微点杀毒软件技术介绍.pptVIP

微点杀毒软件 目录 微 点 杀 毒 软 件 介 绍 微点杀毒软件，是北京东方微点信息技术有限责任公司自主研发的第二代反病毒软件，除传统的特征值扫描方式外，另外融合了国际领先的虚拟机技术和启发式扫描技术。微点杀毒软件主要针对日益凸显的病毒、木马、恶意软件的检测而诞生，对于各种病毒、木马变种具有很好的检测能力。 微点杀毒软件具有强大的感染型修复能力、寄生类木马清除/修复技术、多态病毒检测能力。 软件介绍 微点杀毒软件介绍 软件环境需求 硬件要求： 处理器：Intel Pentium Ⅱ 450MHz或以上 内 存：256M以上 硬 盘：300M以上剩余空间 操作系统： Windows 2000/XP/2003/VISTA/2008（32位） Win 7 (32位/64位) 支持语言： 简体中文和英文 软件介绍 病 毒 的 现 状 加壳、加花-----黑客利用加壳加花等工具对病毒木马文件进行修改，修改后改变了病毒木马本身的文件特征，使得反病毒软件无法检测出来。 加快变种速度-----病毒木马为了使其存活率更高，逃避杀毒软件的检测，采用快速变种的方式，即在短时间内产生一个新的变种文件，病毒的变种速度赶超反病毒软件的特征升级速度，使得反病毒软件无法检测出来。 例：熊猫烧香当时的危害如此大，一个原因就是其快速变种，杀毒软件无法及时检测其变种文件。 病毒的现状 病毒反安全软件招数 替换系统文件-----病毒木马的趋势是增强隐蔽性，采用替换系统文件的方法可防止被杀毒软件检测或者被删除。 目前较多的病毒木马会替换系统文件，杀毒软件往往会报而不删，或者删除了后，造成系统崩溃、无法启动、系统功能丢失。 例：“蝗虫军团”木马会将系统的rpcss.dll替换，如果该文件丢失会造成系统的打印机功能、复制粘贴功能等功能失效。 病毒的现状 病毒反安全软件招数 病毒的现状 病毒反安全软件招数 感染正常程序文件----感染也就是通过一个病毒程序，将系统内的正常文件附加上病毒的代码，使得系统内的文件都变成病毒文件。 用户往往是在中毒后重新安装系统，但是运行D、E、F等盘符下的文件后又中毒了，这就是感染型一个比较常见的现象。杀毒软件如果不能清除病毒代码（修复功能），用户为了使用自己的数据，可能就不会删除被感染文件，使得病毒常驻系统内。 多态病毒方式感染---这是一种特殊的感染方式，病毒在感染每一个文件的时候，其感染的代码是通过随机加密生成的，所以指望能够从这些代码中找到固定的病毒特征码是徒劳的，也就是由于这种多态（变形）病毒的出现，使利用简单特征码进行病毒检测的技术走到了尽头。 简单的说，多态病毒在感染文件的时候，感染10个文件，那么这10个文件感染的代码都不一样。所以杀毒软件无法通过一个固定的特征码来检测。 病毒的现状 病毒反安全软件招数 微点杀毒软件的解决方案 微点解决方案 微点杀毒来支招 加壳、加花-----针对病毒常用的加壳、加花技术手段为出发点，通过微点杀毒软件的虚拟机脱壳技术来达到对加壳、加花病毒木马变种文件有效检测的目的。 加快变种速度-----针对病毒木马的快速变种特性，从样本及其变种文件中寻找共同特性，从共同特性中提取一段识别特征值，结合虚拟机、启发式技术达到检测病毒木马变种文件的目的。 替换系统文件-----针对病毒木马替换系统文件的特性，微点杀毒采用了“系统核心文件寄生类木马清除/修复技术”，在不破坏系统原功能以及保障系统稳定性的同时，实现清除病毒的目的。 微点解决方案 微点杀毒来支招 感染系统内文件----通过研究感染型病毒感染文件的方式，研究一套修复算法，通过微点杀毒软件强有力的修复功能，在保证用户系统内文件的完整性和可用性，清除病毒代码。 多态病毒方式感染---多态病毒并不是无懈可击，微点杀毒软件在解决多态病毒时，采用虚拟机解密技术，在解密后准确查找病毒感染代码，将其清除。 微 点 杀 毒 功 能 特 点 功能特点 微点杀毒技术特点 基API级别的虚拟机脱壳技术 给壳提供所需要的条件（比如windows API），使其在虚拟环境内自行解密，再针对解密后的文件进行检测，实现单变种高查杀率。 基于虚拟机的动态启发式技术（动态检测） 通过虚拟机技术对可疑文件执行所需要的API规则与规则组对程序进行识别，从而判断可疑文件是否属于病毒木马。 基于虚拟机行为分析的嗅探式启发扫描技术（静态检测）