查杀未知病毒才是真正主动防御

　　微点主动防御软件最显著的特点是，除具有特征值扫描技术查杀已知病毒的功能外，更实现了用软件技术模拟反病毒专家智能分析判定病毒的机制，自主发现并自动清除未知病毒。

　　既然反病毒工程师可以通过分析程序行为而准确判定一个程序是否是病毒，那么能否将这种分析判断过程自动化、程序化呢?刘旭认为这种想法是可行的。微点主动防御技术正是根据这种思路设计的：通过对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼成病毒识别规则知识库;模拟专家发现新病毒的机理，通过分布在操作系统的众多探针，动态监视所运行程序调用各种应用程序编程接口的动作，将程序的一系列动作通过逻辑关系分析组成有意义的行为，再综合应用病毒识别规则知识，实现自动判定病毒。

　　刘旭介绍，主动防御技术体系必须以具备动态仿真反病毒专家系统为先决条件，以自动准确判定未知病毒为基本诉求，以程序行为监控为保障机制。

　　面对当前形形色色的主动防御概念，该如何辨别呢?刘旭指出，与所有的反病毒技术一样，主动防御技术也必须要实现对程序的性质做出明确判定，是病毒，就应明确报警并提示用户发现病毒。如果只是对程序的单一动作报警，由用户自己判断这个动作是否具有威胁，就不是主动防御。这里所说的程序动作，是指反病毒软件监控到程序调用了Windows提供的某个API。API是Windows为程序开发提供的功能，正常程序可以使用，病毒也可以使用，也就是说API本身并没有善恶之分。如果仅仅依据程序的一个动作就报警，那么普通用户实在难以判断这个动作究竟是否有害，更会感到无所适从，这显然不是广大计算机用户所需要的反病毒技术。

　　力拒“熊猫烧香”

　　“熊猫烧香”病毒是国内编写的一种蠕虫病毒，在2006年10月至2007年2月期间，造成全国数百万台计算机被感染和破坏，影响恶劣、损失巨大。

　　为了躲避杀毒软件查杀，病毒编写者每天多次更新修改“熊猫烧香”病毒程序，先后共编写并传播了数百种“熊猫烧香”病毒。病毒编写者甚至还在病毒中留言，公开挑战反病毒公司，展开了一场病毒编写者与反病毒公司之间的激烈较量。

　　在这场较量中，只有当某种“熊猫烧香”病毒出现并造成部分用户受损后，反病毒公司才能捕获到该种病毒，然后更新病毒库为染毒用户提供处理方案。但是，“熊猫烧香”的变种速度甚至比杀毒软件更新速度更快，旧的“熊猫烧香”还未被完全剿灭时，新的“熊猫烧香”已开始在网络上兴风作浪。

　　“熊猫烧香”病毒不断更新，使得杀毒软件也要被迫不断升级，可“熊猫烧香”病毒的感染和破坏并没有因此而得到有效遏制。在这场长达数月的较量中，传统杀毒软件无力为用户提供有效保护，直到病毒编写者被捕后才告结束。“熊猫烧香”病毒凸显传统反病毒技术的致命缺陷，促使了反病毒技术从特征值扫描向主动防御转变。

　　这场残酷的较量中，微点主动防御软件经受住了“熊猫烧香”病毒的严峻考验。当时，微点主动防御软件是国际上仅有的一款无需升级即可防范“熊猫烧香”病毒的反病毒产品。使用微点主动防御软件的百万用户无一被病毒感染，即使没有升级的微点主动防御软件2005年版本，同样可以实现对“熊猫烧香”所有变种病毒的准确报毒和自动清除，充分体现了微点主动防御技术的先进性。