为什么要使用 反木马病毒专家?

软件荣誉

反木马病毒专家是一款集传统的病毒库技术与新一代的启发式查杀、主动防御与一体的安全软件， 通过扫描、检测、监测等技术手段对木马病毒进行查杀，为系统提供全方位立体保护。 尤为突出的是，反木马病毒专家的进程 防火墙中，使用了第2代主动防御技术。即在传统主动防御的基础功能上，更进一步的同时使用了病毒库、黑名单、白名单、用户层无挂钩拦截，将软件对病毒木马的防护提功提高到了一个新的等级。此技术的使用，在国内，甚至国际也堪称一流。软件性能由此可见一斑。 反木马病毒专家界面简洁大方、功能分类明确，且没有复杂的设置、操作，即使是新手初次使用也可轻松上手。 软件共有9个功能界面,分别是：状态、扫描、防火墙、监控、分析、工具、报告、升级、帮助。在各分界面有各自相应的操作设置和按钮，只需简单的点击鼠标即可实现相应的操作。 主动防御 本软件的主动防御功能内置于“防火墙”界面中，此防火墙并非传统的网络防火墙，而是实现主动防御的进程防火墙，它可对系统内各进程进行监控、将木马病毒遏制在萌芽状态。与同类软件的主动防御不同，本软件的进程防火墙结合了扫描用病毒库、并内置白名单，可自动识别、区分数十万种病毒木马和各类软件，并进行自动处理。 对于病毒，自动截杀，对于正常软件，自动放行。极大的方便了用户操作使用，并可免去众多不确定操作提示让用户选择操作的弊端，在主动防御史上，这将成为一个划时代的进步。 查杀木马病毒 反木马病毒专家共有两种查杀方式：“启发式查杀”、“扫描式查杀”，另加“可疑文件扫描”。 启发式查杀：采用行为识别系统，通过检测木马病毒行为进行查杀操作； 扫描式查杀：传统的杀毒方式，以病毒库为基础，通过特征码匹配技术进行杀毒； 可疑文件扫描：非杀毒行为，该功能是用于检测带有木马病毒特征的文件。 系统安全分析报告 对系统进行一次全方位“体检”，并生成检测报告，对此报告您可能看不懂或是不明白其中某些部分，没关系。您可将报告发给我们，或是将它发贴到各论坛安全版块，自会有人为您做出解释，告诉您系统的安全性。 另外，在“分析”界面中，还有启动管理、进程管理、网络管理等功能，供高手使用。 更多...

2007年度中国优秀共享软件 2006年度中国优秀共享软件 Intel全球合作伙伴

杀毒不如防毒，第2代主动防御初体验

  上世纪80年代末，出现了第一个计算机病毒。紧接着，以清除病毒为目的，出现了杀毒软件，病毒与杀毒软件之间的抗衡便自此开始。时至今日，随着病毒的演变发展，杀毒软件也被迫经历了多次变革。
  从技术角度来讲，历史上，杀毒软件主要采用的是特征码技术对病毒进行查杀。做为杀毒软件的常规技术，特征码匹配法具有准确度高、误杀率低的特点；但也有其致命的弱点：在时间上置后于病毒，必须先取得病毒样本，提取特征码，加入病毒库，然后才能查毒杀毒。对于未知病毒，无法进行检测和清除。在这种情况下，各大安全厂商开始研发新的杀毒技术，以求可以检测未知病毒。
  主动防御，做为最成功的研究成果之一，近几年已逐渐被广泛使用并被用户认可。不同安全商对主动防御在具体的定义和技术实现中有所不同，通常主动防御设置在对文件、注册表、进程、网络访问等操作的控制上。病毒入侵系统的流程大至为：传播(网络途径、U盘、软件捆绑等)→病毒文件进入系统→病毒运行→为害系统(删除文件、感染系统文件、盗取密码、读写注册表、接受远程控制等)。主动防御可以在病毒运行前直接删除或做出警告、在病毒进行注册表读写、文件读写操作时提示用户。
其中真正有实用意义的是病毒在运行前的阻止或提示信息，因为：如果能在此处发现病毒，则可直接阻止病毒对系统的入侵。而如果已经运行了病毒，则病毒可能已对系统某些方面造成了破坏，此时再检测注册表、文件读写等行为进行防御，已没有多大实在意义。
   当前国内外主流的杀毒软件都已引入并应用了主动防御功能，比如卡巴斯基、诺盾等。但各自在应用的深度和广度上有所不同，效果自然也不尽相同。本文将要介绍给大家的主动防御软件，可能目前不为很多人熟知，但其强大的功能与优势在国内甚至国际也堪称一流，甚至可以说，已经成为了第二代主动防御产品的先驱。如此褒奖的原因是：它在传统主动防御的基础功能上，更进一步的同时使用了病毒库、黑名单、白名单、用户层无挂钩拦截。该主动防御就是：“反木马病毒专家”的进程防火墙，如下图所示：

  反木马病毒专家是国人开发的一款杀毒软件，曾在过去的两年中连续获得中国优秀共享软件称号，软件性能由此可见一斑。如上文所讲，该软件的进程防火墙使用了强大的主动防御技术，在防御拦截时，优先级为：病毒库>黑名单>白名单。当一个程序要启动时，先使用病毒库检测，如果发现是病毒，则会自动杀掉病毒，并弹出窗口提示用户，如下图所示：

  如果在病毒库中没有发现该程序的匹配数据，则接下来进入黑名单库中检查，如果检测到，同样会自动进行查杀。如果在黑名单中也没有检测到数据，表明要运行的程序暂时没有被本软件记录，但不能完全保证就是安全的程序，还有可能是未知的恶意程序。因此这时程序依然不会被运行，而是进入白名单库中进行检查，如果是白名单中的文件，才会放行(放行后也会有提示窗口)，否则会提示用户做出选择，如下图所示：

   在此处理方式询问窗口中，用户可以自由选择运行程序，或是将其终止。而且在提示信息栏中，还有程序的相关提示信息，供操作参考，对用户而言可谓体贴入微。

  如此这般，任何程序的启动都会经过众多项检测：若是病毒，直接清除，为系统提供了严密保护、若是正常程序，直接放行，又方便了用户操作，可以说真的是即安全又简单。
  不管是直接清除了病毒，或是放行了正常程序，都会在软件中产生相应的记录，一切对用户完全透明，可供随时查看。
  传统主动防御在技术上使用的是API HOOK技术，即通过挂钩用户层API或SSDT HOOK。如果恶意程序将API挂钩恢复到系统原始状态，则其主动防御功能可被直 接跳过，成了摆设。在现实中这种情况也是频有发生，这也就是为什么有些用户使用了主动防御软件却还是会莫名其妙中毒的原因。前文曾提到，反木马病毒专家的进程防火墙使用的是用户层无挂钩拦截技术，此种方式不依赖于API HOOK，因此从根本上杜绝了被病毒绕过的可能，只要软件在运行，主动防御就在时刻保卫系统的安全。
   最后提醒广大用户，使用安全软件，一定要到安全的下载站或软件官方网站下载，这样才可保证下载到的软件安装包是安全无毒的。本文所提到的反木马病毒专家，官方网站是：http://www.81915.com/

反木马病毒专家
软件功能
目 录

第一章、软件简介

第二章、 系统需求

第三章、软件的安装与卸载

    3.1、安装

    3.2、卸载

第四章、软件使用说明

    4.1、状态

    4.2、扫描

    4.3、防火墙

    4.4、监控

    4.5、分析

    4.6、工具

    4.7、报告

    4.8、升级

    4.9、帮助

第五章、客户服务
　

第一章、 软件简介

  反木马病毒专家是一款安全软件，用于清除木马、病毒，保护系统安全。软件集传统特征码扫描技术与新式的启发式发毒与一身，兼有第2代主动地防御体系。就防御木马、病毒入侵系统的时间角度而言，可在事前、事中、事后三个时间段为系统提供保护。事前，有主动防御；事中，可用启发式查杀；事后，特征码扫描清除。三重保护，可将木马、病毒入侵风险降至最低，最大限度保护系统不被入侵。
　

第二章、 系统需求

  本软件不保证对以后出现的硬件和软件完全支持。

  软件环境要求：
  Windows操作系统：Windows NT/2000/XP/2003/Vista
  硬件环境要求：
  CPU：PIII 500 MHz 以上
  内存：64 MB以上，最大支持内存4GB
  显卡：标准VGA，24位真彩色
　

第三章、软件的安装与卸载

  反木马病毒专家提供了绿色压缩包和软件安装包。对于绿色压缩包，只需解压即可使用。此处所述是指使用软件安装包的情况。

  提示：建意您使用软件官方提供的安装包或绿色压缩包版，通过其它渠道获取的软件，我们无法确定其安全性。

3.1、安装

  将安装文件从软件压缩包中解压后运行或在压缩包中直接双击运行,如图3.1.1所示。

图3.1.1

  会看到软件的初始安装界面,如图3.1.2所示。

图3.1.2

  点“下一步”铵钮，进入软件安装位置选择界面，如图3.1.3所示。

图3.1.3

  在这里，可以选择软件的安装位置。默认位置是在：“系统盘:\Program Files\反木马病毒专家”，可以通过点击“更改”铵钮选择其它的安装位置。点击“下一步”铵钮后，开始安装过程，如图3.1.4所示。

图3.1.4

  之后，会提示您安装完成。



3.2、卸载

  当您要卸载本软件时，可依次点击“开始”->“程序”->“反木马病毒专家”->“卸载反木马病毒专家”打开卸载程序，如图3.1.6所示。

图3.1.6

  软件卸载过程只需在依次出现的界面上点“下一步”铵钮即可完成。



第四章、 软件使用说明

  根据功能不同，软件共分9个操作界面，非常简洁、条理。本说明将依次对界面功能进行介绍。

4.1、状态

图4.1.1

  在本功能界面中，显示了软件最常用的各种数据和设置项，如图4.1.1所示。所显示的数据中，为分三个大类：

  1>、注册状态
  显示软件是否已注册，如果没有注册，则更详细的显示试用期限，及购买链接，注册码输入按钮。

  2>、版本状态
  显示软件版本号、病毒库版本号、及相应的最近一次升级时间。

  3>、设置状态
  显示软件常见功能项的当前状态，点击后面的“改变状态”可启用或停止相应的功能。

换肤功能
  软件具有换肤功能，并自带了两套风格相近的皮肤：蓝色风格和绿色风格。软件的默认皮肤是“蓝色风格”，用户可进行选择修改。修改后即时生效，并会记忆，在下次软件启动新皮肤。

  打开软件的安装目录，可以看到一个Skin目录，里面存放的是软件皮肤文件。为了方便用户定义皮肤，软件使用的是bmp格式的图片。有兴趣的用户，只需简单的依原有格式修改或替换每个图片即可做出属于自己的个性软件皮肤。



4.2、扫描

图4.2.1

  查杀木马、病毒的操作界面，如图4.2.1所示。如在软件简介中所述，本软件采用了传统的特征码检测查杀和新式的启发式查杀两种方式。因此，在该界面中，有“启发式查杀”和“扫描式查杀”两个分界面。

  可以看到，“启发式查杀”是做为默认界面的，其引申的含意是，在本软件中，是以启发式查杀为主，扫描式查杀为辅。

  传统的特征码检测查杀(扫描式查杀)技术，做为反病毒反木马的常规手段，已走过了近20年的岁月，它曾有着光辉的历史，但随着病毒、木马技术的发展，以及刻意对该技术的对抗。这种传统的查杀手段在新式木马、病毒的面前已显的越来越力不从心，开始逐渐淡出历史舞台。

  本软件采用的启发式查杀技术是以木马、病毒行为识别为基础的一种新式检测技术，其特点是检测速度极快、准确率高。一次扫描过程只需数秒即可完成。

  此外，“可疑文件检测”功能可以检测系统中带有病毒或木马特征的文件，在此扫描到的文件，可以提交给我们或是专业分析机构进行进一步确认。此功能对于发现新出的病毒、木马具有较强的实用性。

4.3、防火墙

图4.3.1

  本软件的防火墙，并非传统的网络防火墙，而是采用了新一代主动防御技术的“进程防火墙”。

  主动防御，做为近年来最成功防病毒、木马研究成果之一，已逐渐被广泛使用并被用户认可。通常主动防御设置在对文件、注册表、进程、网络访问等操作的控制上。病毒入侵系统的流程大至为：传播(网络途径、U盘、软件捆绑等)→病毒文件进入系统→病毒运行→为害系统(删除文件、感染系统文件、盗取密码、读写注册表、接受远程控制等)。主动防御可以在病毒运行前直接删除或做出警告、在病毒进行注册表读写、文件读写操作时提示用户。进而达到保护系统安全的目的。

  其中真正有实用意义的是病毒、木马在运行前的阻止或提示信息，因为：如果能在此处发现病毒，则可直接阻止病毒对系统的入侵。而如果已经运行了病毒，则病毒可能已对系统某些方面造成了破坏，此时再检测注册表、文件读写等行为进行防御，已没有多大实在意义。

  本软件的进程防火墙，名如其意，使用了主动防御技术阻止病毒、木马的启动(创建进程)。具体实现上：在传统主动防御的基础功能上，更进一步的同时使用了病毒库、黑名单、白名单、用户层无挂钩拦截(不会被恶意软件非法关闭)。从技术革新角度来讲，此举已到达了一个新的高度，甚至可以说已成为第二代主动防御产品的先驱，如图4.3.1所示。

  从该界面中还可以发现，本功能没有复杂的操作或设置选项。只要软件打开运行，防御机制即自动开启。由于内置黑、白名单及病毒库的存在，软件有能力自动分辨正常程序和木马、病毒。默认状态下，当软件自动执行了拦截或放行操作时，会弹出如图4.3.2、4.3.3所示的窗口对用户进行提示(可以在“设置”分界同中取消提示窗口)。

图4.3.2(自动放行正常程序)

图4.3.3(自动阻止木马、病毒)

  当遇到未知的程序启动时，则会弹出窗口询问用户处理方式，如图4.3.4。有此多重保护，正确操作下，可完全将木马、病毒阻当在入侵系统的第一步。系统安全，无忧！

图4.3.4

  无论是直接放行、阻止或是提示用户选择操作，软件都会对这些操作进行记录。用户可以在图4.3.1所示的“记录”窗口了看到。



4.4、监控

  即实时监控，软件在后台运行时，当发现系统中有异常，会弹出类似于图4.3.2的窗口对用户进行提示。同时会在本界面窗口中产生相应的记录。如图4.4.1所示。

图4.4.1

4.5、分析

  本功能适用于对系统有一定了解的用户手工操作使用，以分析系统安全性，并生成系统安全性分析报告，界面如图4.5.1所示。

图4.5.1

  从界面上可以看到，此功能下分五个分界面：
  1>、自启动项
  这里显示的是系统启动后会自动运行的软件，可能是正常的各种软件，也可能是木马或病毒。无论如何，在这里列出的软件，都是会在系统启动后第一时间内自动运行的，会对系统启动速度造成影响。该界面上提供了删除功能，可供用户手动清除某些不必要的启动程序。
  2>、进程
  这里显示的是系统中正在运行的各程序，包括详细的文件路径。“结束进程”功能可以杀掉系统任务管理器中无法结束的程序。
  3>、网络连接
  这里显示的是当前系统所有的对外连接，及详细的端口、IP地址、连接状态等信息。“删除链接”功能可以切断某个指定的连接。
  4>、服务
  列出了所有的系统服务项，“可疑服务”功能显示的是非系统原有服务，用于分析系统中是否多出了可疑的服务项。
  5>、分析报告
  本模块的主要功能。生成一份完整的系统安全分析报告，根据此报告，可以分析出系统中是否被木马或病毒入侵，对于新手而言，这是非常实用的功能。可将此报告发给我们或贴至安全论坛让专业人士帮忙分析。

4.6、工具

  本软件的高级功能，有三个子功能模块组成：

  1>、Anti Inline Hook
  什么是Inline Hook？
  简单的讲，在木马和病毒技术领域，Inline Hook是指一种自我保护和对抗安全软件的高级技术：通过修改系统API入口点或其它程序跳转指令，实现对系统功能的修改，以达到隐藏木马或病毒自身，使用户无法发现、防止自身进程被结束等效果。

  本软件的Anti Inline Hook功能可以检测并修复被恶意劫持的系统API，以使隐藏的木马、病毒现形、进而可以清除，如图4.6.1所示。

图4.6.1

  如想检测系统中是否存在Inline Hook,点击“实时检测”按钮。想同时进行检测并清除时，则点“实时检测并修复”。

  2>、Anti SSDT Hook
  SSDT的全称是System Services Descriptor Table，系统服务描述符表。通过对此表修改，同样可以实现上述的隐藏进程、防止被结束的效果。因此也被木马、病毒大量使用。

  有些木马、病毒在清除后常会重生或是根本无法清除，其原因很可能就是使用了Inline Hook或 SSDT Hook技术进行了自我保护。在实际清除木马病毒的过程中如果遇到这种情况，不防先使用这两种功能检测、清除一下，会有不错的效果。

  3>、顽固文件删除
  删除顽固文件，只需将要删除的文件添加到列表中，点击“强力删除”铵钮，即可删除文件。进行此操作时需要重启启动计算机。

4.7、报告

  本软件的辅助功能，用于查看和管理查杀记录和其它分析记录，如图4.7.1所示。

图4.7.1

  在本软件进行以下操作时可以保存记录：

  1>、在“扫描”功能模块中，进行启发式查杀、扫描式查杀和可疑文件扫描后，都可以点击其界面上的“保存记录”铵钮，对结果进行保存。
  2>、在“防火墙”功能模块中，“记录”子界面中的数据可以进行保存。
  3>、在“监控”功能模块中，点击其界面上的“保存记录”可对监控记录进行保存。
  4>、在“分析”功能模块中，可以保存“分析报告”。
  5>、在“工具”功能模块中，可对“Anti InlineHook”产生的记录进行保存。

4.8、升级

图4.8.1

  这里可以对软件主程序和病毒库进行升级操作，如图4.8.1所示。

  1>、病毒库升级
  点击“升级”按钮，软件会自动检测病毒库版本并进行升级。
  在界面右方的“病毒库自动升级”栏，选中后，软件会在一定的时间周期自动进行升级操作，无须人为操作。
  如果由于网络原因或其它意外操作，病毒库在升级过程中损坏，则可以用“病毒库修复”功能。
  2>、软件升级
  同样是点击“升级”铵钮进行新版本的检测和升级。升级文件可能有多个，会在下方的列表框中显示，并逐个升级。
  病毒库升级和软件升级都需要联网操作。

4.9、帮助

图4.9.1

  该界面中提示了软件的官方网站地址，如果在软件的使用过程中遇到任何问题，可以以此链接为入口，进入网站后寻找更进一步的帮助，如图4.9.1所示。

第五章、客户服务

  访问反木马病毒专家官方网站（http://www.81915.com/），根据网站指引，用户将产品和问题情况填写清楚后提交。工程师收到邮件后会将解决方案或指导意见回复到用户电子邮件信箱。

介面抄avg~效果不詳

这个是AVG吗？？？怎么这么像？？？！！！！！

就是啊，界面和AVG差不多，应该说是很像

很久没有使用这个软件了

多谢分享，回头试试看

希望有人出个测试

山寨版AVG