供两种操作方式:右键菜单操作方式和按钮操作方式。这两种操作方式具有同样的功能,用户可根据自身习惯自行选择适宜的操作方式。【可信程序】的操作包含:添加、修改、删除。设置可信程序1添加可信程序【第一步】在【可信程序】窗口中,单击“添加”按钮,或单击鼠标右键选择“添加策略”

39、,打开如图27所示的【添加可信程序】窗口,选中要添加为可信程序的程序文件。 图 27【第二步】选择可信程序类型:选中程序后,单击“打开”按钮,微点主动防御软件提示如图28,要求对选中的程序选择可信程序类型。 图 28z可信任程序即由用户认可的一切可信任程序,对于类型为可信任程序的可信程序,微点主动防御软件的动态仿真反病毒专家系统对其以可信模式进行监控。z允许修改程序即由用户认可允许所选程序修改程序文件的行为的可信任程序。对于类型为修改程序行为的可信程序,微点主动防御软件的动态仿真反病毒专家系统对其进程以可信任模式进行监控。注意:对于微点主动防御软件已识别为正常软件或已经判定为已知有害程序的程序

40、禁止加入可信程序中。【第三步】选择完可信程序类型后,单击“确定”,完成可信程序的添加。2修改可信程序类型在【可信程序】窗口中,选中要修改的可信程序后,单击“修改”按钮,或单击右键菜单中的“修改策略”,则弹出如图29所示的对话框。重新选择可信程序的类型,然后点击【确定】,修改完成。 图 293删除可信程序在【可信程序】窗口中,选择要删除的可信程序后,单击“删除”按钮,或单击右键菜单中的“删除策略”,则将所选程序从【可信程序】列表中删除。单击右键菜单中选择“全部删除”,则将【可信程序】列表中的所有策略全部删除。4.3 传统防火墙微点主动防御软件提供的传统防火墙实时监控任何网络连接,过滤不安全的服务

41、,减少计算机被攻击的风险,为计算机系统提供更全面的保护。在【安全与防护策略】中单击【传统防火墙设置】,打开传统防火墙设置窗口,如图30所示: 图 301传统防火墙默认规则包微点主动防御软件提供了五个规则包供用户选择,用户可以根据实际使用环境选择不同的规则包,传统防火墙默认使用的规则包为:规则包(一。为了确保用户安全,微点主动防御软件提供的五个默认规则包不允进行任何更改。用户可以根据自己的需要,自行编辑定义新规则包,也可以采用另存方式,在微点主动防御软件提供的默认规则包的基础上编辑自己的防火墙规则策略。规则包一:开放网络,不对进出数据包做任何限制。规则包二:禁止网络,禁止任何数据包进出。规则包三

42、:允许本机连接共享,适用于局域网内部用户。规则包四:禁止远端计算机和局域网内的机器访问本机的共享服务,禁止连接的局域网的其他机器看到本主机,不允许别的机器探测本主机等,适用于普通单机用户。规则包五:适用于使用互联网的用户。2使用防火墙规则包z新建规则包在“规则包列表”中,单击右键,选择“新建”,在打开的窗口中输入规则包名称及其对该规则包的描述信息后,点击“确定”,则新建一个空的规则包。z应用规则包在“规则包列表”中,选择要应用的规则包,单击右键,选择“应用”,或者直接点击快捷应用列表的规则包,此时,提示“设置成功”的对话框,表示应用新规则包成功。z导入规则包在“规则包列表”中,单击右键,选择“

43、导入”,在打开的对话框中选择要导入的规则包,微点主动防御软件的传统防火墙规则包文件的格式为rpk格式。z导出规则包在“规则包列表”中,选择要导出的规则包,双击该规则包,打开“编辑规则包”窗口,在编辑窗口中单击图标,打开“导出规则包到文件”的对话框,选择保存规则包的本地路径后,命名导出的规则包,单击“保存”按钮,导出规则包完成。z另存规则包“另存规则包”即将已存在的规则包重命名后作为一个新的规则包加到“规则包列表”中,对于禁止修改的默认规则包,用户可以采用“另存”规则包后,对其进行更改。z修改规则包双击“规则包列表”中的某一规则包,或者单击右键菜单列表中“修改”,打开规则包的编辑窗口,可对规则包

44、的各项规则进行修改。注:微点的默认规则包不允许进行编辑修改,用户可以采用“另存”规则包后,对其进行更改。z删除规则包删除选定的规则包。3编辑防火墙规则策略双击“规则包列表”中的规则包名称,打开“编辑规则包”窗口如图31: 图 31z更改描述信息单击“编辑规则包”窗口中的“描述”按钮,在打开的“规则表描述”对话框中修改对规则包的描述信息。z新建规则策略在策略列表中打开右键菜单,选择“新建策略”或者单击快捷图标,打开如图32所示窗口。 图 32【第一步】填写规则名称及其描述信息。【第二步】设置规则的条件:选择规则的数据包的协议类型:TCP、UDP、IGMP、ICMP、IP。【第三步】选择规则对哪个

45、方向的数据包有效:发送、接收、双向。【第四步】设置端口和地址。【第五步】设置对规则的处理:拦截和放行。【拦截】阻止该数据包进入您的计算机。【放行】允许该数据包进入您的计算机。【报警】若勾选该项则会记录拦截或放行的数据包进出您的计算机时的信息,详细信息请参看【传统防火墙信息】。【记日志】若勾选该项,则记录拦截或放行的数据包的信息记录到【传统防火墙日志】中。z设置IP地址段单击快捷图标按钮,打开“IP地址段”的设置窗口如图33所示,设置传统防火墙组策略的IP地址段。 图 33z设置端口段单击快捷图标,打开“端口段”的设置窗口,如图34所示,设置传统防火墙组策略的的端口段。 图 34z导入规则策略即

46、导入微点主动防御软件默认的规则,单击右键菜单中的“导入策略”或者单击快捷图标,打开如图35所示的窗口,从微点主动防御软件提供的默认规则表(左边中移入要导入的策略,点击“确定”按钮,将策略导入到传统防火墙规则列表中。微点主动防御软件对应用程序访问不同地址和端口设置了两条特殊规则即:允许可识别程序通过(TCP、允许可识别程序通过(UDP在这里提及到的可识别程序是指:已知程序、可信程序、以及“程序访问网络策略”中允许访问网络的应用程序。对于这些可识别程序,可以不受后面规则中对端口及访问地址的限制,可以任意访问任何地址和端口。建议:在您创建自己的规则包时,微点建议您至少导入“允许可识别程序通过(TCP

47、”和“允许可识别程序通过(UDP”两条规则。 图 35z修改规则策略单击右键菜单中的“修改策略”或者单击快捷图标,对所选策略进行修改。z调整规则策略的位置在策略列表中选择要移动的规则策略,单击鼠标右键选择上移(或者是下移 按钮对策略位置进行更换,也可以单击快捷图标(:上移选定的规则。:下移选定的规则。完成同样的功能。z删除规则策略选择要删除的规则策略后,单击右键菜单中“删除策略”,或者单击快捷按钮,将所选策略删除。z保存规则包策略设置完规则包策略后,点击“保存”按钮或者单击快捷图标,保存对当前规则包的编辑修改。z取消对规则包策略的更改 点击“取消”按钮或者单击快捷图标,则放弃对当前规则包所做的

48、修改。4恢复传统防火墙的默认设置单击【传统防火墙设置】标签页上的“恢复默认设置”,则恢复到传统防火墙的初始设置。微点主动防御软件的“传统防火墙”提供了绑定MAC地址的功能,通过将IP地址与MAC地址绑定,防御局域网内的Arp欺骗。在【传统防火墙设置】窗口中,双击“绑定mac地址”按钮,打开如图36所示窗口 图 36启用IP与MAC地址的绑定单击“刷新网关”和“查找所有主机”搜寻局域网内的其他机器的IP地址以及其对应的MAC地址的列表,点击中间的方向按钮,将其移动到左边的列表,勾选“启用绑定”,点击“应用”按纽,实现对左边列表中的IP与MAC地址的绑定。您也可以在两边的列表中,点击右键菜单中的“

49、添加”,手工添加要IP地址和MAC地址,进行绑定。或者点击右键菜单中的“修改”或“删除”,对列表中的信息进行更改和删除。4.4 程序访问网络策略设置【程序访问网络策略】是对系统中试图访问网络的进程设置访问网络规则,保证系统的网络安全。在【安全防护与策略】中单击【程序访问网络策略】,打开【程序访问网络策略】标签页,如图37所示: 图 37【程序访问网络策略】信息区的操作包含:添加、删除、修改、刷新。1添加策略【第一步】进程选择:单击“添加”按钮,提示如图38,在系统中选择要添加的应用程序。 图 38【第二步】设置规则:添加应用程序后,单击“打开”,提示如图39:对所添加的程序设置网络访问规则。规

50、则有3种动作: 图 39z允许访问网络允许所选程序访问网络;z不允许访问网络禁止所选程序访问网络;z访问网络时询问当所选程序访问网络时系统会弹出警示框如图40,由用户选择是否允许该程序访问网络。 图 40【第三步】单击“确定”,完成程序规则的添加。2修改程序访问网络策略在程序规则信息区中,选择要修改的规则,直接点击“修改”按钮或点击鼠标右键选择“修改策略”,则弹出【修改程序规则】对话框(如图41。重新设置新的策略,然后点击【确定】,修改完成。 图 413删除程序访问网路策略在程序规则信息区中,选择要删除的规则,直接点击“删除”按钮或点击鼠标右键选择“删除策略”,删除对所选程序的网络访问策略。“

51、智能识别”是通过微点主动防御软件的动态仿真反病毒专家系统,自动识别并处理系统中进程访问网络的行为。正常进程访问网络的行为,直接放行,可疑进程访问网络的行为,微点主动防御软件弹出报警,提示用户是否允许该进程访问网络。打开【程序网络访问策略】标签页,用户可根据实际情况选择对系统中进程的网络访问行为是否采用“智能识别”,微点主动防御软件对系统中进程的网络访问行为,默认设置为“智能识别”,若取消“智能识别”,则系统中任意进程在进行网络访问时,微点主动防御软件都会进行报警询问。4.5 有害程序隔离微点主动防御软件对于确认删除的有害程序直接将其删除到微点主动防御软件的【有害程序隔离】区,放置在【有害程序隔

52、离】区中的文件都经过特殊格式保存,不会对系统造成任何影响。单击【安全与防护策略】中的【有害程序隔离】,打开【有害程序隔离】标签页,如图42,对隔离区的文件进行备份、恢复、删除以及样本上报等管理。 图 421备份隔离文件在有害程序隔离信息列表中选择要备份的隔离文件后,单击鼠标右键,打开右键菜单中选择“另存为”,选择文件的保存路径后,单击“确认”按钮,备份所选的隔离文件。2恢复隔离文件在有害程序隔离信息列表中选择要恢复的隔离文件后,点击“恢复所选”按钮或者单击鼠标右键在列表中选择“恢复所选”,则将所选的隔离文件恢复到文件删除前所在的位置。在有害程序隔离信息列表中若选择按钮“全部恢复”,则将有害程序

53、隔离信息列表中的所有文件恢复到其原先的位置。重要提示:建议用户只将那些准确确认是微点主动防御软件误报的隔离文件进行恢复。3删除隔离文件在有害程序隔离信息列表中,选择要删除的隔离文件,点击按钮“删除所选”或在右键菜单中选择“删除所选”,可将所选的隔离文件彻底删除。要全部清除隔离区内的文件,在列表中单击按钮“全部删除”。4样本上报“样本上报”即将隔离列表中的病毒文件上报给东方微点公司,在有害程序隔离信息列表中,选择要上报的隔离文件,在右键菜单中选择“样本上报”,可将所选的隔离文件直接上报到东方微点公司。5刷新列表在有害程序隔离信息列表中单击“刷新”按钮,对有害程序隔离信息列表进行刷新操作,即可显示

54、当前隔离区列表中的所有文件。单击【有害程序隔离】中的“设置”按钮,弹出【隔离区大小设置】窗口,如图43,用户可根据情况自行设置隔离区空间的大小以及隔离区的存储路径。 图 43设置隔离区1设置隔离区存储路径单击“浏览”按钮,在磁盘中选择隔离文件的存储位置。2隔离区尺寸的设置z自动调整隔离区大小默认的设置方式,即隔离文件可存储在磁盘自由使用区内,隔离区空间的大小只跟磁盘的自由使用区的大小有关。z限定隔离区大小即对隔离区的大小作限制,隔离文件只能存储在限定的空间中,拖动隔离区尺寸设置图中的分割线来设置隔离区、自由使用区、分区保留区的大小。隔离区用来存储被隔离有害程序的空间。自由使用区用于扩充隔离区的

55、使用空间。分区保留区磁盘保留的空间。当前分区空闲空间隔离区所在的磁盘分区的剩余空间。3保存设置单击“应用”按钮,保存对隔离区更改设置。注意:当隔离区内各文件字节之和超过隔离区空间后,微点自动删除最早的隔离文件,放入新的隔离文件。4.6 自启动项回收站【自启动项回收站】是用于存储从“系统自启动信息”中删除的自启动文件或者注册表项的空间,用户可根据情况,对“自启动项回收站”的文件或注册表项作恢复或彻底清除的操作。单击【安全防护与策略】中的【自启动项回收站】,打开【自启动项回收站】标签页,如图44所示: 图 44【自启动项回收站】的操作包含:删除、备份(文件另存、恢复,刷新。1删除自启动项删除自启动项:在【自启动项回收站】列表中,选择要删除的自启动项目,单击“删除所选”按钮,或者单击右键菜单中“删除所选”,删除选定的自启动项。删除所有自启动项:在【自启动项回收站】列表中,单击“全部删除”按钮,删除当前列表中的所有自启动项。2备份(文件另存自启动项保存自启动项:在【自启动项回收站】列表中,选定要备份保存的自启动项目,单击右键菜单中的“将文件另存”,在磁盘中选择文件的存储路径后,点击“保存”按纽。3恢复自启动项恢复自启动项:在【自启动项回收