软件简介:针对当前网络新病毒日益泛滥、频繁肆虐,特征值扫描技术对新病毒防范始终滞后于病毒出现的现状,率先创立"监控并举、动态防护"主动防御体系,开创性提出主动防御产品的核心特征,必须以具备动态仿真反病毒专家系统为先决条件,以自动准确判定新病毒为基本诉求,以程序行为监控并举为机制保障,采用"程序行为自主分析判定"技术,研制成功微点主动防御软件。
一.软件信息和测试平台
纵观当今反病毒圈,主动防御大旗开始成为主流,各家厂商纷纷推出自己主动防御产品,微点主动防御软件是目前市场上较为优秀的主动防御软件之一。日前笔者对这款软件进行了详细的测试,现在向大家介绍一下这款国内优秀的主动防御产品。
软件基本信息:
| 软件名称: | 微点主动防御软件 |
| 软件版本: | 试用版 |
| 软件大小: | 25M |
| 软件授权: | 共享 |
| 适用平台: | Windows 2000/XP/2003/Vista |
| 下载地址: | 点击这里下载 |
软件测试平台:
| CPU: | 赛扬cpu2.13G |
| 内存: | DDR2 256M |
| 硬盘: | 希捷80G 7200转 |
| 操作系统: | Windows xp sp2 |
二.软件安装过程
微点主动防御安装包只有25M,安装时也相当快捷,几个下一步之后,填写基本的注册信息,即可完成安装。值得一提的是,安装后需要重启方可正常使用。这可能是因为微点主动防御软件属于驱动级反病毒软件吧。
图1.安装的初始页面
图2 安装程序语言选择
微点主动防御软件提供了英文版本和简体中文版本。基本适应目前主流的操作系统平台。
图3.选择安装路径图
图4.产品注册页面
认真填写注册信息之后,即可享受免费升级和90天的试用期限。
图5.安装完成
三.程序的启动与界面
启动系统进入可以看到微点动态logo的启动画面,完全启动之后,桌面右下角状态栏上会出现一个绕动的小球托盘,而且该托盘总是在系统启动后第一时间启动,另外该产品在占用资源上也相当经济,是目前笔者见过消耗系统资源较低的反病毒软件。所有的微点进程加起来占用内存资源不到12M如图。
图6. 启动画面
图7. 任务管理器
双击托盘或者是桌面上微点的快捷方式,便可启动微点的主界面,灰色的主基调配海蓝色智能窗口,笔者认为配色相对沉闷呆板。而主功能区的列表菜单,清晰了显示了微点主动防御软件的所有功能。见图
图8.微点的主界面
总的来说,启动速度快和消耗资源低是这款软件的优点,但界面设计则稍稍差强人意。
四.主动防御
笔者在测试过程中发现,微点作为过国内第一款主动防御产品,其主动防御功能有着相当不俗的表现,依靠主动防御这项领先的技术,不论从防毒和杀毒性效果上的表现都相当出色。笔者根据目前较为流行的病毒以及木马所采用到几种手段进行详细测试:
首先隆重登场的大名鼎鼎的autorun病毒,相信大家不会对此类病毒不会陌生,经测试,微点主动防御产品对其任意的autorun病毒变种都可以很好的拦截并查杀。装了微点的用户,不再担心插U盘时候,心慌意乱了。
以下为典型的autorun病毒,微点的报警图:
图9.微点拦截autorun病毒
这款主动防御产品在对于查杀木马方面的表现也相当出色,笔者用多款盗号木马对其进行测试,微点都可对其轻松拦截并清除。效果相当显着。
笔者针对目前一流行的网游盗号木马进行测试,测试图10,微点成功的拦截并删除
图10 拦截木马
而针对目前越来越多的病毒制造者或黑客采用加壳加花等各种免杀手段来过杀软。达到免杀目的,经笔者测试,此类方法对微点毫无作用,由于微点主动防御软件采用了依据程序行为来判断病毒的技术特点,因此对加壳加花等免杀手段微点便有着天生免疫,目前主流的通过修改文件特征绕过反病毒软件的方法对微点毫无效果,微点的行为分析判断技术可以轻松将其拦截并删除。
为了更好的测试其有效性,笔者采用了上述例子所用到的网游盗号木马,对其加了黑客界知名的北斗壳的免杀处理,经测试,微点同样可以拦截并清除。如图11
图11 免杀木马也不放过
除此之外,能够清除衍生物也是这款主动防御软件的亮点之一,微点的行为分析技术能够根据病毒之前的生成关系作判断,轻松的将病毒释放的文件都清除彻底。这是通过特征码技术查杀病毒传统杀软所无法比拟的。
图12 清除衍生物
图12可看出,微点不仅将病毒源文件清除,将病毒源文件释放在c:\winnt\下的文件也一并清除。
主动防御是这款软件的重头戏,笔者认为从该软件在杀毒和防御上都可圈可点。值得大家一试。
五.对Arp欺骗的主动防御
ARP攻击主要有两种类型,一种是欺骗客户机,告诉客户机网关是ARP攻击主机,造成被欺骗客户机不能访问正常的网关,导致不能上网,这种欺骗,可以通过绑定网关 MAC地址来很好的实现;另一种是欺骗网关,告诉网关局域网某客户机的MAC地址是ARP攻击主机,这种欺骗网关的ARP攻击目前没有什么软件能够很好的解决,最好的解决办法是让网络管理员在网关设备上绑定每个客户机的MAC地址。
图13.MAC地址绑定
ARP攻击主要有两种类型,一种是欺骗客户机,告诉客户机网关是ARP攻击主机,造成被欺骗客户机不能访问正常的网关,导致不能上网,这种欺骗,可以通过绑定网关 MAC地址来很好的实现;另一种是欺骗网关,告诉网关局域网某客户机的MAC地址是ARP攻击主机,这种欺骗网关的ARP攻击目前没有什么软件能够很好的解决,最好的解决办法是让网络管理员在网关设备上绑定每个客户机的MAC地址。
而通过防火墙来抵御arp欺骗是治标不治本的方法,微点主动防御不仅可以从防范入手,并且能查出存在您机器上的arp病毒,能够彻底的根除存在局域网内的arp病毒源。这种标本兼治的方法,笔者认为是目前比较有效的解决方法。以下为微点防arp欺骗报警图
只要机器上存有arp病毒,安装微点后,微点将能清除存在的所有arp病毒以及其变种。杜绝arp病毒攻击其他主机,从而实现标本兼治。
图14.微点拦截arp病毒
六.对溢出的主动防御
在目前主流的杀软中,很少有能够防溢出的产品,微点这款主动防御产品,能够很好的防御溢出和入侵攻击,这也让笔者眼前一亮。
众所周知,目前大量的黑客采用溢出嗅探工具,尝试去找目的主机系统中的溢出漏洞,发溢出包对目的机器进行溢出攻击,实现入侵的手段。微点主动防御能够捕获并防御此类溢出攻击,如图
图15. 溢出攻击
图16 .入侵防御
七.总评
总的来说,这款微点主动防御软件与目前同类的反病毒软件相比,在杀毒和防毒性能上都相当出色。其占用容量小和耗费资源低的特点能够适应一些拖不太动老年机。而在笔者的试用中,这款主动防御产品在防御和查杀U盘autorun病毒,arp欺骗攻击,未知病毒上都着不俗表现,但美中不足的是,界面相对普通以及一些细节上的处理不够全面,如没有报警声音等,让笔者对一款软件有些许的扣分,但毫无疑问,这款主动防御产品将成为2008的反病毒软件一个新亮点。