本帖最后由 azazkjkj 于 2011-7-15 17:06 编辑
v0.2 排版更新、内容更新、文字校对 完毕。如有任何问题尽请指正!
Discuz的排版真是要死人了……= =
前言
这次金山推出毒霸2012,喊着“边界安全”的口号,我一开始其实是相当不屑的,所谓边界安全难道不就是个换汤不换药的监控吗?由于多年没有使用国产安软,最近在虚拟机上连续试用了不少种,包括最近很火的360,杀毒老大瑞星,低调流KV和费尔,我才发现国产软件的一个通病:长期对查杀和扫描的注重导致防御系统的研发较国外落后,整体的集成度不高。 赛门铁克是世界上最大的安全厂商之一,其静态查杀率常年偏低*,但其仍然获得全世界大多数企业和个人用户的信任,是全球第四大独立软件提供商。这又是为什么呢?答案便是赛门铁克的防御效果很优秀,并且有着安全、稳定及简单的优点。其在提供优秀安全保护时几乎没有存在感。 诺顿的SONAR在业界也是闻名已久了,其与诺顿安全系统的整合率也相当高,以至于早前曾有人怀疑SONAR只是换了个名字的特征码查杀技术罢了。诺顿的病毒库也无法从其软件剥离,无法锁库测试,也是由于这种思路造成的。打造一款完全的计算机安全解决方案,追求完美的防御,其最有效的办法就是多层防御。可见,金山想利用云安全的大招牌来逐步推进其它功能的部署。 毒霸2012有防黑墙、云安全、基本的主防、各色辅助工具和数据恢复,虽然嘴里强调的是云安全云安全,但实际上已经开始了全面的布局,多路发展。应该清楚的认识到只有云是不够的,即使云到了极致,也需要本地的根基才算是优秀的安全软件。也清楚地认识到全面整合现有的安全系统才是正道。
理念
金山的理念是什么?金山是如何从一个传统安全厂商这么快地转型成云安全厂商?金山早在几年之前就不停地在进行技术的翻新。在备受争议的白名单杀毒之前还有数据流杀毒技术(启发式+实机脱壳),然后是白名单查杀技术。通过数据流杀毒完善本地杀毒能力之后,白名单杀毒已经做好了和云接轨的准备。白名单技术搭载云之后可以迅速强化此技术的稳定性,减少误杀。继续拿铁壳做比较,铁壳在处理剩余的未知文件时采取云信任鉴定技术,通过社区内使用此文件的人数及其报告的安全性来鉴定一个文件是否安全。这其实就是一种白名单技术。备受争议的白名单技术在搭载云之后迅速成为业界主流。
不难看出,金山新的安全系统都是由一系列的概念派生而出的,基本的防杀系统有多年的技术积累,在此基础上创新的白名单技术为了加强其可用性很快就生出了云技术。因此金山这几年迅速的与新技术对接其实是多年就对新形势进行了研发的缘故。蓝芯II加快查杀,白名单杀毒,然后推出KCloud(金山云安全系统)。
继续用铁壳做比较,铁壳在2000年就推出了Bloodhound启发式,在2005年就在配置全球的安全网络,并且综合其之前的技术,在诺顿2007时代推出了SONAR(Symantec 前瞻响应在线网络技术)。在08年云安全遍地烽烟的时候诺顿迅速完成云安全部署。 一家优秀的软件公司,必定具备相当明确的开发思路,长远的战略目光及一环扣一环的战略部署。金山近几年的表现的确符合这一点,毒霸、网盾和卫士全面与云融合,其中贝壳反木马在成熟后被融入毒霸(参见诺顿反僵尸)。金山的理念是什么?金山的战略是什么?恐怕是通过云快速达到高查杀率,以此为噱头逐步推进其余的安全功能,逐步将毒霸完善成完整的安全体系。借云技术不仅可以快速扩大个人占有率,企业上的金山“私有云”也沾了光。
概览 安装包大小实在是太令人震撼了,才9MB,安装速度也是非常迅速,一开始我还以为金山可能把安装包都云化了,放出了个下载器,没想到居然已经是毒霸的完全安装包了。值得注意的是安装过程似乎没有自我保护,如果在已经中毒的机器上安装可能比较危险。
进入毒霸的主界面之后,很容易就发现金山主打的边界防御概念了,直接映入眼帘的就是7个监控模块围绕着计算机图标,象征金山的入口防御已确保计算机边界安全了。分别是:上网安全保护、聊天安全保护、看片安全保护、网络下载保护、U盘实时保护、防黑墙和网购保护。右下角可以防止常用的功能,很方便用户使用。其实时防护界面右侧可锁定IE主页防止恶意修改。其系统防御和边界防御的日志分开了,这样其实繁琐了用户的管理,应该合并到一个记录查看器当中。
毒霸百宝箱中提供了多种安全工具,其中包括非常实用的云鉴定器和安全沙箱,这两项功能是金山毒霸的核心功能,基于云的查杀与本地虚拟化在金山云时代是金山防御未知威胁的法宝。尤其是沙箱功能方便了较熟悉计算机的用户自行判别未知文件。同时还有进程管理器,文件粉碎和防黑客补丁等几项使用功能。 百宝箱中查杀修复分类繁多,有全盘查杀、一件云查杀、自定义查杀及强力查杀等,名目繁多实际上区别并不大。既然静态的查杀已经不是金山的重点,何不将其合成为云查杀与系统修复呢?实际上,自从毒霸2003开始金山便开始将查杀分为强力查杀和闪电查杀,实际上效果并不是很大。希望能够改进。
边界安全
边界安全如何评测?这次金山特意将边界安全从监控中单独提出来,拆分为系统防护和边界防护两个部分,那么我们将只进行检查边界安全的安全性,而忽略系统防护的安全性。
要达成这个目标,首先要知道什么是边界安全。边界安全,并非一个很新的概念,在McAfee中便已经有了入口控制的概念,大多通过规则实现。而金山的入口控制则是采用的对可能的传输途径进行监控的方法,如U盘监控、看片保护、网页浏览保护和下载保护等。 对于这个概念,金山目前谈到的一个优点在于其减少了不间断对数据读写的监控,仅对新写入的数据进行监控。这的确是一个进步,减少了杀软对系统的拖累。
-小测
危险文件在金山不提示为威胁时被成功运行就表明边界防御漏防。在实机测试时,若系统防护介入,则判断边界防御失败。换言之,即病毒通过入口则判定金山边界安全失败! -结果| 途径 |
边界防御
|
系统防御
| | 浏览病毒网页 |
提示网页含有病毒/木马
|
N/A
| | 下载样本文件 |
下载过程中提示
|
N/A
| | U盘内装载VIRLIST 7.14 |
子目录下文件不报毒
|
浏览U盘子目录时提示
| | 看片保护未测试* |
|
| | IM传输未测试 |
|
| | 防黑墙未测试* |
|
|
*没想出测试方法 在浏览毒网分析区样本时,金山弹出提示框标题为网页防御,可证明是归类于边界防御的模块发生作用。下载样本文件时网页下载防护弹出提示,这一点与卡巴斯基在下载开始前就阻止下载相比有一定差距。其U盘防护是快速扫描根目录下的文件,子目录被忽视。
同时,检测中发现,关闭了系统防御之后桌面上即使看到了带毒文件也不会报,这说明系统防御仍然有扫描内部读写操作,那么与宣传的减少对系统的拖累的区别在哪里?的确内存的占用在10M左右,但是其提交大小则达到了33M。
-小结 六项防御,其中防黑墙具体功能未知,据说是防火墙(HIPS)的未完成版本,介于下载包名称是KAV,因此我推测可能是HIPS系统。边界防御,可以说将常见的病毒入侵途径都封杀,其中U盘防御默认不检测子目录下文件可一窥金山对扫描速度的追求,若子目录下有威胁则在浏览子目录时系统防御将直接查杀。
但是,若有病毒过掉金山的云查杀,那么由于金山对内部读写不再监控,病毒一旦全面展开,用户还拿什么来防御?尤其在金山主防和HIPS还不很完善的情况下,边界防御带来的很可能是更多疑问而不是更多赞誉。如果金山的系统防御继续对内部读写进行着监控,那么边界防御的意义又何在?
同时,边界防御的反应速度与其他安软也有差距,不少优秀安软在不被关闭监控的情况下根本无法下载样本,而金山则是在下载完成后才提示。存在着不足。 扫描评测
-云扫描概念
金山的云扫描概念是通过云端的庞大毒库来进行鉴定,通过提取体积很小的微特征上传鉴定来完成云查杀。而其应对未知威胁的方法则是利用云鉴定器上传微特征的方式来进行鉴定,其鉴定方法可能是
- l 上传文件微特征与服务器储存的微特征进行比对
- l 压缩样本上传至服务器分析
这里,我猜测微特征是一种模糊的哈希值算法(感谢JEFFIRE的一篇文章中提出的猜想),对文件进行分块哈希运算,然后通过对比不同处来鉴定文件的安全系数。至于云鉴定,肯定是一套精心设计的算法,其中影响最终安全的分的要素可能但不完全包括:1、与安全文件的相似系数、2、与病毒文件的相似系数。若库中无文档,则上传至人工鉴定,确认为威胁之后则入库。当然,如果文件是非常新的文件,则可能将文件整体压缩上传。
因此,在测试金山的查杀率时,应采取一扫、二扫测试方法,第一次扫描的未知文件可通过云鉴定进行鉴定,期间金山将封锁文件直至鉴定结果返回。
-卡饭测试组结果 取用KingsoftAV2011的成绩,因为云库无异。如下为7-9至7-14的成绩。 | 9 |
45
|
25/55.5%
|
38/84.4%
|
云鉴定:7个,白
|
3/6.7%
|
18:11/18:30
|
07.09.16
| | 10 |
50
|
34/68%
|
46/92%
|
云鉴定:4个,3白1灰
|
4/8%
|
18:31/18:42
|
07.10.16
| | 11 |
50
|
34/68%
|
48/96%
|
云鉴定:2个,1黑1灰
|
3/6%
|
18:38/18:52
|
07.11.09
| | 12 |
50
|
28/56%
|
45/90%
|
云鉴定:5个,3白2灰
|
3/6%
|
18:41/18:55
|
07.12.16
| | 13 |
50
|
26/48%
|
41/82%
|
云鉴定:9个,8白1坏
|
3/6%
|
18:39/18:57
|
07.13.09
| | 14 |
50
|
34/68%
|
47/94%
|
云鉴定:3个,1黑1白1坏
|
4/8%
|
18:36/18:47
|
07.14.16
|
-小结 金山的云速度很快,一扫之后进行的云鉴定+入库处理非常快,在紧接着的二扫中可提升近一半的查杀率。但同时我也有一个疑问,既然每天云入库这么多病毒,第二天的一扫查杀率仍然偏低,是否“微特征”的广谱查杀能力较弱? 金山的云在查杀当中的结合相当紧密,反应迅速,值得称赞。但其本地查杀的羸弱以及不提供本地与云病毒库同步的功能使得其在完全断网环境,如班级计算机等受到极大的限制,而优盘病毒的发源地之一就是班级计算机,希望金山考虑。
综合评价
金山毒霸2012紧密结合了近几年金山大力开发的云安全技术,将其与监控、查杀模块完美的融合在一起,加上近几年免费的政策,利用用户的数量与专业技术的积累,使金山毒霸2012成为金山走向中国传统杀软领军地位的里程碑。“边界安全”的概念提出与云安全系统的全面部署,使仍处在Beta版的金山毒霸让人眼前一亮。 最近很流行“符合中国国情”的描述,毒霸所配备的安全工具的确很符合中国国情。如将IE主页锁定设置在主页中,安全百宝箱中放置了大量实用的安全工具,以及炫酷的界面和换肤功能,使毒霸2012显得比2011版本更加锐意进取。
但是,也不能忽视毒霸2012beta的诸多不足之处。如百宝箱中的一些重点工具并非直接集成在毒霸当中,使得在无网络的环境下毒霸显得非常无用。本地查杀率的低下使得在断网环境,如班级计算机上完全无用武之地,要知道很多学校只有办公室计算机有互联网接入,在没有互联网的环境下,金山的云库和本地库并没有同步选项,很不方便。同时,据官人称云库十分庞大,也许这是由于云的特征提取技术造成的特征码查杀比很低下。 毒霸的主防和HIPS也不明显,这次加入了防黑墙模块似乎是未完善的HIPS。毒霸在此可能采取的是方便不熟悉电脑的大多数用户的理念吧。希望能加入一些复杂的本地主防和HIPS功能来加强本地能力,同时在设置中提供是否打开的选项。 总而言之,金山毒霸2012Beta版,仍然只是Beta版而已,其中亮点绝大多数是理念上的,而其中缺点绝大多数是实际上的问题。可喜的是,先进理念指导下不会有差劲的软件,希望金山能坚持这种锐意进取。同时希望金山在放出新概念的同时完善对其的解释和功能,目前看来,“边界防御”这个概念还仍未完善,激起的质疑多于肯定。尽管当年白名单杀毒技术也遭遇各方质疑,但若不谨慎,一次概念的失败很可能就是全盘的悲剧。 毒霸2012 beta轻轻掀起了金山2012安全布局的面纱,留下的诸多悬念还带金山给我们展开。希望2012是国内安全厂商腾飞的一年,少一些恶性竞争,少一些炒作,多一些技术的研发和对用户的关怀。
金山——赛门铁克
不难看出,金山是想走赛门铁克的路线的。赛门铁克的特点是什么?极其强大的前摄式防御(我觉得这名字很酷),完备的辅助功能,庞大的病毒库,稳定的表现,安静的运行及多重联合的防御体系。
以下是诺顿360和毒霸2012的对比 | 适合您的解决方案 | 诺顿360 | 金山毒霸2012 | | 全面的可定制互联网安全 | 有 | 有 | | “一次设置,终身无忧”的一体化自动防护 | 有 | 有 | | 自动防病毒和反间谍软件 | 有 | 有 | | 核心防护 | | | | 阻止病毒、间谍软件、特洛伊木马、蠕虫病毒、僵尸网络和 Rootkit恶意软件 | 有 | 有 | | 通过在后台运行的智能双向防火墙抵御黑客袭击 | 有 | 今年有大动作 | | 每 5 到 15 分钟或更短时间定时更新一次 | 有 | 云安全系统 | | 智能技术使扫描在更精准、更快速并在更短时间内完成 | 有 | 蓝芯II | | 高级防护 | | | | 诺顿启动恢复工具可以修复、恢复并启动受到严重感染而无法启动的电脑 | 有 | 会员系统维修 | | 可以利用基于云的在线情报实时检测威胁 | 有 | 金山云安全 | | 下载智能分析可以在您安装或运行新下载的文件和应用程序前向您发出其中可能包含风险的预警 | 有 | 金山云鉴定 | | 阻止浏览器、操作系统以及应用程序威胁,保护您免于受感染网站的威胁 | 有 | 边界安全 | | 通过主动式多层防护系统来保护您免受最新的威胁侵扰 | 有 | 多层仍未建立 | | 实时SONAR 主动防护技术可以在传统的定义可用之前检测新出现的间谍软件和病毒 | 有 | 白名单杀毒 | | 身份防护 | | | | 阻止黑客攻击您的电脑 | 有 | 防黑墙 | | 阻止网页仿冒网站 | 有 | 网购保镖 | | “在线身份安全”让您可安全地存储和管理登录与个人信息 | 有 | 无 | | 通过自动登录和表单填写功能保护您免于击键记录程序的威胁 | 有 | 有 | | 验证常用的网上购物和网上银行网站 | 有 | 有 | | 网络 | | | | 帮助保护和监视您的家用网络 | 有 | 无 | | 在连接到公共无线网络时自动保护您的电脑 | 有 | 无 | | 备份和还原 | | | | 基于事件和时间表的自动备份 | 有 | 无 | | 可备份至一个安全在线存储站点 | 有 | 金山T盘 | | 还原受损或意外删除的文件和文件夹 | 有 | 金山系统修复 | | 包括 2 GB 的在线存储空间 | | 金山T盘 | | 包括 25 GB 的在线存储空间 | 有 | | | 优化电脑 | | | |
| 可优化硬盘,以释放磁盘空间 | 有 | 有 | | 自动查找并修复致使计算机速度减慢的问题 | 有 | 有 | | 删除互联网干扰文件,例如 cookie 和临时文件 | 有 | 有 | | 加速计算机的启动速度 | 有 | 有 | | 支持 | | | |
| 免费电子邮件、聊天或电话支持† | 有 | 有 | | 自动修复技术可以诊断并修复您的常见问题 | 有 | 有 | | | 价格 | 499/年 3用户 | 免费 |
要做到铁壳那样的IPS、Sonar、特征码、脉动更新和云安全的整合程度,金山还有一段距离。金山尝试提供完全的解决方案,并提出重在防御的理念,这是一个非常好的方向,希望金山能够亦步亦趋,踏实地强化技术,少做一些概念炒作。有时候,实力才是最强的宣传。若是要我家人拨款买卡巴斯基,他们会提出诸多疑问,但是若我提议购买诺顿,几乎不可能拒绝。因为诺顿至少在不关注安全领域的人眼里,代表的就是无与伦比的安全性。什么时候金山能凭实力做到这一点,江山定矣。
BTW:其实我最近在用诺顿360,准备给家里人上的。又安静又稳定又安全,给电脑盲用很安心。
对于不必强调金山本地能力的看法
我认为这是相当错误的一个观念。太过于依赖云安全系统,一旦云安全系统失去响应能力、系统失去与云安全系统的联网能力或者被迫在断网情况下使用安全软件,金山将无能为力,羸弱的HIPS、主防、没有启发式及本地库薄弱的缺点将完全暴露。断网情况下病毒依旧可以从USB储存设备侵入,依旧可以从已经染毒的本地局域网侵入。 不要过度强调金山云安全,基本的本地能力,如主防、HIPS是应该加入的。本地的病毒库应该可以有与云同步的能力,方便离线环境的计算机使用毒霸时进行病毒库更新。
AGAIN,请保持良好的讨论氛围,本帖无法做到绝对公正公平,本人想法也无法做到令诸位满意,仅是提出一种观点罢了,请勿口水。
| 
[复制链接]
发表于 2011-7-15 00:07:33
楼主
还是要继续官网猎豹
