通过使用微点如何提高病毒识别技能

guyou888

通过使用微点如何提高病毒识别技能

来自：MACD论坛(bbs.macd.cn) 作者：guyou888 浏览：1513 回复：1

微点主动防御软件除了自身强大的防病毒功能。对于使用者来说，还是很好的学习工具。微点可以监视系统内所以运行的进程，监视程序调用系统的各种API动作，并将监控信息进行了可视化显示。
通过主界面可了解程序的生成信息、修改注册表信息，进程的各种运行信息，进程运行所生成的程序文件、修改注册表信息，进程所调用的模块，模块被哪些进程调用，哪些程序可被操作系统自动运行，网络通讯信息等等。将这些原本为反病毒软件厂家研发人员如何去判断一个软件是否是为病毒的重要依据的信息，全部以可视化的形式展示出来，使普通的人也可以了解到这些信息，从而提高对病毒的识别技能。
我们以病毒的特征举一些例子：
1. 伪装欺骗性：
病毒一般是具有很高编程技巧，短小精悍的程序。通常隐藏在一个系统文件夹中或磁盘较隐蔽的地方，起一个和系统文件十分相拟的名字。例如explore.exe和explorer.exe，explorer.exe进程主要负责显示系统桌面上的图标以及任务栏，而explore.exe则是一个启动木马的程序。也有个别病毒程序以隐含文件形式出现。普通用户很难将病毒程序与正常程序区别开来。
通过“进程综合信息”功能，查看是否有报成“其他软件”的程序，因为一般病毒是很难伪装成为“windows系统”文件的，windows系统文件也很难被替换。如果伪装成“应用软件”，微点也将报成“其他软件”。所以普通用户只需关注“其他软件”，查看此程序是否提供产品自述、产品名称、描述、名司名称和文件版本信息，如果此程序没有提供上述信息，又是用户不认识的程序，可以粗步判断此程序有危险性。
2. 衍生性：当一个病毒程序发作时，除了自身对计算机系统产生的危害，还有可能产生新的衍生程序驻留在计算机中，伺机再对计算机造成新的破坏。
普通反病毒软件通常只对病毒原程序做出处理动作，但对于病毒产生的衍生程序却无法处理。微点软件通过“进程综合信息”，可以在“其他软件”中发现正在运行或已退出运行的“可疑程序”，对“可疑程序”进行处理，并通过“程序生成日志”，对“可疑程序”产生的衍生程序进行处理，不留后患。
3. 主动性:
病毒对系统的攻击是主动的，不以人的意志为转移的。病毒经常通过修改注册表和其他方式，使此可以伴随着系统的启动而启动，达到主动传播病毒的目的。
通过“系统自启动信息”、“进程启动日志”和“注册表变更日志”，查看非正常启动的程序和被修改的注册表信息，对其进行修复，清除有害程序。
4. 传染性传染性是病毒的基本特征。计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。
通过“程序生成日志”、“系统自启动信息”、“进程启动日志”、“注册表变更日志”、“模块/进程”和“进程网络信息”进行综合分析，查看此程序的父子进程和模块调用信息，是否产生衍生物，是否有不正常的程序启动，是否对注册表信息进行了修改，是否有不正常的网络访问行为，如果具备了上述条件，可以判定此程序为有害程序。可以通过“程序生成日志”和“进程网络信息”对有害程序及此衍生物进行处理，通过“注册表变更日志”对被修改的注册表信息进行修复，达到彻底处理有害程序的目的。

贪婪恐惧者

多谢斑竹！