軟件簡介
微點殺毒軟件是由北京東方微點信息技術有限責任公司自主研發,具有完全自主知識産權的第二代殺毒軟件。微點殺毒軟件主要針對日益凸顯的病毒、木馬、惡意軟件的檢測而誕生,對于各種病毒、木馬變種具有很好的檢測能力。微點殺毒軟件除了采用傳統的特征值掃描技術外,還融合了國際領先的虛拟機技術和啟發式掃描技術,不僅能夠查殺已知病毒,還可以針對未知病毒進行檢測。同時還具有強大的感染型修複能力、寄生類木馬清除/修複技術、多态病毒檢測能力,可以全面有效地保障用戶的信息安全。
技術特點
微點殺毒軟件主要針對目前流行的病毒、木馬做出的一個網絡安全解決方案,其采用了國際領先的虛拟機技術和啟發式技術,可以有效檢測多種加殼程序以及檢測未知病毒,主要有以下技術特點:
1) API級别的虛拟機脫殼技術
通常虛拟機脫殼都是對指令進行模拟,使其可以通過虛拟機執行,這樣便可以将常規的加密算法執行,從而使殼自身對自身進行解密;然而現在多數加密殼已經可以有效的對抗這種虛拟機方式,在指令間穿插Windows API,這樣指令集虛拟機則有可能無法運行到殼的解密算法,被加密算數仍然無法得到解密。 API級别的虛拟則可以模拟部分Windows API,使得殼可以順利跑完解密算法,将被解密的内存以明文方式交給查庫引擎,實現單變種高查殺率。
2) 基于虛拟機的動态啟發式技術
通過虛拟機中可疑文件的調用關系檢測,對程序性質進行識别,從而判斷可疑文件是否屬于病毒或者木馬
3) 基于虛拟機行為分析的嗅探式啟發掃描技術
利用虛拟機技術對可疑文件進行性質檢測,對可疑文件進行大約性質識别,此後再對大約性質有針對性的進行細度識别,從而準确報警出文件的可疑程度。
4) 基于虛拟機的多态病毒清除技術
對病毒的多态加密算法通過虛拟機進行解密,針對各類感染方式使用簡單的清除規則對被感染文件進行高效率清除。
5) 基于病毒免殺特性的對抗技術
對可疑文件的性質進行模糊識别,提取其重要特性,并結合虛拟機啟發式技術,準确識别病毒文件,使病毒無法有效免殺。
6) 系統核心文件寄生類木馬清除/修複技術
針對當前病毒發展趨勢使用的特殊解決方案,可以有效的清除被諸如機器狗等木馬感染的系統文件,達到不對系統原功能破壞且清除病毒的目的。
解決方案
針對加殼、加花
微點殺毒軟件在現有反病毒引擎中加入了反免殺技術,在捕獲到某一病毒後,對病毒樣本性質進行模糊識别,提取其重要特性,并結合虛拟機啟發式技術,準确識别病毒文件,使病毒無法有效免殺。
針對快速變種
對于快速變種病毒樣本,通過對病毒樣本進行統計分析,尋找樣本的共同特性,從其共同特性中提取一段識别特征值,結合虛拟機脫殼技術,用較少的特征值識别大量的同類病毒變種。
針對替換系統文件
目前較多的反病毒軟件針對系統文件被替換的處理,處理效果不容樂觀。部分反病毒産品在檢測到系統文件被替換時,會出現兩種情況:一種是隻會報警用戶某程序文件是病毒,而不會去删除,即用戶無法通過反病毒軟件清除病毒;另一種則會在報警後删除被替換的病毒文件,但删除後系統無法正常啟動或者系統部分功能失效。
例:“蝗蟲軍團”病毒在感染系統後,會将系統内正常的rpcss.dll文件替換為病毒的文件,如果反病毒軟件在檢測到該文件是病毒并删除後,系統就會不定時死機、崩潰,複制粘貼等功能無法正常使用。從用戶角度來講,這并沒有解決用戶遇到的病毒問題,反而帶來更為嚴重的問題。
鑒于目前病毒采用替換系統文件手段,微點殺毒軟件對此類病毒采用了“系統核心文件寄生類木馬清除/修複技術”,主要是針對當前病毒發展趨勢使用的特殊解決方案,該方案可以有效地清除被諸如“機器狗”、“蝗蟲軍團”等木馬感染的系統文件,達到不破壞系統原功能的同時清除病毒的目的。
針對感染系統内文件
感染系統内文件也就是我們常說的感染型病毒,此類病毒會感染系統盤内很多應用程序文件,即用戶在重新安裝操作系統後依然會中毒,給用戶帶來了極大的不便。微點殺毒軟件針對目前流行的感染型病毒進行綜合分析,在反病毒引擎中加入了感染型病毒清除技術。
用戶在中了感染型病毒之後,使用微點殺毒軟件進行掃描清除,即可在保留原文件的基礎下清除病毒代碼。
針對多态病毒
由于多态病毒的特殊性以及難查殺性,微點殺毒軟件在研發虛拟機技術的時候就着重考慮了多态病毒的檢測和清除。微點殺毒軟件采用基于虛拟機技術的清除技術,虛拟機首先從文件中确定并讀取病毒入口處的代碼,然後解釋執行病毒頭部的解密例程,最後在解密之後的病毒體明文中查找病毒的特征碼,進行檢測清除。