【IT168 专稿】随着网络技术的不断进步，病毒袭击也是愈演愈烈的强悍，这让传统杀毒软件在防御方面已经倍感吃力，纷纷由原来的病毒库查杀，增加并侧重于主动防御的机制。但是仓促的改造总是不那么完美，因此笔者找到了微点主动防御软件，它的主动防御的安全体系，即使你的眼神再怎么挑剔，相信也挑不出来任何的“瑕疵”。

　　小提示：微点主动防御杀毒软件是一款近年来上市的新款反病毒软件，它实现了以程序行为分析判断技术为主，特征码扫描为辅的安全防护体系，因此其不依赖于频繁被动升级，就可实现对新病毒的有效防护。

　　一、微点主动防御界面及安全防护

　　微点主动防御是系统第三方工具，所以下载安装步骤是必不可少的，我们首先打开IE浏览器，进入到http://download.micropoint.com.cn/mp.070604.1.2.10570.0110.r1.zip地址页面，将其微点主动防御软件下载到本地计算机。然后运行里面的“安装程序”，在弹出的“安装向导”对话框内(如图1)，一路单击“下一步”按钮，就可完成微点主动防御的软件安装。

　　接下来打开“微点主动防御软件”界面，首先印入笔者眼帘的是左侧主功能区里的六大功能项，然后就是右侧排列有致的标签按钮。笔者在左侧展开“安全防护与策略”的标签，选择其下方第一个选项“可疑程序诊断”，没想到它的检测速度可真够快的，大约几秒钟时间就可将系统里的程序，检测完毕并给出相应的结果(如图2)。

　　木马和病毒之所以能够入侵，其主要原因还是由于系统漏洞，未进行及时修补，才让一些恶意程序有机可乘。为了准确了解当前系统，有哪些漏洞没有进行修补，可以在“安全防护与策略”栏内，选择“漏洞扫描”标签，此时编辑区就会呈现出系统所存在的漏洞，并在每个漏洞名称后面，还会提供相应的漏洞补丁，让你无须登陆微软网站便可“逐步出户”的下载安全补丁(如图3)。从而可以一定程度上，避免大家因为下载补丁，而闯入他人伪造的微软站点，使自己踏入下载补丁不成，反中招的尴尬局面。

　　另外微点主动防御软件，还提供了对系统实时监控功能，如果有恶意程序加载到系统，软件就会对其立即进行拦截(如图4)。

　　根据框内所显示的程序路径，以及文件名称，我们可以判断它就是木马程序，然后选择“删除(推荐)”单选框，单击“确定”按钮，就可将其想要“图谋不轨”的木马删除。反之如果是安全程序被拦截，请选择“不删除”单选框，并勾选“添加为可信程序”复选框后，在单击“确定”按钮，以后该安全程序再次被运行时，不仅不会被拦截，而且它还会以自动通过的方式执行，从而减少了弹出一些无用窗体的骚扰。当然本地程序行为实时监控策略是可以设置的，我们可以在“安全防护与策略”栏内，选择“程序行为实时监控策略”标签，然后在其右侧面板内，可对拦截程序处理方式、是否锁定系统时间、是否显示软件启动界面和托盘图标，以及对可信程序设置等(如图5)。勾选完相关的设置功能后，单击“保存设置”按钮，方可使其设置生效。

　　除此之外，它还提供了强大的防火墙功能，而且防御的体系可以由用户，根据所规定的规则包自行设置，这里一共提供了五个规则包，默认执行的防御是规则包一，我们在编辑区规则列表里，选择“规则包一”选项，其后边功能描述就会显示出该包的防御功效，如：开放网络，不对进出数据包做任何限制。其他规则包也是一样，如果这里你对以上规则包策略，很不满意，用户可以采取编辑和自己创建的方案，然后在将其导入执行即可，然后根据其介绍和自己创建、编辑的规则包，来选择适合自己的防御，从而可以有效抵御黑客的攻击(如图6)。

　　这里不排除你身处于局域网内，担心最近比较流行的ARP内网攻击，所以该软件还为大家提供了“绑定MAC地址”的功能，用户只要在“传统防火墙设置”界面内，单击“绑定MAC地址”按钮，此时就会弹出“IP与MAC地址绑定”的对话框(如图7)。

　　然后在依次单击“刷新网关”→“查找所有主机”按钮，将局域网内其他主机IP，和其对应的MAC地址查找到，并显示在右侧上方栏内。然后将其选择后单击中间的“移动”按钮，就可将其移动到左边，并且还会自动勾选上左下角“启动绑定”复选框，这时我们在单击“应用”按钮，就可实现对左边列表中的IP与MAC地址的绑定。

　　二、对系统及应用程序进行详细分析

　　前段时间频频爆出杀毒软件的误杀事件，想必让大家都感到很惊恐，有的用户甚至还成了这场误杀事件的牺牲品。由此可见杀毒软件有时也会犯点错误，为了防止它在病毒和木马上的疏漏，我们可以根据其所提供的系统分析功能，对当前系统所有存在的程序文件进行手工检测，可以让用户节省很多时间，即使你是一个对系统文件都不认识的用户，也可通过此功能自己找到可疑的木马程序。

　　众所周知，木马、病毒要想在系统里运行，首先会在系统进程里，插入属于自己的程序名称，才能发挥其恶意破坏的作用。了解了以上原理，我们在“微点主动防御操作”界面内，展开左侧“系统分析”栏，选择“进程综合分析”选项，其编辑区进程栏会显示出当前系统，总共运行了多少个程序进程。这里笔者机器有35个进程，然后将其展开下面会出现四个分支，分别是其他软件、可信程序、Windows系统、应用软件(如图8)。

　　因为木马进程不属于可信程序和Windows系统类的，所以我们主要把经历放到其他软件和应用软件身上，展开其他软件、应用软件，里面不仅提供了进程的名称，同时还会将路径和创建时间，以及模块信息也一并提供出来，这样我们可根据这些信息，便可轻松查找出哪个才是木马、病毒的真正进程，并将其终止运行。然后为了使其木马程序，在计算机重新启动后无法“死灰复燃”，我们在软件界面左侧，单击“系统自启动信息”标签，在右侧编辑区所显示的“系统自启动信息”内，根据提供的启动方式、程序说明，以及路径，便可轻松辨别出哪个才是启动该木马的程序，而后右击该“启动程序”横条，选择“仅删除自动项”或“删除文件与自动项”后，这样以后重新启动计算机，该木马就不会被调用激活了。

　　当然这里不排除侵入的病毒或木马，已经将系统注册表破坏了，所以为了修复其所破坏的注册表，有些用户还得到处寻找相关的修复软件来进行还原。其殊不知微点主动防御软件，就为用户提供了注册表修复功能，我们只要在“系统分析栏”内，单击“注册表修复”标签，然后在右侧勾选要修复的注册表项，单击“修复”按钮，就可将被破坏的项目恢复正常(如图9)。

另外上方还可以对IE浏览器的锁定进行解锁，其方法同上即可。如果不想IE下次再被木马、病毒锁定，可以选择“注册表保护”标签，从中将其想要保护的项目勾选上，单击“保护”按钮，就可实现对其注册表项目的保护了。

　　三、悬丝诊脉从流量数据里，判断有无木马、病毒侵入

　　利用系统分析来查看可疑文件，万一没有查到可不有点“杀鸡使用宰牛”的意思，而且相比网络分析里的IP流量图、端口流量图、进程流量图，其检查速度也要慢上半拍。要想利用这些流量图来判断木马，其实方法很简单，我们只要根据流量图里流量进行分析便可，这里标识流量一共有五种颜色，以IP流量图为例，红色为IP总量，如果你在没有做任何操作的时候，红色起伏度就很大，那么此时我们就可判定本机，已经被木马和病毒所感染了(如图10)。在有力的证据下，我们在利用系统分析法，寻找可疑木马才不会扑空。

　　四、充分利用安全日志与系统日志

　　日志数据可以是有价值的信息宝库，也可以是毫无价值的数据泥潭。要想保护和提高你的网络安全，由各种操作系统、应用程序、设备和安全产品的日志数据是远远不够的，因为现在黑客非常狡猾，在入侵完系统都会将其足迹打扫干净，常规下是不会留下一点脚印。所以我们不妨依靠微点主动防御的安全日志和系统日志功能，帮助自己提前发现和避开灾难，并且找到安全事件的根本原因。

　　在微点主动防御软件的安全日志栏内，分别包含了病毒日志、木马日志、溢出日志、蠕虫日志、网络入侵日志、异常访问网络日志、可疑程序日志，以及传统防火墙日志。这里以木马日志为例，当木马在本机内运行时，该日志不仅会将其木马名称记录，而且还会将木马运行时间、木马进程名、木马创建者，及其用户处理结果也一并备案(如图11)。其他安全日志的记录也均大同小异，这样我们就从记录便可知道，自己的系统是不是已经成了黑客的“盘中菜”了。另外系统日志功能，包含了管理员日志、升级日志、进程启动日志、程序生成日志、注册表变更日志，主要是记录黑客在入侵后，是否在系统里生成了木马，以便于我们很快能追踪到，其木马的藏身之地将其赶走。

　　总结：

　　微点主动防御软件，采用了国内领先的主动防御技术，同时它也是世界创新的主动防御病毒软件，其防御功效从以上我们就可以看出，其强悍的检查病毒能力，即使是没有被列入病毒库里的未知病毒，也难逃被清除的命运。其相比以前侧重于病毒库的杀毒软件们，可要强上很多啊，总不会因为不识别，而被木马玩弄于手掌。而且该软件比较人性化，为用户提供检测程序、进程启动、网络分析，以及系统分析等功能，这样即使杀毒软件有疏漏，用户也可利用所提供的功能，自行找到潜伏在系统内的木马程序。