微点杀毒软件及技术介绍

微点杀毒软件及技术介绍第1页/共34页微点杀毒软件第2页/共34页目录微点杀毒软件介绍病毒的现状微点杀毒软件的解决方案微点杀毒软件功能特点微点杀毒软件的优点第3页/共34页微点杀毒软件介绍第4页/共34页

微点杀毒软件，是北京东方微点信息技术有限责任公司自主研发的第二代反病毒软件，除传统的特征值扫描方式外，另外融合了国际领先的虚拟机技术和启发式扫描技术。微点杀毒软件主要针对日益凸显的病毒、木马、恶意软件的检测而诞生，对于各种病毒、木马变种具有很好的检测能力。

微点杀毒软件具有强大的感染型修复能力、寄生类木马清除/修复技术、多态病毒检测能力。软件介绍微点杀毒软件介绍第5页/共34页软件环境需求硬件要求：处理器：IntelPentiumⅡ450MHz或以上内

存：256M以上硬

盘：300M以上剩余空间操作系统：Windows2000/XP/2003/VISTA/2008（32位）Win7(32位/64位)支持语言：简体中文和英文软件介绍第6页/共34页单机版产品正式版销售版盒装版OEM版免费版奖励1年版奖励3年版免费版体验版预升级版版本介绍第7页/共34页【微点杀毒软件】正式版说明(参看帮助）特别说明：【微点杀毒软件】3年期盒装版自带180天微点主动防御软件体验版卡片。【微点杀毒软件】光盘中【微点杀毒软件】安装文件夹在根目录下

mpav，安装程序名称mpsetup.exe【微点杀毒软件】安装光盘中自带32位【微点主动防御软件】安装程序，光盘根目录下mp\x86目录下，安装程序名称mpsetup.exe产品介绍第8页/共34页版本介绍使用【微点杀毒软件】光盘自动播放功能安装【微点杀毒软件】，安装完成后，如果是32位操作系统（或64位win7系统）且未安装微点主动防御软件，安装向导会提示用户是否继续安装【微点主动防御软件体验版】如图：第9页/共34页默认安装路径：C:\ProgramFiles\MPAV安装目录说明：软件日志：MP1；病毒库：MP3；隔离区：MP7（文件索引目录）和MP14加密的隔离文件）；换肤：MP34正常运行时的启动的程序：MPAVSVC.EXE(服务）MPAVSVC2.EXE(监控)、MPAVMON.EXE（托盘）主界面：MPAVMAIN.EXE右键扫描：MPAVSCAN.EXE（正常情况下启动）MPAVSCANA.EXE(服务未启动的情况下启动扫描时启动此程序）日志：MPAVLOG.EXE日志文件mp100094.con隔离区程序：MPAVQUAR.EXE程序介绍第10页/共34页注册和升级正式版序列号策略正式版序列号：序列号+升级id正式版注册唯一标识：序列号+升级id重装软件，自动读取序列号和升级id。升级策略服务器上的同一个版本，允许客户端同一个序列号升级三次。如果同一个版本升级超过三次，则升级时，会提示“用户合法性验证失败。”第11页/共34页病毒的现状第12页/共34页加壳、加花-----黑客利用加壳加花等工具对病毒木马文件进行修改，修改后改变了病毒木马本身的文件特征，使得反病毒软件无法检测出来。加快变种速度-----病毒木马为了使其存活率更高，逃避杀毒软件的检测，采用快速变种的方式，即在短时间内产生一个新的变种文件，病毒的变种速度赶超反病毒软件的特征升级速度，使得反病毒软件无法检测出来。

例：熊猫烧香当时的危害如此大，一个原因就是其快速变种，杀毒软件无法及时检测其变种文件。病毒的现状病毒反安全软件招数第13页/共34页替换系统文件-----病毒木马的趋势是增强隐蔽性，采用替换系统文件的方法可防止被杀毒软件检测或者被删除。

目前较多的病毒木马会替换系统文件，杀毒软件往往会报而不删，或者删除了后，造成系统崩溃、无法启动、系统功能丢失。

例：“蝗虫军团”木马会将系统的rpcss.dll替换，如果该文件丢失会造成系统的打印机功能、复制粘贴功能等功能失效。病毒的现状病毒反安全软件招数第14页/共34页病毒的现状病毒反安全软件招数感染正常程序文件----感染也就是通过一个病毒程序，将系统内的正常文件附加上病毒的代码，使得系统内的文件都变成病毒文件。

用户往往是在中毒后重新安装系统，但是运行D、E、F等盘符下的文件后又中毒了，这就是感染型一个比较常见的现象。杀毒软件如果不能清除病毒代码（修复功能），用户为了使用自己的数据，可能就不会删除被感染文件，使得病毒常驻系统内。第15页/共34页多态病毒方式感染---这是一种特殊的感染方式，病毒在感染每一个文件的时候，其感染的代码是通过随机加密生成的，所以指望能够从这些代码中找到固定的病毒特征码是徒劳的，也就是由于这种多态（变形）病毒的出现，使利用简单特征码进行病毒检测的技术走到了尽头。

简单的说，多态病毒在感染文件的时候，感染10个文件，那么这10个文件感染的代码都不一样。所以杀毒软件无法通过一个固定的特征码来检测。病毒的现状病毒反安全软件招数第16页/共34页微点杀毒软件的解决方案第17页/共34页微点解决方案微点杀毒来支招加壳、加花-----针对病毒常用的加壳、加花技术手段为出发点，通过微点杀毒软件的虚拟机脱壳技术来达到对加壳、加花病毒木马变种文件有效检测的目的。加快变种速度-----针对病毒木马的快速变种特性，从样本及其变种文件中寻找共同特性，从共同特性中提取一段识别特征值，结合虚拟机、启发式技术达到检测病毒木马变种文件的目的。替换系统文件-----针对病毒木马替换系统文件的特性，微点杀毒采用了“系统核心文件寄生类木马清除/修复技术”，在不破坏系统原功能以及保障系统稳定性的同时，实现清除病毒的目的。第18页/共34页微点解决方案微点杀毒来支招感染系统内文件----通过研究感染型病毒感染文件的方式，研究一套修复算法，通过微点杀毒软件强有力的修复功能，在保证用户系统内文件的完整性和可用性，清除病毒代码。多态病毒方式感染---多态病毒并不是无懈可击，微点杀毒软件在解决多态病毒时，采用虚拟机解密技术，在解密后准确查找病毒感染代码，将其清除。第19页/共34页微点杀毒功能特点第20页/共34页功能特点微点杀毒技术特点基API级别的虚拟机脱壳技术

给壳提供所需要的条件（比如windowsAPI），使其在虚拟环境内自行解密，再针对解密后的文件进行检测，实现单变种高查杀率。基于虚拟机的动态启发式技术（动态检测）通过虚拟机技术对可疑文件执行所需要的API规则与规则组对程序进行识别，从而判断可疑文件是否属于病毒木马。基于虚拟机行为分析的嗅探式启发扫描技术（静态检测）

通过虚拟机中对可疑文件进行反编译，检测该可疑文件API调用情况，通过调用情况进行分类，分类后再进行有针对性的进行细度识别，从而准确报警出文件的可疑程度。第21页/共34页功能特点微点杀毒技术特点基于虚拟机的多态病毒清除技术

对病毒的多态加密算法通过虚拟机进行解密，在解密后准确查找病毒感染代码，针对各类感染方式使用修复模式，对被感染文件进行高效率清除。

基于病毒免杀特性的对抗技术

从样本及其变种文件中寻找共同特性，在共同特性中提取一段识别特征值，结合虚拟机、启发式技术达到检测病毒木马变种文件的目的。第22页/共34页功能特点微点杀毒技术特点系统核心文件寄生类木马清除/修复技术

针对当前病毒发展趋势使用的特殊解决方案，可以有效的清除被诸如机器狗等木马感染的系统文件，达到不对系统原功能破坏且清除病毒的目的。第23页/共34页微点杀毒软件优点第24页/共34页优点内存占用少微点杀毒软件在默认开启状态下有3个进程，3个进程总共占用内存10M左右与其他几款安全软件对比：第25页/共34页优点扫描速度快微点杀毒软件引擎采用最优算法，可以快速识别文件，使微点杀毒软件的扫描速度很快。与其他几款安全软件对比：第26页/共34页优点扫描深度深微点杀毒软件深入文件内部进行扫描，从内部进行扫描，以确定文件的安全性。(备注：扫描文件数变多是因为杀毒软件可以深入到文件内部去扫描相关资源文件)与其他几款安全软件对比：第27页/共34页优点脱壳能力强微点杀毒软件采用虚拟机技术，具有很好的脱壳检测能力，下面做了一个测试，将一个已知样本，分别加入20种不同的壳，6款安全软件扫描对比。文件总数：21个与其他几款安全软件对比：第28页/共34页优点感染型修复能力强杀毒软件针对感染型病毒修复能力强弱也是衡量一个产品好坏的标准，下面测试是针对目前常见的感染型方式进行一个测试对比。与其他几款安全软件对比：（感染文件不同类型19个）第29页/共34页优点病毒检测能力好本测试数据采集于卡饭论坛扫描测试板块，由第三方卡饭论坛网友进行的扫描测试，反映微点杀毒软件对病毒木马检测的能力。第30页/共34页优点病毒检测能力好本测试数据采集于卡饭论坛扫描测试板块，由第三方卡饭论坛网友进行的扫描测试，反