安天主机安全评估套件(Host Risk Analyzer)是对主机系统实现自动化和可量化评估的软硬一体的便携式工具。可实现木马检查、保密自查以及系统几十处脆弱性的全面检测。

    主机安全评估套件以U盘、光盘和工作站为载体，满足不同检测需要。无需安装，插入主机即可使用，不破坏系统原有状态。系统全自动化工作，无需专业人员支持，自动完成木马等多种恶意代码检查、保密检查、以及几十处脆弱性采集点检测，形成预评估报告，并与相关可疑程序及衍生物综合加权形成最终宏微观结合的评估结论。

    主机安全评估套件同时提供深度勘查与辅助分析工具，供专业技术人员深度分析系统。

    主机安全评估套件的运行对终端系统不构成影响，也不会进行任何处置。

木马扫描

    主机安全评估套件(HRA)突破传统忽略恶意代码的评估模式，将木马等恶意代码纳入评估体系。该产品嵌入了获得科技部创新基金的安天AVL SDK反病毒引擎，可以全面检测蠕虫、木马、后门、僵尸程序、黑客工具、流氓软件以及其他多种有害数据和敏感程序。

保密自查

    主机安全评估套件(HRA)全面分析上网记录、U盘使用记录等多种系统使用行为及系统安全状态，可有效发现违规行为，方便自我保密检查。

系统安全全面分析

    主机安全评估套件(HRA)全面检测分析系统配置、补丁、进程、服务、端口、共享文件、权限隐患、访问轨迹等数十个采集点的信息，全方面分析评估主机系统脆弱性。

先进的未知病毒检测技术

    主机安全评估套件(HRA)还采用了安天VCS（抓毒精灵）技术，深度分析程序底层行为，并通过黑白名单机制提取可疑程序，供后台专业人员分析，从而形成最终准确的评估结论。
    这种通过专业厂商支持的前后台联动机制，有效的全面定位所有可疑文件，弥补当前任何防护引擎无法查出所有病毒的瓶颈，满足用户高规格需求。评估系统只提取具有可执行风险的文件，且报告与样本分离，向安天提交需要分拣的文件不会带来泄密。

动态静态两种检测模式

    主机安全评估可对正在运行的系统进行动态检测，或启动静态检测。 前者可以直接对活动程序进行行为诊断，发现未知问题与安全威胁。后者则具有无条件检测的特性，同时即使系统无法启动，只要文件系统未被破坏，仍能通过恢复至最低生存态后进行安全评估。

自动化的检测方式

    无需专业技术人员参与，方便快捷的全自动化检测方式，全程自动分析系统安全状态，有效提高检测效率，便于部署。

强大的勘查处置辅助工具集

    提供了强大的勘查处置安全辅助工具集，能够针对系统中的木马、后门、黑客工具等恶意程序进行辅助检测，同时专门提供了分析模块，能够实现基于条件加权的未知木马检测体制，对系统中端口、进程、服务、启动项、插件等内容进行严格的行为判断和特征分析，形成对每个文件的受信状态判定。

    产品分为便携工具包版和专业工具箱版。工具包版以光盘、U盘为软件载体，工具箱版除了这两种检测载体外，还包含专业检测工作站（如外置光驱大小）。

产品载体	说明
检测光盘	主机评估套件光盘载体， CD-RW ，自带加密点，重新刻录即可升级病毒特征库和知识库。
检测U盘	主机评估套件U盘载体， 软件运行于只读区，保留可写区进行病毒特征库和知识库升级。
检测工作站	适用于被检测主机系统在关机状态下的静态评估，用户直接启动 Antiy Windows PE2.0 系统进行安全检查。
支撑中心系统 （可选件）	安装光盘，在PC上安装，作为样本判定与深度分析后端支撑平台，评估报告的汇总分析和评估套件的载体管理与更新。
远程评估工作站 （可选件）	体积与光驱相仿的特种工作站，接入网络后，建立网内启动镜像，从该镜像引导即可对本地系统进行安全评估。

典型的应用方案

    安天主机安全评估套件采用即插即用模式，在插入被检测主机后自动实现系统安全状况的全面检查，同时联动了安天后端分析处理体制，在评估过程不仅形成扫描结果，也根据安天抓毒精灵机制提取可疑样本，即待确定文件和需深度分析文件。
    用户将这些样本文件发给安天安全研究与应急处理中心，由安天提供的文件属性确认服务和深度行为分析服务对相关可疑样本进行快速确认，并将确认结果反馈给用户。用户通过评估支撑中心将确认结果与预分析报告自动整合，从而形成最后的评估结果。
    该方案的网络拓扑图如下：

病毒库升级类

• 病毒特征库和知识库升级

    提供不少于每周10次的高质量病毒库升级服务，在重大病毒事件发生时，则跟随病毒发展趋势随时提供升级。安天的病毒库经过严格的白名单测试，有效的降低了误报发生概率。

• β版病毒库升级通道

    安天可以按照用户的主动要求，开放β版病毒库升级地址，从而缩短用户响应时间。

• 病毒特征升级绿色通道

    对用户急需处理的病毒，提供 1 小时升级通道，确保在最短时间内查杀处理病毒。

---

交互支持类

• 上报应答服务

    针对单次的样本提交，在规定时限内，可以查询样本分析结果。
• 文件性质确认/文件分拣服务

    针对需要批量提交的待确认文件用户，在规定时限内（最长为 24 小时）确定程序的可信性，对有害程序给与准确的分类命名，并给出程序的关联特性。

---

信息类

• 病毒信息查询服务

    提供病毒百科全书查询接口，用户可以通过安天的官方命名、俗名和10多家主流反病毒厂商的名称进行查询，百科全书提供了病毒的基本属性、基本说明、对照命名、行为特点、流行风险等多方面的信息。
• 安全简报

    为用户提供每月一期的安全简报，通报最新安全态势、风险预警、病毒信息等。在重大安全威胁时提供紧急警报。

---

现场服务类

• 终端安全评估服务

    对终端节点提供高精度安全评估，提供评估报告。对大量终端节点提供抽样分析和汇总评估报告。
• 7╳5现场值守服务

    派出专署工程师每工作日值守用户网络，直接处置用户问题。
• 病毒事件现场处置服务

    由专业应急处理团队，在病毒事故爆发现场，迅速分析现场和成因，形成处置策略，完成全面处置。

---

后端支持类

• 恶意代码行为分析服务

    安天对每个样本在 48 小时之内提供准确详尽的分析报告，对样本进行深度行为分析，评估可能的泄密等后果。
• 终端安全评估支撑服务

    对用户和其他安全厂商使用安天主机安全评估套件提取的衍生物进行深度分析，协助形成最终评估报告。
• 取证支撑服务

    对用户使用安天主机勘查取证系统进行深度技术支持，策略咨询和衍生物深度分析。

---

定制开发类

• 定制专杀/处置服务

    对特定环境下的病毒，提供特定的专杀程序和网络压制方案。
• 安全产品定制服务

    安天根据不同用户特点，为用户定制专用的产品模块，满足用户的需求。

    安天的高效病毒监控建立在一个完善的支撑体制之上，完全保证了在第一时间获取病毒、第一时间分析病毒、第一时间形成解决方案的能力。

安全研究与应急处理中心（ANTIY CERT）

    安天负责反病毒关键技术研发、病毒分析和安全响应的综合技术部门，由安全研究、应急处理和安全维护方面的专家组成。
    Antiy CERT 负责病毒特征库的升级维护，对病毒进行监测、分析、跟踪和预警，以及基于公开和未公开漏洞的蠕虫利用可能性分析。
    Antiy CERT 为公众提供公益性的流行病毒专杀工具和现场的应急处理。在僵尸网络跟踪、间谍软件分析，恶意代码处理等方面， Antiy CERT 建立了广泛国际协同机制。
    Antiy CERT 曾率先捕获分析了 SirCam 、 RedCode II 、 Dvlodr(口令蠕虫) 、myblast (冲击波)等蠕虫，第一时间发布公告和专杀工具，并及时为兄弟反病毒公司提供了病毒样本。


---

病毒样本捕获体系（ARRECTNET）

    目前，安天的病毒捕获主要来自以下几个渠道：
• 分布式蜜罐现场采集
• 诱饵信箱
• 邮件服务代管
• VDS 监控探头
• 用户主动上报
• 样本志愿者上报
    通过多种渠道的配合，安天既保证了对流行样本采集的高效性，同时又保证了样本的覆盖率，能够在第一时间内捕获病毒样本，形成了一个庞大的监控预警体系。

---

病毒分析流水线（SAKER）

    安天每日处理数万次不重复的病毒上报事件，通过黑白名单、神经网络和人工分拣三重体制对所有捕获到的文件进行分拣统计。安天还率先把工业流水线思想运用到病毒分析过程当中，建立了强大的计算机病毒集成分析环境Saker，该环境集成了反汇编跟踪、动态交互分析等工作，并可以指导工程师根据疫情程度进行不同粒度的处理。

---

病毒样本库（ASTS#6）

    安天拥有庞大的病毒样本库ASTS#6，ASTS#6长期扮演了国内主要反病毒厂商样本渠道的角色。