关于"天衣防火墙"的简单测试

九尾野狐

这个软件不具备网络防护能力，不能算防火墙，所以没发防火墙区
这个软件仅仅具有提示程序运行的能力，不能算HIPS，所以没发HIPS区
这个测试是我在7月25号做的   现在才转过来   呵呵  


－－－－－－－－－


最近有会员在深度论坛里广告这个防火墙，帖子地址：http://bbs.deepin.org/read.php?tid=242639
于是测试了下，呵呵

下载地址：http://bbs.deepin.org/read.php?tid=242639
软件官方主页：http://www.znmq.com/

让我们先来看看其官方广告语
本软件能为你打造天衣无缝的安全防线，保护你的计算机免于各种流氓软件、插件、间谍软件、蠕虫病毒和特洛伊木马的侵袭，有效拦截内核级驱动的加载、可疑进程的运行、ROOTKIT病毒，防范各类扫描攻击、ARP欺骗成的频繁出现IP地址冲突、网络断线与时断时续，并可以追捕出攻击者、警告攻击者、迫使其断网等功能。
一旦发现可疑程序偷偷入侵，立即报警并加以清除，就算能够进入你的计算机，它们也没有机会执行，因此更没有机会对你的机器造成任何损害。她能使你在上网浏览、搜索资料时得以安然无恙，在下载软件时亦无后顾之忧，也不再有捆绑软件与绿色软件之分，她能将一个捆绑软件在安装时分离成绿色软件，阻止未被授权的捆绑插件安装，并监视所有安装到你系统中的文件，便于你能对其进行任意删除该软件无需安装、单个文件、体积小、占用内存少，使你的计算机无论是否运行监控均能保持同等速度。


到底这个防火墙是不是如其宣传语里说的一样呢？下面是测试报告


当我运行该防火墙时，我的EQS提示如下






－－－－－－－－－－－

软件完全运行后，双击托盘图标只有一个软件LOGO出现，软件没有主界面，不能查看当前网络连接数、不能查看有哪些程序连接网络

当我运行一个需要联网的程序时，防火墙并未有任何提示 如浏览器

－－－－－－－－－－－

软件广告语里有"有效拦截内核级驱动的加载、可疑进程的运行、ROOTKIT病毒"
当我运行IceSword、gmer等需要加载驱动才能运行的软件时，防火墙提示如下




但是IceSword、gmer加载驱动的动作，该防火墙并没有任何的报警信息
然而，当我运行完全不需要加载驱动的软件时，防火墙也进行提示




由此可见，该防火墙仅仅是起到了一个运行任何软件都进行提示的简单AD功能

－－－－－－－－－－－－

为了测试其广告语所说的"一旦发现可疑程序偷偷入侵，立即报警并加以清除，就算能够进入你的计算机，它们也没有机会执行，因此更没有机会对你的机器造成任何损害。"

我到深度样本区下载了个病毒进行测试 下载地址：http://bbs.deepin.org/read.php?tid=239760&fpage=2   
运行病毒后，该防火墙确实能够拦截到病毒的动作




不过该软件却想结束我的BBLEAN的进程……



之后我新建了个空的txt文档，并改名为svchost1.exe



用MS-DOS复制其到SYSTEM32目录该防火墙并没有提示 反而我的风云防火墙倒是有提示了



如果该防火墙真的具有FD功能的话，其应该如风云防火墙一样有报警信息
另外当gmer成功运行后，会向WINDOWS目录释放3个文件，这个动作该防火墙也没有报警



从这里看，个人大概预计该防火墙应该是使用了利用黑白名单的简单FD功能，也就是说，将分析过的病毒动作加入到名单中，这样的好处是对于黑名单内的病毒具有很好的防护效果能够阻止其破坏，但是如果病毒不在名单内…

－－－－－－－－－－－－－－

另外该防火墙每隔一段时间就以-d为命令行运行C:WINDOWS\SYSTEM32\ARP.EXE   也许，这就时其广告语说的"防范ARP欺骗成的频繁出现IP地址冲突、网络断线与时断时续，并可以追捕出攻击者、警告攻击者、迫使其断网等功能。" 不过我很难想象其后面那句"并可以追捕出攻击者、警告攻击者、迫使其断网等功能"是如何实现的

从EQS的日志里可以看出，其以命令行运行ARP.EXE的时间间隔为大约4－5分钟时间 这里提供一段日志以证明
2007-07-24 11:32:53   运行应用程序     操作:允许
进程路径:F:\Once\hsfw\hsfw.exe
文件路径:C:\windows\system32\Arp.exe
命令行:-d
触发规则:所有程序规则->*

2007-07-24 11:36:16   运行应用程序     操作:允许
进程路径:F:\Once\hsfw\hsfw.exe
文件路径:C:\windows\system32\Arp.exe
命令行:-d
触发规则:所有程序规则->*

2007-07-24 11:39:23   运行应用程序     操作:允许
进程路径:F:\Once\hsfw\hsfw.exe
文件路径:C:\windows\system32\Arp.exe
命令行:-d
触发规则:所有程序规则->*

2007-07-24 11:42:29   运行应用程序     操作:允许
进程路径:F:\Once\hsfw\hsfw.exe
文件路径:C:\windows\system32\Arp.exe
命令行:-d
触发规则:所有程序规则->*

－－－－－－－－－－－

其他的如
"能将一个捆绑软件在安装时分离成绿色软件，阻止未被授权的捆绑插件安装，并监视所有安装到你系统中的文件，便于你能对其进行任意删除"
"防范各类扫描攻击"

并没进行相关测试 以后有时间的话，会在第一时间补上的

－－－－－－－－－－－－


结论：
1、该防火墙不能查看当前网络连接数、不能查看有哪些程序连接网络

2、具有运行任何软件都进行提示的简单AD功能 且不能拦截程序加载驱动的动作

3、个人猜测具有利用黑白名单的防病毒功能

4、对ARP的防护需要不断的以命令行运行ARP.EXE程序


---------------------------


呵呵，这样的一个软件      功能上来说，很差劲，但是其宣传语却说上了天
说它是防火墙吧     又不能对程序访问网络进行控制
说它是HIPS吧，功能又单一的可怜
不过 从宣传策略上来说， 是完全可以和瑞星一较高下了

jpzy

呵呵，这么厉害的防火墙啊~！[:27:] [:27:]
有机会试试~~~

kasper

吹得确实厉害~~~~

samancy

这样的分析也没的分加,版主也太大意了吧!

cbz107

天衣？天网？天意

xffsfy

用过他们家的IE修复，吹的那叫天花乱坠啊...

纵情

吹功倒是一流!

微点卫士

名字不好听 不高兴用

闪电战

那这到底是个什么东西

fido_lee

警告攻击者--估计是用那个net send来实现的

呵呵，的确有些四不像。不过个人感觉更像是一个hips软件。