安天的主机勘查取证套件（Host Forensics Suite）是专门用于系统动态取证和系统分析的专用软硬件系统。主要用于在涉案计算机现场保存环境中最宝贵的动态信息，以及进行深度系统分析。

    主机勘查系统提供了多个自动化取证模板，可以执行预设的自动化取证流程，降低了对取证人员技术能力的依赖。

    勘查取证工具箱捕获了计算机案件侦破中稍纵即逝的宝贵战机，也为其他静态取证环节打下良好的基础。与软件系统配套提供的工具箱其他配件，集中了取证分析经常使用的硬件处置工具，更为取证工作提供便利。

全面检测恶意代码

    当今计算机犯罪很多通过恶意代码作为作案工具，本系统嵌入了获得科技部创新基金的安天 AVL SDK 可嵌入反病毒引擎，可以发现各种蠕虫、木马、后门、僵尸程序、黑客工具、流氓软件，并能够发现大量非病毒的但与各类计算机犯罪关系密切的敏感程序。

对主机系统影响很小

    勘查取证套件实现了系统深度分析能力，通过多个检测点，对抗最新的Rootkit技术，可以发现隐藏非常深入的后门和木马。

系统深度分析能力

    主机保护系统可以自动配置主机到最佳安全策略，强化系统的安全性，自动化提升主机系统到最安全配置、全面升级系统补丁和修复系统漏洞。

严格的数字签名体制

    勘查取证系统生成的取证结果加密存储，并采用PKI体制进行加密，每套取证系统的检测结果只能被配套的报告中心所读取，也不能进行修改。

配件	说明
取证系统 U 盘	取证软件载体，软件运行于只读区，保留可写区进行各种病毒特征库和知识库升级，以及配置模版。
取证系统光盘	取证软件载体， CD-RW 自带加密点，重新刻录即可升级各种知识库。
载体工具箱	含 30 多种常用硬件工具。
取证分析手册 （印刷版）	指导取证工作的详尽手册。
取证分析手册 （PDA 版，可选件）	PDA 设备一台，可以通过智能向导指导主机取证。
移动取证支撑中心	移动式的高计算能力工作站，提供文件动、静态分析体制，更为强大的黑白名单支持，以及提供对取证软件载体的刷新服务。
远程取证工作站 （可选件）	体积与光驱相仿的特种工作站，接入网络后，建立网内启动镜像，从该镜像引导即可对本地系统进行取证分析。

典型的应用方案

    安天主机勘查取证套件基于一整套电子证据提取规范，能够快速高效地进行主机系统证据在线采集，同时提供了快捷、易操作的扫描和分析工具，能够按照用户需求定制无需人工干预的全系统安全扫描及报告生成。
    该方案的网络拓扑图如下：

病毒库升级类

• 病毒特征库和知识库升级

    提供不少于每周10次的高质量病毒库升级服务，在重大病毒事件发生时，则跟随病毒发展趋势随时提供升级。安天的病毒库经过严格的白名单测试，有效的降低了误报发生概率。

• β版病毒库升级通道

    安天可以按照用户的主动要求，开放β版病毒库升级地址，从而缩短用户响应时间。

• 病毒特征升级绿色通道

    对用户急需处理的病毒，提供 1 小时升级通道，确保在最短时间内查杀处理病毒。

---

交互支持类

• 上报应答服务

    针对单次的样本提交，在规定时限内，可以查询样本分析结果。
• 文件性质确认/文件分拣服务

    针对需要批量提交的待确认文件用户，在规定时限内（最长为 24 小时）确定程序的可信性，对有害程序给与准确的分类命名，并给出程序的关联特性。

---

信息类

• 病毒信息查询服务

    提供病毒百科全书查询接口，用户可以通过安天的官方命名、俗名和10多家主流反病毒厂商的名称进行查询，百科全书提供了病毒的基本属性、基本说明、对照命名、行为特点、流行风险等多方面的信息。
• 安全简报

    为用户提供每月一期的安全简报，通报最新安全态势、风险预警、病毒信息等。在重大安全威胁时提供紧急警报。

---

现场服务类

• 终端安全评估服务

    对终端节点提供高精度安全评估，提供评估报告。对大量终端节点提供抽样分析和汇总评估报告。
• 7╳5现场值守服务

    派出专署工程师每工作日值守用户网络，直接处置用户问题。
• 病毒事件现场处置服务

    由专业应急处理团队，在病毒事故爆发现场，迅速分析现场和成因，形成处置策略，完成全面处置。

---

后端支持类

• 恶意代码行为分析服务

    安天对每个样本在 48 小时之内提供准确详尽的分析报告，对样本进行深度行为分析，评估可能的泄密等后果。
• 终端安全评估支撑服务

    对用户和其他安全厂商使用安天主机安全评估套件提取的衍生物进行深度分析，协助形成最终评估报告。
• 取证支撑服务

    对用户使用安天主机勘查取证系统进行深度技术支持，策略咨询和衍生物深度分析。

---

定制开发类

• 定制专杀/处置服务

    对特定环境下的病毒，提供特定的专杀程序和网络压制方案。
• 安全产品定制服务

    安天根据不同用户特点，为用户定制专用的产品模块，满足用户的需求。

    安天的高效病毒监控建立在一个完善的支撑体制之上，完全保证了在第一时间获取病毒、第一时间分析病毒、第一时间形成解决方案的能力。

安全研究与应急处理中心（ANTIY CERT）

    安天负责反病毒关键技术研发、病毒分析和安全响应的综合技术部门，由安全研究、应急处理和安全维护方面的专家组成。
    Antiy CERT 负责病毒特征库的升级维护，对病毒进行监测、分析、跟踪和预警，以及基于公开和未公开漏洞的蠕虫利用可能性分析。
    Antiy CERT 为公众提供公益性的流行病毒专杀工具和现场的应急处理。在僵尸网络跟踪、间谍软件分析，恶意代码处理等方面， Antiy CERT 建立了广泛国际协同机制。
    Antiy CERT 曾率先捕获分析了 SirCam 、 RedCode II 、 Dvlodr(口令蠕虫) 、myblast (冲击波)等蠕虫，第一时间发布公告和专杀工具，并及时为兄弟反病毒公司提供了病毒样本。


---

病毒样本捕获体系（ARRECTNET）

    目前，安天的病毒捕获主要来自以下几个渠道：
• 分布式蜜罐现场采集
• 诱饵信箱
• 邮件服务代管
• VDS 监控探头
• 用户主动上报
• 样本志愿者上报
    通过多种渠道的配合，安天既保证了对流行样本采集的高效性，同时又保证了样本的覆盖率，能够在第一时间内捕获病毒样本，形成了一个庞大的监控预警体系。

---

病毒分析流水线（SAKER）

    安天每日处理数万次不重复的病毒上报事件，通过黑白名单、神经网络和人工分拣三重体制对所有捕获到的文件进行分拣统计。安天还率先把工业流水线思想运用到病毒分析过程当中，建立了强大的计算机病毒集成分析环境Saker，该环境集成了反汇编跟踪、动态交互分析等工作，并可以指导工程师根据疫情程度进行不同粒度的处理。

---

病毒样本库（ASTS#6）

    安天拥有庞大的病毒样本库ASTS#6，ASTS#6长期扮演了国内主要反病毒厂商样本渠道的角色。