中孚恶意程序辅助检测系统V2[1].0_单机版使用说明书

产品说明书中孚恶意程序辅助检测系统V2.0之单机版使用说明书山东中孚信息产业股份有限公司版权所有翻版必究产品说明书版权声明中孚公司,©2009版权所有，保留一切权力。未经中孚公司书面同意不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本文档中的信息归中孚信息产业股份有限公司所有并受中国知识产权法和国际公约的保护。信息更新本文档及其相关计算机程序仅用于为最终用户提供信息，并且随时可由中孚信息产业股份有限公司更改或撤回。免责条款根据适用法律的许可范围，中孚公司按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，中孚公司都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使中孚公司明确得知这些损失或损坏，这些损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。本文档中所有引用产品的使用及本文档均受最终用户可适用的特许协议约束。产品说明书修订记录：日期版本修改2009-11-23V1.0第一版产品说明书目录第一章公司简介··············································································1第二章中孚恶意程序辅助检测系统简介················································32.1概述···································································································32.2主要功能·····························································································42.3主要特点·····························································································5第三章中孚恶意程序辅助检测系统使用向导··········································6一、初始设置·····························································································6二、功能介绍·····························································································72.1计算机体检·························································································72.2U盘摆渡木马监测···············································································192.3木马扫描···························································································222.4域名实时监测·····················································································252.5可疑文件扫描·····················································································31第四章技术服务···········································································35产品说明书地址：济南市高新区舜华路2000号舜泰广场9号楼8层邮编：250101总机：0531-66590000传真：0531-665904561第一章公司简介中孚成立于1997年，是国内一流的信息安全保密产品供应商和安全服务提供商。公司是国家级软件产业基地--齐鲁软件园的骨干企业，国家火炬计划、国家发改委信息安全专项和国家电子信息产业发展基金项目承担单位。公司是首批在国内获得国家涉密集成资质的企业之一，具有国家认可的涉密信息系统综合服务能力。公司具有国家商用密码定点生产单位资质和商用密码销售许可证书，以及国家信息产业部认定的系统集成资质。公司凭借自身的技术优势先后承担了六项国家级重点科研项目。通过不断的自主创新，公司在物理隔离、安全中间件、网络检查、终端安全防护、数据销毁和商用密码等技术领域取得了可喜的成绩，积累了宝贵的经验，现拥有40多个具有自主知识产权的软硬件产品，涉及技术领域如下：●物理隔离领域：公司是国内最早从事物理隔离产品研发的主流厂商之一，物理隔离产品先后获得国家保密局、国家公安部、中国人民解放军等权威部门的十多项认证，产品与联想、浪潮两大主机厂家进行配套，06年国内首家推出“实时切换物理隔离”技术，并且第一家通过国家保密局认证。●安全中间件领域：2002年公司承担了国家保密局立项的《电子政务通用安全中间件V1.0》项目，并通过了国家级科学技术成果鉴定，该系列产品已经广泛应用到各级政府机关和军工企业的涉密内网中，为涉密网络提供符合国家保密标准的安全保障机制。●网络检查技术领域：采用单机检查取证技术、网络漏洞检查取证技术和互联网搜索取证技术，对计算机网络进行检查取证。该系列产品通过了国家保密局、军队的权威认证，已经成为我国各级保密和安全主管部门进行检查的专用设备。●数据销毁技术领域：该项技术于2006年在国家保密局科研立项，通过了国家保密局、军队的权威认证，填补国内空白，能够彻底解决数据删除后可以通过特殊工具被恢复的问题。●商用密码技术领域：公司是国家商用密码产品定点生产单位，自主研发的高速USBKey、高端加密卡、身份认证中心等系列产品在工商、金融、政府等领域得到了广泛应用。产品说明书地址：济南市高新区舜华路2000号舜泰广场9号楼8层邮编：250101总机：0531-66590000传真：0531-665904562●终端安全防护领域：该系列产品通过国家保密局权威认证，采用先进的活体指纹识别技术和USBKEY技术有效提高计算机终端和移动存储介质的安全保密性能。公司专注信息安全保密领域，具备国内领先的自主研发能力，已经形成了以物理隔离和安全中间件技术为基础，覆盖信息安全体系多个层面的系列产品线，从底层硬件到上层安全应用软件，构建整体的安全产品平台。尤其在物理安全、网络检查及数据销毁领域，全国领先，正引领着该领域的快速发展。公司具备完善的质量管理体系，2005年通过了ISO9001质量体系认证，2008年通过了CMMI三级评估，通过规范化的管理，公司建立了以山东为龙头，覆盖全国三十个省的销售服务网络，产品在国家保密局等几万家党政军机关或企业事单位得到了推广应用，受到了广大客户的好评与青睐。公司凭借资深经验，规范的实施管理，正逐步成为中国信息安全整体解决方案的一流提供商。产品说明书地址：济南市高新区舜华路2000号舜泰广场9号楼8层邮编：250101总机：0531-66590000传真：0531-665904563第二章中孚恶意程序辅助检测系统简介2.1概述随着网络技术的迅猛发展，网络安全问题的日趋严重，黑客攻击的日益猖獗，不亚于非典时期的病毒对人类社会的影响，数据安全、信息保护、用户隐私等问题变得比任何时期都重要。近年来，境内外敌对势力和情报机构在采取收买、策反、渗透等传统手法的同时，更加注重借助高科技手段进行窃密，目标直指我党政军领导机关、国防军工科研生产单位和重要计算机信息系统，直指我要害部门、部位的涉密人员，直指我党和国家核心秘密。境内外敌对势力和情报机构窃取文件、帐号、信息的手段也在不断变化与进步，其攻击水平不断的提高，加上日趋成熟的攻击工具，以及越来越复杂的攻击手法，使得网络防范面临极大的困难。新型的未知恶意木马、病毒通过使用内核技术和变种技术对安装了防病毒、防火墙软件的计算机具有免疫力，依然可通过U盘、网络下载、网站浏览、软件安装等多种途径潜入计算机。传统杀毒软件和安全软件由于技术上的局限，对未知或者变种的木马病毒，在查杀和检测上一直处于一种被动的地位，传统通过病毒，木马特征码扫描方式进行查杀已经属于一种落后的方式。近几年来，国内一些安全厂商推出主动防御的防范方式对新型木马病毒进行防御，但是这种方式对于已经感染了木马或者木马使用针对性的方式躲开检测显得无能为力，这种新型木马对计算机实行肆虐的破坏和信息窃取，威胁极大！如何快速判断计算机是否健康，帮助计算机摆脱病毒、木马的破坏和侵蚀，是信息化维护和安全保密主管部门检查的一个工作重点。单机体检系统使用本公司提出的一种新颖的技术，鉴于病毒木马在计算机中肯定有自己的运行行为，智能分析功能通过对计算机运行行为进行分析，只需一键式操作，对木马病毒的检测达到了一种智能化的状态，特别对于未知的病毒木马有良好的检测功能，并使用强大的底层技术，对自我进行保护，顽固的木马病毒可以轻松实现文件的粉碎，对通过各种手段隐藏自己的木马可以进行准确的定位。其中U盘摆渡木马监测功能，为用户的安全和经济考虑，如果使用真实U盘进产品说明书地址：济南市高新区舜华路2000号舜泰广场9号楼8层邮编：250101总机：0531-66590000传真：0531-665904564行检测，难免出现用户操作不小心，导致U盘木马的反复传播，而且检测时要配置专门U盘。本程序为避免以上现象,使用内核技术，虚拟出一个U盘，不需要用户提供检测用的U盘，虚拟的U盘和真实U盘一样，可以正常的对其使用U盘的一切操作。U盘摆渡木马对病毒行为检测，类似于杀毒软件的主动防御，可以准确有效地监控到木马、病毒对u盘感染或者窃取资料的行为，并且可以准确的提供给用户，方便用户进行查看和记录。2.2主要功能中孚恶意程序辅助检测系统单机版是以防病毒的U盘或光盘作为软件载体，检查人员只需在被检计算机上运行载体中的软件程序，即可完成对计算机是否感染已知高危木马和未知木马的一键式检测。系统通过静态和动态两个检测引擎搜集基础信息，利用木马特征库和评估模块进行基线安全点对比分析，并快速给出评估报告。更可利用“智能分析”模块动态跟踪分析已知或未知木马的入侵和窃密行为，通过嵌入式报表系统快速打印关注的检测项报告，检测结果一览无遗。1、计算机体检对目标计算机进行手动和智能分析，模块包括智能分析、自运行启动项、进程管理、服务管理、本地端口、文件关联、IE加载项、HOST文件、SSDT等。“智能分析”模块可疑根据木马的计算机进行判断，并且通过系统智能化的分析，给出用户安全的处理建议，保证计算机的使用安全。2、U盘摆渡木马监测摆渡木马是指通过移动存储介质像渡船一样在内外网之间摆渡木马和文档，是一种利用U盘等移动存储介质窃取内网机密信息的攻击手段。摆渡木马是当前物理隔离网络的最主要威胁。“U盘摆渡木马监测”模块能够自动模拟U盘设备防止交叉感染，并监测U盘活动，从而发现目标计算机中潜在威胁。3、木马扫描扫描目标计算机系统中的木马等恶意程序。能够提供检测到的恶意程序的名称、安装时间、危害等级、危害行为详细描述和解决方案建议等信息。产品说明书地址：济南市高新区舜华路2000号舜泰广场9号楼8层邮编：250101总机：0531-66590000传真：0531-6659045654、域名实时监控对目标计算机的域名访问进行实时监测，监测内容包括域名、IP地址、地理位置等，能够及时、有效的发现目标计算机中潜在的恶意网络活动。5、可疑