微点杀毒软件
微点杀毒软件简介微点杀毒软件是由北京东方微点信息技术有限责任公司自主研发,具有完全自主知识产权的第二代杀毒软件。微点杀毒软件主要针对日益凸显的病毒、木马、恶意软件的检测而诞生,对于各种病毒、木马变种具有很好的检测能力。微点杀毒软件除了采用传统的特征值扫描技术外,还融合了国际领先的虚拟机技术和启发式扫描技术,不仅能够查杀已知病毒,还可以针对未知病毒进行检测。同时还具有强大的感染型修复能力、寄生类木马清除/修复技术、多态病毒检测能力,可以全面有效地保障用户的信息安全。
微点杀毒软件的技术特点微点杀毒软件主要针对目前流行的病毒、木马做出的一个网络安全解决方案,其采用了国际领先的虚拟机技术和启发式技术,可以有效检测多种加壳程序以及检测未知病毒,主要有以下技术特点:
1) API级别的虚拟机脱壳技术
通常虚拟机脱壳都是对指令进行模拟,使其可以通过虚拟机执行,这样便可以将常规的加密算法执行,从而使壳自身对自身进行解密;然而现在多数加密壳已经可以有效的对抗这种虚拟机方式,在指令间穿插Windows API,这样指令集虚拟机则有可能无法运行到壳的解密算法,被加密算数仍然无法得到解密。 API级别的虚拟则可以模拟部分Windows API,使得壳可以顺利跑完解密算法,将被解密的内存以明文方式交给查库引擎,实现单变种高查杀率。
2) 基于虚拟机的动态启发式技术
通过虚拟机中可疑文件的调用关系检测,对程序性质进行识别,从而判断可疑文件是否属于病毒或者木马。
3) 基于虚拟机行为分析的嗅探式启发扫描技术
利用虚拟机技术对可疑文件进行性质检测,对可疑文件进行大约性质识别,此后再对大约性质有针对性的进行细度识别,从而准确报警出文件的可疑程度。
4) 基于虚拟机的多态病毒清除技术
对病毒的多态加密算法通过虚拟机进行解密,针对各类感染方式使用简单的清除规则对被感染文件进行高效率清除。
5) 基于病毒免杀特性的对抗技术
对可疑文件的性质进行模糊识别,提取其重要特性,并结合虚拟机启发式技术,准确识别病毒文件,使病毒无法有效免杀。
6) 系统核心文件寄生类木马清除/修复技术
针对当前病毒发展趋势使用的特殊解决方案,可以有效的清除被诸如机器狗等木马感染的系统文件,达到不对系统原功能破坏且清除病毒的目的。
微点杀毒软件的解决方案1、 针对加壳、加花:
微点杀毒软件在现有反病毒引擎中加入了反免杀技术,在捕获到某一病毒后,对病毒样本性质进行模糊识别,提取其重要特性,并结合虚拟机启发式技术,准确识别病毒文件,使病毒无法有效免杀。
2、 针对快速变种:
对于快速变种病毒样本,通过对病毒样本进行统计分析,寻找样本的共同特性,从其共同特性中提取一段识别特征值,结合虚拟机脱壳技术,用较少的特征值识别大量的同类病毒变种。
3、 针对替换系统文件:
目前较多的反病毒软件针对系统文件被替换的处理,处理效果不容乐观。部分反病毒产品在检测到系统文件被替换时,会出现两种情况:一种是只会报警用户某程序文件是病毒,而不会去删除,即用户无法通过反病毒软件清除病毒;另一种则会在报警后删除被替换的病毒文件,但删除后系统无法正常启动或者系统部分功能失效。
例:“蝗虫军团”病毒在感染系统后,会将系统内正常的rpcss.dll文件替换为病毒的文件,如果反病毒软件在检测到该文件是病毒并删除后,系统就会不定时死机、崩溃,复制粘贴等功能无法正常使用。从用户角度来讲,这并没有解决用户遇到的病毒问题,反而带来更为严重的问题。
鉴于目前病毒采用替换系统文件手段,微点杀毒软件对此类病毒采用了“系统核心文件寄生类木马清除/修复技术”,主要是针对当前病毒发展趋势使用的特殊解决方案,该方案可以有效地清除被诸如“机器狗”、“蝗虫军团”等木马感染的系统文件,达到不破坏系统原功能的同时清除病毒的目的。
4、 针对感染系统内文件:
感染系统内文件也就是我们常说的感染型病毒,此类病毒会感染系统盘内很多应用程序文件,即用户在重新安装操作系统后依然会中毒,给用户带来了极大的不便。微点杀毒软件针对目前流行的感染型病毒进行综合分析,在反病毒引擎中加入了感染型病毒清除技术。
用户在中了感染型病毒之后,使用微点杀毒软件进行扫描清除,即可在保留原文件的基础下清除病毒代码。
5、 针对多态病毒:
由于多态病毒的特殊性以及难查杀性,微点杀毒软件在研发虚拟机技术的时候就着重考虑了多态病毒的检测和清除。微点杀毒软件采用基于虚拟机技术的清除技术,虚拟机首先从文件中确定并读取病毒入口处的代码,然后解释执行病毒头部的解密例程,最后在解密之后的病毒体明文中查找病毒的特征码,进行检测清除。