微点杀毒软件及技术介绍ppt课件

1、微点杀毒软件微点杀毒软件微微 点点 杀杀 毒毒 软软 件件 介介 绍绍 微点杀毒软件，是北京东方微点信息技术有限责任公司自主研发的第二代反病毒软件，除传统的特征值扫描方式外，另外交融了国际领先的虚拟机技术和启发式扫描技术。微点杀毒软件主要针对日益凸显的病毒、木马、恶意软件的检测而诞生，对于各种病毒、木马变种具有很好的检测才干。 微点杀毒软件具有强大的感染型修复才干、寄生类木马去除/修复技术、多态病毒检测才干。软件引见软件引见微点杀毒软件引见微点杀毒软件引见硬件要求：硬件要求：处置器：处置器：Intel Pentium 450MHz或以上或以上内内 存：存：256M以上以上硬硬 盘：盘：300M

2、以上剩余空间以上剩余空间操作系统：操作系统：Windows 2000/XP/2019/VISTA/201932位位Win 7 (32位位/64位位)支持言语：支持言语：简体中文和英文简体中文和英文软件引见软件引见版本引见版本引见 【微点杀毒软件】正式版阐明(参看协助 特别阐明： 【微点杀毒软件】3年期盒装版自带180天微点自动防御软件体验版卡片。 【微点杀毒软件】光盘中【微点杀毒软件】安装文件夹在根目录下 mpav，安装程序称号mpsetup.exe 【微点杀毒软件】安装光盘中自带32位【微点自动防御软件】安装程序，光盘根目录下mpx86目录下，安装程序称号mpsetup.exe产品引见产品引

3、见版本引见版本引见运用【微点杀毒软件】光盘自动播放功能安装【微点杀毒软件】，安装完成后，假设是32位操作系统或64位win7系统且未安装微点自动防御软件，安装导游会提示用户能否继续安装【微点自动防御软件体验版】如图：默许安装途径：默许安装途径：C:Program FilesMPAV安装目录阐明：安装目录阐明：软件日志：软件日志：MP1 ；病毒库：；病毒库：MP3；隔离区：；隔离区：MP7文件索引目录和文件索引目录和MP14加密的隔离文件；换肤：加密的隔离文件；换肤：MP34正常运转时的启动的程序：正常运转时的启动的程序：MPAVSVC.EXE (效力效力MPAVSVC2.EXE(监监控控)、M

4、PAVMON.EXE托盘托盘 主界面：主界面： MPAVMAIN.EXE右键扫描：右键扫描：MPAVSCAN.EXE正常情况下启动正常情况下启动MPAVSCANA.EXE(效效力未启动的情况下启动扫描时启动此程序力未启动的情况下启动扫描时启动此程序日志：日志：MPAVLOG.EXE日志文件日志文件mp100094.con隔离区程序：隔离区程序：MPAVQUAR.EXE程序引见程序引见注册和晋级注册和晋级 正式版序列号战略 正式版序列号：序列号+晋级id 正式版注册独一标识：序列号+晋级id 重装软件，自动读取序列号和晋级id。 晋级战略 效力器上的同一个版本，允许客户端同一个序列号晋级三次。

5、假好像一个版本晋级超越三次，那么晋级时，会提示“用户合法性验证失败。病病 毒毒 的的 现现 状状加壳、加花加壳、加花-黑客利用加壳加花等工具对病毒木马文黑客利用加壳加花等工具对病毒木马文件进展修正，修正后改动了病毒木马本身的文件特征，件进展修正，修正后改动了病毒木马本身的文件特征，使得反病毒软件无法检测出来。使得反病毒软件无法检测出来。加快变种速度加快变种速度-病毒木马为了使其存活率更高，逃避病毒木马为了使其存活率更高，逃避杀毒软件的检测，采用快速变种的方式，即在短时间内杀毒软件的检测，采用快速变种的方式，即在短时间内产生一个新的变种文件，病毒的变种速度赶超反病毒软产生一个新的变种文件，病毒的

6、变种速度赶超反病毒软件的特征晋级速度，使得反病毒软件无法检测出来。件的特征晋级速度，使得反病毒软件无法检测出来。 例：熊猫烧香当时的危害如此大，一个缘由就是其例：熊猫烧香当时的危害如此大，一个缘由就是其快速变种，杀毒软件无法及时检测其变种文件。快速变种，杀毒软件无法及时检测其变种文件。病毒的现状病毒的现状病毒反平安软件招数病毒反平安软件招数交换系统文件交换系统文件-病毒木马的趋势是加强隐蔽性，采用病毒木马的趋势是加强隐蔽性，采用交换系统文件的方法可防止被杀毒软件检测或者被删除。交换系统文件的方法可防止被杀毒软件检测或者被删除。 目前较多的病毒木马会交换系统文件，杀毒软件往目前较多的病毒木马会交

7、换系统文件，杀毒软件往往会报而不删，或者删除了后，呵斥系统解体、无法启往会报而不删，或者删除了后，呵斥系统解体、无法启动、系统功能丧失。动、系统功能丧失。 例：例：“蝗虫军团木马会将系统的蝗虫军团木马会将系统的rpcss.dll交换，交换，假设该文件丧失会呵斥系统的打印机功能、复制粘贴功假设该文件丧失会呵斥系统的打印机功能、复制粘贴功能等功能失效。能等功能失效。病毒的现状病毒的现状病毒反平安软件招数病毒反平安软件招数病毒的现状病毒的现状病毒反平安软件招数病毒反平安软件招数感染正常程序文件感染正常程序文件-感染也就是经过一个病毒程序，将系统内的感染也就是经过一个病毒程序，将系统内的正常文件附加上

8、病毒的代码，使得系统内的文件都变成病毒文件。正常文件附加上病毒的代码，使得系统内的文件都变成病毒文件。 用户往往是在中毒后重新安装系统，但是运转用户往往是在中毒后重新安装系统，但是运转D、E、F等盘等盘符下的文件后又中毒了，这就是感染型一个比较常见的景象。杀符下的文件后又中毒了，这就是感染型一个比较常见的景象。杀毒软件假设不能去除病毒代码修复功能，用户为了运用本人毒软件假设不能去除病毒代码修复功能，用户为了运用本人的数据，能够就不会删除被感染文件，使得病毒常驻系统内。的数据，能够就不会删除被感染文件，使得病毒常驻系统内。多态病毒方式感染多态病毒方式感染-这是一种特殊的感染方式，病毒在这是一种特

9、殊的感染方式，病毒在感染每一个文件的时候，其感染的代码是经过随机加密感染每一个文件的时候，其感染的代码是经过随机加密生成的，所以指望可以从这些代码中找到固定的病毒特生成的，所以指望可以从这些代码中找到固定的病毒特征码是徒劳的，也就是由于这种多态变形病毒的出征码是徒劳的，也就是由于这种多态变形病毒的出现，使利用简单特征码进展病毒检测的技术走到了尽头。现，使利用简单特征码进展病毒检测的技术走到了尽头。 简单的说，多态病毒在感染文件的时候，感染简单的说，多态病毒在感染文件的时候，感染10个个文件，那么这文件，那么这10个文件感染的代码都不一样。所以杀个文件感染的代码都不一样。所以杀毒软件无法经过一个

10、固定的特征码来检测。毒软件无法经过一个固定的特征码来检测。病毒的现状病毒的现状病毒反平安软件招数病毒反平安软件招数微点杀毒软件的处理方案微点杀毒软件的处理方案微点处理方案微点处理方案微点杀毒来支招微点杀毒来支招加壳、加花加壳、加花-针对病毒常用的加壳、加花技术手段为出发点，经针对病毒常用的加壳、加花技术手段为出发点，经过微点杀毒软件的虚拟机脱壳技术来到达对加壳、加花病毒木马过微点杀毒软件的虚拟机脱壳技术来到达对加壳、加花病毒木马变种文件有效检测的目的。变种文件有效检测的目的。加快变种速度加快变种速度-针对病毒木马的快速变种特性，从样本及其变种针对病毒木马的快速变种特性，从样本及其变种文件中寻觅

11、共同特性，从共同特性中提取一段识别特征值，结合文件中寻觅共同特性，从共同特性中提取一段识别特征值，结合虚拟机、启发式技术到达检测病毒木马变种文件的目的。虚拟机、启发式技术到达检测病毒木马变种文件的目的。交换系统文件交换系统文件-针对病毒木马交换系统文件的特性，微点杀毒采针对病毒木马交换系统文件的特性，微点杀毒采用了用了“系统中心文件寄生类木马去除系统中心文件寄生类木马去除/修复技术，在不破坏系统原修复技术，在不破坏系统原功能以及保证系统稳定性的同时，实现去除病毒的目的。功能以及保证系统稳定性的同时，实现去除病毒的目的。微点处理方案微点处理方案微点杀毒来支招微点杀毒来支招感染系统内文件感染系统内

12、文件-经过研讨感染型病毒感染文件的方式，研讨一经过研讨感染型病毒感染文件的方式，研讨一套修复算法，经过微点杀毒软件强有力的修复功能，在保证用户套修复算法，经过微点杀毒软件强有力的修复功能，在保证用户系统内文件的完好性和可用性，去除病毒代码。系统内文件的完好性和可用性，去除病毒代码。多态病毒方式感染多态病毒方式感染-多态病毒并不是无懈可击，微点杀毒软件在多态病毒并不是无懈可击，微点杀毒软件在处理多态病毒时，采用虚拟机解密技术，在解密后准确查找病毒处理多态病毒时，采用虚拟机解密技术，在解密后准确查找病毒感染代码，将其去除。感染代码，将其去除。微微 点点 杀杀 毒毒 功功 能能 特特 点点功能特点功

13、能特点微点杀毒技术特点微点杀毒技术特点基基API级别的虚拟机脱壳技术级别的虚拟机脱壳技术 给给壳提供所需求的条件比如壳提供所需求的条件比如windows API，使其在虚拟环境内自行解密，使其在虚拟环境内自行解密，再针对解密后的文件进展检测，实现单变种高查杀率。再针对解密后的文件进展检测，实现单变种高查杀率。基于虚拟机的动态启发式技术动态检测基于虚拟机的动态启发式技术动态检测 经经过虚拟机技术对可疑文件执行所需求的过虚拟机技术对可疑文件执行所需求的API规那么与规那么组对程序进展规那么与规那么组对程序进展识别，从而判别可疑文件能否属于病毒木马。识别，从而判别可疑文件能否属于病毒木马。基于虚拟机

14、行为分析的嗅探式启发扫描技术静态检测基于虚拟机行为分析的嗅探式启发扫描技术静态检测 经过虚拟机中对可疑文件进展反编译，检测该可疑文件经过虚拟机中对可疑文件进展反编译，检测该可疑文件API调用情况，调用情况，经过调用情况进展分类，分类后再进展有针对性的进展细度识别，从而准经过调用情况进展分类，分类后再进展有针对性的进展细度识别，从而准确报警出文件的可疑程度。确报警出文件的可疑程度。功能特点功能特点微点杀毒技术特点微点杀毒技术特点基于虚拟机的多态病毒去除技术基于虚拟机的多态病毒去除技术 对病毒的多态加密算法经过虚拟机进展解密，对病毒的多态加密算法经过虚拟机进展解密，在解密后准确查找病毒感染代码，针

15、对各类感在解密后准确查找病毒感染代码，针对各类感染方式运用修复方式，对被感染文件进展高效染方式运用修复方式，对被感染文件进展高效率去除。率去除。 基于病毒免杀特性的对抗技术基于病毒免杀特性的对抗技术 从样本及其变种文件中寻觅共同特性，在共同从样本及其变种文件中寻觅共同特性，在共同特性中提取一段识别特征值，结合虚拟机、启特性中提取一段识别特征值，结合虚拟机、启发式技术到达检测病毒木马变种文件的目的。发式技术到达检测病毒木马变种文件的目的。功能特点功能特点微点杀毒技术特点微点杀毒技术特点系统中心文件寄生类木马去除系统中心文件寄生类木马去除/修复技术修复技术 针对当前病毒开展趋势运用的特殊处理方案，

16、针对当前病毒开展趋势运用的特殊处理方案，可以有效的去除被诸如机器狗等木马感染的系可以有效的去除被诸如机器狗等木马感染的系统文件，到达不对系统原功能破坏且去除病毒统文件，到达不对系统原功能破坏且去除病毒的目的。的目的。微微 点点 杀杀 毒毒 软软 件件 优优 点点优点优点内存占用少内存占用少 微点杀毒软件在默许开启形状下有3个进程，3个进程总共占用内存10M左右与其他几款平安软件对比：优点优点扫描速度快扫描速度快 微点杀毒软件引擎采用最优算法，可以快速识别文件，使微点杀毒软件的扫描速度很快。与其他几款平安软件对比：优点优点扫描深度深扫描深度深 微点杀毒软件深化文件内部进展扫描，从内部进展扫描，以确定文件的平安性。 (备注：扫描文件数变多是由于杀毒软件可以深化到文件内部去扫描相关资源文件)与其他几款平安软件对比：优点优点脱壳才干强脱壳才干强 微点杀毒软件采用虚拟机技术，具有很好的脱壳检测才干，下面做了一个测试，将一个知样本，分别参与20种不同的壳，6款平安软件扫描对比。文件总数：21个与其他几款平安软件对比：优点优点感染型修复才干强感染型修复才干强 杀毒软件针对感染型病毒修复才干强弱也是衡量一个产品好坏的规范，下面测试是针对目前常见的感染型方式进展一个测试对比。与其他几款平安软件对比：感染文件不同类型19个优点优点病毒检测才干好病毒检测才干好 本测试数据采集于卡饭论坛扫