微点交流论坛 - 微点软件使用交流 - 【转帖】通过使用微点如何提高病毒识别技能

微点交流论坛 » 微点软件使用交流 » 【转帖】通过使用微点如何提高病毒识别技能

sunwy
新手上路

积分 45
发帖 45
注册 2007-11-19

#1 【转帖】通过使用微点如何提高病毒识别技能

通过使用微点如何提高病毒识别技能(本文转自卡饭，作者：野马）

微点主动防御软件除了自身强大的防病毒功能。对于使用者来说，还是很好的学习工具。微点可以监视系统内所以运行的进程，分布在操作系统的众多探针，监视程序调用系统的各种API动作，并将监控信息进行了可视化显示。

通过主界面可了解程序的生成信息、修改注册表信息，进程的各种运行信息，进程运行所生成的程序文件、修改注册表信息，进程所调用的模块，模块被哪些进程调用，哪些程序可被操作系统自动运行，网络通讯信息等等。将这些原本为反病毒软件厂家研发人员如何去判断一个软件是否是为病毒的重要依据的信息，全部以可视化的形式展示出来，使普通的人也可以了解到这些信息，从而提高对病毒的识别技能。

我们以病毒的特征举一些例子：

1. 伪装欺骗性：
病毒一般是具有很高编程技巧，短小精悍的程序。通常隐藏在一个系统文件夹中或磁盘较隐蔽的地方，起一个和系统文件十分相拟的名字。例如explore.exe和explorer.exe，explorer.exe进程主要负责显示系统桌面上的图标以及任务栏，而explore.exe则是一个启动木马的程序。也有个别病毒程序以隐含文件形式出现。普通用户很难将病毒程序与正常程序区别开来。

通过“进程综合信息”功能，查看是否有报成“其他软件”的程序，因为一般病毒是很难伪装成为“windows系统”文件的，windows系统文件也很难被替换。如果伪装成“应用软件”，微点也将报成“其他软件”。所以普通用户只需关注“其他软件”，查看此程序是否提供产品自述、产品名称、描述、名司名称和文件版本信息，如果此程序没有提供上述信息，又是用户不认识的程序，可以粗步判断此程序有危险性。

2. 衍生性：
当一个病毒程序发作时，除了自身对计算机系统产生的危害，还有可能产生新的衍生程序驻留在计算机中，伺机再对计算机造成新的破坏。

普通反病毒软件通常只对病毒原程序做出处理动作，但对于病毒产生的衍生程序却无法处理。微点软件通过“进程综合信息”，可以在“其他软件”中发现正在运行或已退出运行的“可疑程序”，对“可疑程序”进行处理，并通过“程序生成日志”，对“可疑程序”产生的衍生程序进行处理，不留后患。

3. 主动性:
病毒对系统的攻击是主动的，不以人的意志为转移的。病毒经常通过修改注册表和其他方式，使此可以伴随着系统的启动而启动，达到主动传播病毒的目的。

通过“系统自启动信息”、“进程启动日志”和“注册表变更日志”，查看非正常启动的程序和被修改的注册表信息，对其进行修复，清除有害程序。

4. 传染性:
传染性是病毒的基本特征。计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。

通过“程序生成日志”、“系统自启动信息”、“进程启动日志”、“注册表变更日志”、“模块/进程”和“进程网络信息”进行综合分析，查看此程序的父子进程和模块调用信息，是否产生衍生物，是否有不正常的程序启动，是否对注册表信息进行了修改，是否有不正常的网络访问行为，如果具备了上述条件，可以判定此程序为有害程序。可以通过“程序生成日志”和“进程网络信息”对有害程序及此衍生物进行处理，通过“注册表变更日志”对被修改的注册表信息进行修复，达到彻底处理有害程序的目的。

微点的“注册表修复”有什么作用？
注册表修复
微点主动防御软件提供的【注册表修复】工具主要用于解决恶意网站对注册表造成的恶意修改，导致系统的一些重要功能不能正常使用的问题。

用户在浏览网页时，恶意网页和恶意脚本可能会修改计算机的ie设置或系统的常规项设置，在【系统分析】中，单击子功能【注册表修复】，选定某一注册表项，可以手动进行修复。

微点的注册表恢复工具包括: 解除注册表锁定和修复ie设置
1) 解除注册表锁定
某些恶意网页或病毒会造成ie主页、注册表、任务管理器等重要功能项的锁定，若想修复，用户只需勾选被锁定的项目，然后单击“解锁”，即可解除锁定。
2) 修复ie设置
当用户的ie设置项被恶意的更改时,用户勾选要修复的项目，单击“修复”，即可“修复”所选项目。

微点“程序生成日志”是记录什么信息呢？
【程序生成日志】
当微点主动防御软件监控到有新的程序生成或被更新时，就会产生一条程序生成关系日志，记录程序的创建时间及创建者。用户通过查看程序生成关系日志，结合【进程综合信息】提供的信息，可以自行分析系统中是否存在具有潜伏特性的可疑进程。

【程序生成日志】的内容：
创建时间 —— 程序被创建的时间。
文件名 —— 创建者生成的程序文件名称。
创建者 —— 创建新“程序文件”的程序名称。

[ Last edited by sunwy on 2008-1-8 at 11:36 ]

※ ※ ※ 本文纯属【sunwy】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-1-8 11:32

小小刀
高级用户

我要换头像！

积分 889
发帖 884
注册 2007-6-6

#2

在我看来，微点就是一款很好的杀毒软件＋系统分析软件，他可以让你更多的更详细的了解系统，而不用借助第三方软件。有经验的用户，在系统感觉异常的情况下，即使微点没有报毒，也可以根据微点来进行手杀

※ ※ ※ 本文纯属【小小刀】个人意见，与【微点交流论坛】立场无关※ ※ ※

我什么时候才能自定义头像。。。。。。

2008-1-8 11:43

micky
注册用户

积分 59
发帖 59
注册 2007-9-7

Quote:

Originally posted by 小小刀 at 2008-1-8 11:43:
在我看来，微点就是一款很好的杀毒软件＋系统分析软件，他可以让你更多的更详细的了解系统，而不用借助第三方软件。有经验的用户，在系统感觉异常的情况下，即使微点没有报毒，也可以根据微点来进行手杀

如果手杀？不明白！

※ ※ ※ 本文纯属【micky】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-1-8 15:06

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号