Board logo

标题: 【预发布】微点主动防御软件2.0实用教程 [打印本页]
作者: 真小读者     时间: 2012-9-17 15:25    标题: 【预发布】微点主动防御软件2.0实用教程

原贴地址:http://bbs.kafan.cn/thread-1364486-1-1.html

预发布版本下载地址:http://pan.baidu.com/share/link?shareid=32820&uk=3624810614欢迎各位联系赐教!


微点主防2.0正式发布过去8个月了。微点7年来的发展也积累了不少用户,而且从卡饭论坛微点区的每日新回复量来看,微点的用户群也在不断扩大。08年统计微点有700万用户,到目前为止估计应该至少是千万左右了吧。
很多微点用户在使用过程中都会遇到各种问题,很多人会都选择从网络上搜索解决办法,或者到百度知道和微点论坛、卡饭论坛等提问发帖。然而获得的结果和解决办法或者会不够详细,或者仍然是1.2时代的方法,现在已经不再适用。而且网海无边,能寻找到自己满意的答案实属不易。再加上由于微点主防的特殊性,从微点推出之日到现在,仍然有很多问题不能得到比较一致的结论。比如微点主防的性质如何?它和hips有什么异同?网上的辩论文章也是铺天盖地,鱼龙混杂,难辨是非。
为了方便微点用户解决问题,为了方便微点新用户了解微点技术特点,为了方便微点用户用好微点,我编辑整理了一套微点主防2.0的教程。本教程是我以微点主防2.0的帮助文件和使用手册为主要根据,以卡饭论坛微点区资源教程总索引为主要参考资料,汇集目前网上流传的各种有关微点的资料,旁及各种计算机安全科普文章,并逐步参考相关专业书籍,去芜存精整理而成。整体性好,可信度高,方便检索,希望能成为微点用户日常使用中的一个小帮手。
当然,限于才力,这部教程目前还不能令人满意。应当成为教程核心部分的高级应用和对比分析,就由于我对相关知识的缺乏而留有遗憾。我将在日后不断提升自己的水平,这部教程也将不断完善。



本次发布的为“预发布版”,类似于官方文件中的“征求意见稿”。由于编辑整理速度加快,所以提前发布。如果一切正常,一周内会发布第一次正式版。敬请期待。其他详细情况请参看发布地址中的情况说明。
原计划本周发布正式版,但是修改过程中添加内容较多,调整结构有些麻烦。因此正式版推迟到一个月后发布。给您带来的不便在此深表歉意。



1、这是封面:



2、这是本教程的几大主题板块:
(1)微点简介——以微点帮助文件为基础,参考微点论坛版主回复及各论坛的研究对官方介绍做出通俗解释。
(2)微点购买、安装、注册、指南——介绍微点购买、安装、注册的相关事宜。
(3)微点基本设置。
(4)微点使用常见问题——常见问题的解决方法、微点错误代码详解以及微点搭配指南。
(5)微点高级应用——微点专家模式和防火墙详细介绍和设置及扩展应用。
(6)关于微点主防技术的争论和看法——微点的防御体系、微点和和hips的对比以及微点的发展方向等。
(6)附录——微点服务与支持方式、微点更新日志、本教程参考文献和卡饭论坛微点测试数据。

3、以下是教程一部分里对官方介绍的解释以及一些微点使用的小技巧:
(1)无需扫描。
微点主防在发现病毒之后,会根据监控到的病毒程序的各种行为进行逆向回滚,修复病毒程序对系统内文件和注册表的破坏。因此无需扫描即可保证系统安全。那些没有被触发执行或者根本无法运行的病毒(所谓的病毒尸体),由于没有病毒行为,不会对系统造成威胁。
网上对于微点逆向回滚修复一般认为是根据日志回滚。实则病毒行为远不止日志记录的那一部分,那只是为了方便用户手动杀毒的工具而已。火绒CEO刘刚在卡饭示例多步行为分析时将一个病毒样本拖入火绒剑监控,其行为触发了火绒剑13万个监控点,其它病毒的行为和微点监控分析的范围可想而知。

(2)不依赖升级。
任何病毒程序发作的时候都会有或明显或隐晦的行为。为了实现破坏系统和盗取信息的目的,病毒的行为有很多共性。通过对程序行为的监控和分析,微点主防可以有效判断和查杀各种新病毒和未知病毒,保护系统安全,无需用户频繁刻意升级。

(3)系统分析识别出未知病毒后,能够自动提取其特征码并升级本地病毒特征码库。
当微点提示发现未知病毒之后,将自动提取该病毒的特征码。在重启系统之前,如果该病毒继续运行,则直接使用特征码防御。这种临时特征码防御只在重启系统前有效。

(4)驱动级清除病毒机制和安全保护机制
驱动级程序是操作系统内优先级最高的程序,它先于普通应用程序启动,可以获得内核级系统优先权和控制权。微点驱动加载仅次于windows几个核心驱动,核心部分嵌入系统内核,因此可以获得很高的系统控制权限,从而实现强大的自我保护和清除病毒的能力,能有效清除rootkit。目前,常用的Anti-Rootkit(简称ARK)工具无法正常结束微点进程,如果强行结束会造成蓝屏。
Rootkit是一种特殊的恶意软件,通过加载特殊的驱动,修改系统内核,在安装目标上隐藏自身及指定的文件、进程和网络链接等信息。Rootkit一般都和木马、后门等其他恶意程序结合使用。
目前已知可以或曾经可以正常结束微点进程的ARK工具有天琊、Powertool 64位 1.1版(1.2版结束即蓝屏)等。部分网友反馈火绒剑可以正常结束微点进程,经测火绒剑最新版不能结束微点进程。或许旧版可以,特此注明。

(5)启用虚拟机扫描。
卡饭论坛会员angir曾有专文讨论过微点虚拟机时间设置问题,当时发现微点虚拟机有“10秒bug”,即同一样本,设置成10秒虚拟机扫描和10秒以上虚拟扫描的效果是一样的。未做考证目前是否仍存在这一问题,从微点帮助文件来看是设置的时间越长效果会更好些,而且是否存在bug似乎不应以少量样本来判断。保守起见,我的建议是设置成60秒虚拟机扫描,志此待定。

(6)在微点专家模式“进程综合信息”非系统进程的空白区域双击,将弹窗显示当前进程除IP、端口、协议、网络状态之外的所有字段信息。
(7)利用程序访问网络策略禁止广告进程联网,可以在一定程度上实现反广告的效果。
作者: youyou1860     时间: 2012-9-18 11:09
己经收藏到百度网盘了
谢谢分享
作者: yiwangguodu     时间: 2012-9-18 14:45    标题: 拿走了

文章内容很不u错 我收藏了 多谢

www.baijialea.com
作者: liudaxue2008     时间: 2012-9-22 06:33
这个要下载收藏起来



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn