主动防御与特征值扫描的区别

From upnb游本网--笔记本电脑知识库（笔记本wiki)--您身边的电脑词典

• 什么是主动防御？

以“程序行为自主分析判定法”为理论基础，其关键是从反病毒领域普遍遵循的计算机病毒的定义出发，采用动态仿真技术，依据专家分析程序行为、判定程序性质的逻辑，模拟专家判定病毒的机理，实现对新病毒提前防御。

• 什么是特征值扫描？

特征值扫描是目前国际上反病毒公司普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库，杀毒软件将用户计算机中的文件或程序等目标，与病毒特征库中的特征值逐一比对，判断该目标是否被病毒感染。

目录 1 主动防御与反病毒软件通用的病毒特征值扫描技术的区别 2 通过使用微点如何提高病毒识别技能 3 举例验证 4 参考资料 4.1 相关条目 4.2 外部连接

主动防御与反病毒软件通用的病毒特征值扫描技术的区别

1. 微点主动防御软件属于防病毒软件，但完全区别于目前市场上的防病毒软件。
2. 当前杀毒软件多采用特征值扫描技术，即由专业反病毒人员在反病毒公司对已可疑的程序进行人工分析研究，人工判断该程序是否是病毒；如果该程序是病毒，由反病毒工程师人工提取该病毒的特征码，再通过升级的方式更新用户计算机上杀毒软件的病毒特征库，此时用户计算机上的杀毒软件才能判断某个程序是病毒。也就是说，如果用户不升级，用户计算机上的杀毒软件就不能防范新出现的病毒。这也就是防病毒公司始终强调用户要实时升级的原因。可以这样说，病毒总是出现在杀毒软件更新病毒特征码之前的，因此，传统的杀毒软件对新病毒的防范始终滞后于病毒的出现。
3. 微点主动防御软件建立了动态仿真反病毒专家系统，能够自动准确判定新病毒，并且能够自动提取特征值，自动更新本地特征值库，实现对病毒的主动防御。简单来讲，微点主动防御软件不是依赖于病毒特征码的判断，是依赖于病毒行为动作特征库根据病毒发作的行为进行判定，就像一个专业反病毒人员人工判断病毒一样，但微点实现了程序的自动化；
4. 微点主动防御软件与当前流行杀毒软件的主要区别：微点主动防御软件依赖于动态仿真反病毒专家系统的病毒识别规则知识库来自动准确判定新病毒，当前流行杀毒软件依赖于专业反病毒人员手工判断提取的病毒特征码。在防范新出现病毒的时间上，微点主动防御软件是实时发现新病毒，当前流行杀毒软件需要等待防病毒公司更新病毒特征码后才能发现病毒。

通过使用微点如何提高病毒识别技能

• 微点主动防御软件除了自身强大的防病毒功能。对于使用者来说，还是很好的学习工具。微点可以监视系统内所以运行的进程，分布在操作系统的众多探针，监视程序调用系统的各种API动作，并将监控信息进行了可视化显示。

• 通过主界面可了解程序的生成信息、修改注册表信息，进程的各种运行信息，进程运行所生成的程序文件、修改注册表信息，进程所调用的模块，模块被哪些进程调用，哪些程序可被操作系统自动运行，网络通讯信息等等。将这些原本为反病毒软件厂家研发人员如何去判断一个软件是否是为病毒的重要依据的信息，全部以可视化的形式展示出来，使普通的人也可以了解到这些信息，从而提高对病毒的识别技能。

举例验证

• 我们以病毒的特征举一些例子：
• 伪装欺骗性：

病毒一般是具有很高编程技巧，短小精悍的程序。通常隐藏在一个系统文件夹中或磁盘较隐蔽的地方，起一个和系统文件十分相拟的名字。例如explore.exe和explorer.exe，explorer.exe进程主要负责显示系统桌面上的图标以及任务栏，而explore.exe则是一个启动木马的程序。也有个别病毒程序以隐含文件形式出现。普通用户很难将病毒程序与正常程序区别开来。

通过“进程综合信息”功能，查看是否有报成“其他软件”的程序，因为一般病毒是很难伪装成为“windows系统”文件的，windows系统文件也很难被替换。如果伪装成“应用软件”，微点也将报成“其他软件”。所以普通用户只需关注“其他软件”，查看此程序是否提供产品自述、产品名称、描述、名司名称和文件版本信息，如果此程序没有提供上述信息，又是用户不认识的程序，可以粗步判断此程序有危险性。

• 衍生性：

当一个病毒程序发作时，除了自身对计算机系统产生的危害，还有可能产生新的衍生程序驻留在计算机中，伺机再对计算机造成新的破坏。

普通反病毒软件通常只对病毒原程序做出处理动作，但对于病毒产生的衍生程序却无法处理。微点软件通过“进程综合信息”，可以在“其他软件”中发现正在运行或已退出运行的“可疑程序”，对“可疑程序”进行处理，并通过“程序生成日志”，对“可疑程序”产生的衍生程序进行处理，不留后患。

• 主动性:

病毒对系统的攻击是主动的，不以人的意志为转移的。病毒经常通过修改注册表和其他方式，使此可以伴随着系统的启动而启动，达到主动传播病毒的目的。

通过“系统自启动信息”、“进程启动日志”和“注册表变更日志”，查看非正常启动的程序和被修改的注册表信息，对其进行修复，清除有害程序。

• 传染性:

传染性是病毒的基本特征。计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。

• 通过“程序生成日志”、“系统自启动信息”、“进程启动日志”、“注册表变更日志”、“模块/进程”和“进程网络信息”进行综合分析，查看此程序的父子进程和模块调用信息，是否产生衍生物，是否有不正常的程序启动，是否对注册表信息进行了修改，是否有不正常的网络访问行为，如果具备了上述条件，可以判定此程序为有害程序。可以通过“程序生成日志”和“进程网络信息”对有害程序及此衍生物进行处理，通过“注册表变更日志”对被修改的注册表信息进行修复，达到彻底处理有害程序的目的。

参考资料

相关条目

超级兔子 windows优化大师 病毒 白猫清理工 变速精灵 恶意软件清理助手 微点主动防御软件

外部连接

• ★★★★★官方：http://www.micropoint.com.cn/download/
• ★★★★★下载:硅谷动力
• ★★★★☆微点主动防御软件安装合法性校验程序:http://download.micropoint.com.cn/MD5CHECK.exe

• 产品名称 mp.060603.r3.exe
• 产品校验码 c8531bd6902c413d6015554a1d5a8492