Comodo Cloud Antivirus 简单介绍

tomochan

这两天体验了Comodo Internet Security 10 beta，但无奈在我电脑上有样本文件下载到本地的时候直接导致电脑卡死，所以放弃（已解决），转投Comodo Cloud Antivirus，UI界面风格跟最新的CIS beta10一致，比起CIS 10来十分流畅，但好像关注它的人并不多，所以简单介绍下，供杀软综合征患者服用。

Comodo Cloud Antivirus（下文简称CCAV）是Comodo一款基于云安全的防护软件，跟Comodo Internet Security不一样的是，CCAV没有CIS庞大的本地病毒库和本地病毒扫描引擎，没有HIPS，也没有防火墙。CCAV是基于云鉴定的实时防护+自动沙盒，其中包含了viruscope和Valkyrie分析。

官方下载地址：https://antivirus.comodo.com/download/cloud-thank-you.php?prod=ccav&track=7732&

安装包仅有几兆的大小，双击后直接安装，不需要像CIS的在线下载器一样要下载大体量的安装包文件，安装后也不需要下载几百兆的本地病毒库文件，毕竟这是个Cloud Antivirus
主界面UI
界面简洁明亮清爽，偏扁平风，个人觉得是现在众多杀软UI中为数不多的看着舒服的小清新类型。

左方为安全状态，右方为状态概览，包括发现的威胁数目、沙盒中正在运行的程序数目、Valkyrie分析状态详情。
依次都可以点开看更加详细的详情

下方是常规功能区，包括扫描

sandbox区
在这里，你可以添加程序进sandbox区，以便可以在这里直接点击程序在沙盒中运行。

日志概况

隔离区
可以对被隔离的文件进行多项操作

我们来对比下最新的CIS 10 beta（基本视图和高级视图）
两者风格一致，让人看了心旷神怡



任务栏图标
可以看到是一个C（代表COMODO）在白云之上（CIS 10 beta只有C没有白云设计），凸显了这是一款以Cloud为基调的软件
安全时为绿色，有风险时为红色，游戏模式为蓝色，与CIS 10 beta一致

鼠标放到图标上，会显示现在Valkyrie的分析状态

设置主界面
用户界面
显示通知消息：显示CCAV的拦截警告等信息
显示COMODO信息中心的消息：接受COMODO的新闻和活动信息
检测程序更新：最低可以设置每隔1天检测

反病毒设置：

CCAV是不带本地病毒库和本地病毒扫描引擎的，自然也就没有CIS里的启发式扫描的低中高设置了。
反病毒设置中可以设置排除文件，也可以设置排除文件夹。
CCAV的反病毒是基于一种类似于云鉴定，COMODO称之为Valkyrie的技术。
COMODO通过云鉴定和沙盒运行，宣称这可以比传统杀毒软件更好地防御未知威胁，并100%保护电脑安全。

COMODO这种云鉴定工作流程是，既有的COMODO云数据反馈用户上的文件是安全、未知还是危险。安全的允许运行，危险的拦截，未知的自动入沙盒运行，并通过COMODO的Viruscope技术来监测文件是否有危险行为，随后可疑文件会送到云端进行进一步的分析，分析结果最后成为COMODO云的既有云数据。

当未知文件在沙盒运行，如果被Viruscope高级行为分析技术监测到有危害电脑安全的行为时，就会通过一系列复杂的行为识别特征比对来确定是否是恶意文件。viruscope听起来更像是我们所理解的智能主防的概念，而不是毛豆传统意义上的hips。听起来似乎很好，但实际根据毛豆用户的反馈，Viruscope弹窗的几率并不高，所以我只上一张Viruscope报毒时的截图好了（提醒：截图UI风格为COMODO 8.X UI风格，并非CCAV或CIS 10 BETA的新UI界面风格）。

除了上述由COMODO自动把未知文件送到云端进行鉴定的方式外，用户还可以通过鼠标右键单击可执行文件文件或文件快捷方式把文件送到COMODO的服务器进行分析鉴定。

待云数据丰富后，再在右键中添加类似于卡巴斯基或ESET的文件流行度或信誉程度的查询，想必更加直观方便。

沙盒设置

①将所有不信任的应用程序运行在sandbox中：意思是所有白名单外的文件都自动入沙
②只运行安全的应用程序：意思是所有白名单外的文件都自动拦截
③对于不信任的应用程序显示警报：意思是白名单以外的文件双击时会询问用户是在沙盒内运行还是沙盒外运行还是直接阻止。
当用户选择③时，弹窗如下

用户选择在沙盒内运行时，程序四周会有绿色框包裹，以提醒程序是在沙盒内运行，如图

但如果用户取消sandbox设置中的【开启sandbox指示器】，就没有这个绿框了
开启Viruscope：关于VC的解释刚刚已经说过了就不再赘述了
另外，用户也可以自己手动添加sandbox运行规则。

用户在打开任意程序的时候，都可以通过鼠标右键进行手动入沙运行。不过CCAV并不像CIS一样有倒沙的设置。

CCAV作为一款轻量级的云防护软件，沙盒跟完整版CIS沙盒的区别是什么呢？
官网的回答是这样的

可见作为一款轻量级云防护杀软，其沙盒也是轻量级的，并不像CIS那样拥有服务和驱动，沙盒的运作方式上也与CIS有着本质上的不同（比如可以在之前的图里看到，CCAV在沙盒中可以对沙盒内的父进程和子进程进行单独隔离、不在sandbox内运行或结束进程的操作），但这些不同对于防护效果有何影响，是否轻量级的沙盒就会出现漏沙等问题，这些技术细节还是留给技术大牛来替我们解惑吧。

此外，CCAV还提供了受信任的应用程序（被云鉴定为危险的文件可手动设置为信任）、误报、受信任的供应商等设置。


检出率
由于CCAV并不是一款基于传统病毒库或启发技术扫描的杀软，它既无本地病毒库也没有启发扫描等技术，仅靠云端数据进行鉴定，所以如果在样本区测试检出率的话，基本都是零蛋，即使是已经被几乎所有厂商都入库的恶意文件，CCAV扫描后仍无法识别的可能性极大，所以在意检出率的请不要使用CCAV。但这不等同于CIS/CAV等杀软同样也是如此，由于CIS/CAV有本地病毒库文件和启发扫描技术，扫描检出率一般可以维持在中等偏上的成绩，CIS/CAV和CCAV的防护理念不同，造成了这种差异。（我收回以上CIS扫描率维持中等偏上的成绩的言论，几年前我测试COMODO时确实如此，但如今我又测试了现在最新的CIS，发现早已物是人非，检出率跟CAAV一样惨的可怜，样本区鲜能找到让CIS报毒的样本）

由于在样本区，实在找不到CCAV实时防护可以拦截的样本，所以只好拿来EICAR的代码，给大家看个CCAV实时防护拦截恶意软件时的弹窗。个人认为，CCAV（或CIS 10 BETA）不论在UI涉及以及中文汉字字体运用上在各家杀软中绝对属于上乘作品，值得某些其丑无比的国外知名安全厂商学习。


其他功能
在主界面的右上角，有一个lucky you的图标，点进去....是COMODO的云鉴定早于其他安全厂商检测到了威胁的数据页面。
用户可以随意设置自己之前用的安全软件，主流杀软都可以设置，国内的可以设置奇虎360，腾讯、瑞星、江民、阿里巴巴。（并没有找到金山）


从CCAV身上我们看到了毛豆对自身安全软件另一种思路的探索，即使用户不懂得电脑安全技术，也能在云数据判定和沙盒运行的保护下最大程度让用户免受恶意软件侵害，比起过去高度依赖用户判断的hips和防火墙，CCAV的逻辑显然对电脑初学者用户更加友好。只是现在CCAV云数据的不完善也让我们看到要想让这种保护逻辑形成战斗力并非一朝一夕就可以完成的，庞大的用户数据反馈和comodo自身云端的分析能力起到了决定性的作用（在我电脑上上传上去在被鉴定的文件已经好几天了还是显示正在被分析中），以CCAV的现状来说，先不论CCAV是否可以比传统杀软更快更好地阻止未知威胁，但在已知威胁甚至是普遍流行威胁面前CCAV的云数据都已经显得非常力不从心，在这种情况下用户真的放心把自己电脑安全的生死全都交由CCAV的轻量级沙盒么？在毛豆云数据尚未完善的今天，对于用户来说这还算是一个比较大的赌注，希望这只是一个时间可以解决的问题。
当然，CCAV作为一个轻量级防护软件，我个人还是比较推荐的，至于其防护水平具体如何，沙盒和它的Viruscope性能如何，就不多做测试了

补充蜜汁尴尬
就在刚才，样本区逛，某远控木马，两个可执行文件都在CCAV的云数据库里显示为信任软件。

按照CCAV信任软件直接允许运行而无数据（信任以外）的软件才会自动入沙或询问入沙的逻辑思路来看，CCAV应该会直接允许运行而非在沙盒中隔离运行....

更多技术细节和技术性测试等其他大神来补充。

欧阳宣

安装量不多，收集数据不多，对威胁形势的判断就会不全，防护会弱一点，反过来又阻碍了宣传和提升安装量

还有很长的路要走

Candygu

写得比较详细，要给楼主评分的，结果积分还不够，先欠着。

CCAV的客户端是在国内开发的，服务器端在国外开发。所以关注过或者经常去COMODO子版的饭友应该能感觉到CCAV更新很勤快，国人开发的效率是挺高的。相反，服务器端的改进还不明显，连接服务器时好时坏，在官方论坛上每次CCAV的更新都会遭到一些用户的怀疑和抨击。

我个人是很看好CCAV的前景，尤其是到服务器端的Valkyrie逐渐完善后，会很强大很犀利。多给他点时间和包容，多提意见和建议，多反馈问题，才能成长得越来越好。

阿斯兰wei

喜欢COMODO的防火墙。

驭龙

来支持一下

Johnkay.Young

好文，现在又在搞bigdata，但科摩多现在的收集还很匮乏，应该效果不怎么样。
像前面朋友所说，backend很关键，客户端对于这种纯云产品差不多就是个ui，支持科摩多。

ksss5566

特别欣赏。只是，啥时候能把云完善了才能用。要不，来个未知程序就等好些天，心太累了。

核弹总裁黄仁勋

有兴趣，不知道对付勒索如何？还有云的稳定性也不知道怎么样？毕竟这里是天朝，以前用CIS的时候第一次更新简直想死。

gtc

装过一次，可惜不能连接云，只好卸载，总体来说，还是比较看好的。

lixihong10

我只想知道  怎么倒沙~