本帖最后由 天道酬勤QQ 于 2012-7-25 17:56 编辑
正文 (一)QQ管家7.0功能介绍与分析 ①:4+1全“芯”杀毒引擎 ②:全新系统修复引擎
功能介绍: 本次QQ电脑7.0杀毒版较上一版本新添了腾讯自主研发的管家反病毒引擎,并深度融合入管家云引擎,本地引擎同云引擎相互配合。 此外,QQ管家还同国内厂商金山和国外厂商Avira合作,在QQ管家本地增加了小红伞引擎,并连接金山云引擎,各种本地、云引擎相互配合能够让查杀率得到一个质的提升。(如下图) 一款杀毒软件不仅需要有强大的查杀能力,更需要具有完美的灭活能力和系统修复能力以及病毒清除能力。 因为一些恶性病毒经常会破坏或修改"开机启动项“、”HOSTS文件”、“硬盘引导扇区”、“文件类型关联”、“映像劫持"等,还可能会破坏或替换相关系统文件(例如svchost.exe),危害十分巨大。针对此,管家7.0的杀毒界面中加强的修复引擎,保障对于活体病毒的快速灭活和系统遭到破坏后的系统修复和病毒清毒流程。(如下图)
看法与分析: 首先很高兴能够看到7.0杀毒版本中Q管能够推出完全自主研发的管家本地反病毒引擎,虽然一个全新的引擎还需要时间去不断磨合和加强,但我们已经看到这标志着管家由一个安全辅助软件向真正的杀毒软件的成功转型。 此次的管家本地反病毒能够弥补和加强之前单一的Q管云引擎的缺陷和不足,例如Q管云引擎运用微特征(特征码的云查询),但这种引擎的免杀对抗能力不强,断网环境下对病毒没有任何查杀能力等(如遭遇大文件病毒、压缩包炸弹、强制断云等木马);而此次的本地引擎推出就很好弥补了这些缺陷。
观点: 对于连接金山云引擎:现在腾讯与金山处于深度合作关系,金山的云引擎,水银平台,云鉴定器、鹰眼都较为成熟,可以有效的增加管家的检出率;金山云后台总监Charles告诉笔者现在Q管连接金山云是通过查询的方式获取检测信息,可以保障客户端的轻量化。 对于引入Avira本地引擎:笔者认为该引擎虽然有非常强的静态启发能力(一种静止状态下通过病毒的典型指令特征识别病毒的技术),能大幅度提高管家查杀率,但是多引擎对系统性能的确有一个不可小觑的影响,建议可以等到管家本地引擎成熟后将其去除,保障系统和软件的流畅程度。(如下图) 总评: 优点——多引擎结合是QQ电脑管家7.0的一大特色所在, ”2云引擎“+“2本地引擎”+修复引擎的结合能够大幅提高管家的检出率,云引擎”与“本地引擎”相结合可以相互弥补各自的不足,达到响应速度和查杀率、资源占用的最大平衡。 缺点——多引擎势必会带来系统性能的下降,Q管团队需要再不断优化系统资源占用和软件的使用流畅度;另外随着Q管自主引擎的不断成熟,可以将引擎数量减少到3款,保障系统性能。 评:虽然存在多引擎对系统性能的影响,但是不可否认Q管的多查杀引擎组合的确非常给力,各引擎之间能够优势互补,协调工作,共同提高病毒检出率。另外,针对引擎的相关测试会在文章后半部分给出。 针对杀毒引擎的灭活测试、系统修复测试、病毒清毒流程测试会在后面的《QQ管家于国内外10款杀软大型攻防横测》中体现!关于管家引擎对于静态病毒的查杀能力会出现在后面部分的《静态病毒查杀测试》。
③:16层立体防护体系
功能介绍与解析:实时保护是一款杀毒软件必不可少的功能,能够在病毒触发或者侵害系统时拦截并查杀保障计算机安全。本次QQ管家7.0杀毒版本的防御体系围绕着”用户上网、应用入口、系统底层“三个大块展开,分别对应以下防护:
1.上网安全保护:主要用于保障用户上网和下载时的安全 QQ安全防护(QQ登录、运行时对于盗号木马的检测和拦截)
网游安全保护(包括网游运行前的系统快扫和运行环境检测,防止盗号木马和键盘记录器的运行)
网购安全保护(同Q管的网购财产保镖相配合,保障网购安全)
网页防火墙(拦截挂马网站、恶意网站)
文件下载保护(在文件下载到本地的时候对文件进行安全扫描)
搜索保护(检测百度、搜搜等搜索引擎的搜索结果是否安全)
2.应用入口保护
应用入口保护主要是防止病毒通过U盘等入口进入电脑,在入口处加入监控从而严格检测。 主要包括 桌面图标防护(防止病毒木马生成假淘宝、钓鱼导航等桌面图标诱导用户点击)
U盘防火墙(禁止U盘自动播放,防止U盘病毒交叉、重复感染电脑)
摄像头保护(防止木马程序打开摄像头偷窥)
ARP防护(防止局域网内的ARP攻击)
3.系统底层保护 系统底层保护尤为重要,该监控能够从系统底层全面防御病毒入侵,保障计算机不受到病毒侵害。 主要包括: 文件系统防护(分为”高“、”中“、”低“三种安全级别,监控文件的读写和执行操作,是最基础也是最有效的防护和措施)
注册表防护(防止病毒木马篡改注册表关键键值以达到自启动、文件扩展方式劫持等破坏目的)
漏洞防火墙(主动扫描系统中存在的漏洞并及时提示用户进行修复操作,及时push微软最新漏洞,保障计算机安全)
进程防护(扫描系统进程,查看是否有木马病毒或其他威胁运行)
驱动防护(防止病毒木马通过加驱方式获取系统最高权限,与病毒在Ring0层进行对抗)
黑客入侵防护(检测系统安全状态,发现系统中容易被黑客利用的”后门“,并提供安全加固方案,防止黑客的扫描端口、拦截黑客下载木马、拦截黑客远程控制)
看法与分析: 本次QQ管家将系统监控升级到了16层,可以说是对系统有了一个较为全面的保护。不难看出,此次的更新突出强调用户的上网保护和应用接口的保护,而这种形式的保护本身也是在系统底层保护的基础上,根据用户使用习惯和木马病毒主要传播途径形成的,但其本质是系统底层保护的拓展和延伸(例如摄像头保护、网购防护、QQ安全防护等) 。 所以笔者认为,QQ管家真正的核心防护是”文件系统防护“、”注册表防护“、”驱动防护“、”入侵防护“、”网页防火墙“。这几层防护核心组合构成了QQ管家的防护体系,并以此为框架延伸拓展了其余的十一层防护。(如下图) 观点:
1.基于核心防护体系的构造:目前各个防御之间的协调还没有做到极致——QQ管家监控方面还需要不断的加强各防护之间的联系,真正做到一个互补性,强调核心防护充分协调形成一个完整的防御体系。 例如网页防火墙,即使遭遇利用脚本漏洞、伪装成页面元素、脚本调用com组件、渲染界面格式溢出的释放木马和下载木马等挂马方式时,网页防护没有拦截到,木马被下载到本地也能通过下载保护或者文件监控将其删除,即使病毒仍然突破文件监控运行,也需要让驱动防护拦截其加驱操作,让木马成为一个”纸老虎“。 这样的防御体系可以做到:即使遭遇一个恶性木马,其也需要经过监控的层层阻拦,从而让木马的下载、运行变得非常困难。即使木马成功运行,也可以通过查毒引擎的快速灭活、系统修复、病毒清除流程,真正做到防护体系和灭活、查杀、修复体系一体化,全面加强协调。
总评: 优点——多层防护架构,通过核心防护体系的拓展和延伸能够较完全的保护系统。 缺点——还需要加强各个监控的协调和关联、加强监控同查杀的协作(例如监控发现可疑威胁后立刻进行快速灭活操作)
评:系统实时防护体系作为防护木马病毒入侵的第一道屏障,所以显得尤为重要。此次的实时防护更新不难看出Q管做了诸多的加强,最大的优点在于基于核心监控延伸和扩展出多项的监控,让防御更加全面。当然也存在各监控协调力度不够的缺憾,相信管家团队会不断的弥补这个缺点。 关于QQ管家监控的测试会在后面的《QQ管家大型纵向评测》跟《QQ管家与国内外10款杀软横向攻防测试》中体现! ④首页体检、软件管理改版
介绍:
此次的更新优化了操作流程,使得一键体检更加方便,右侧快速通道也让各种工具的使用变得更加便捷。其中软件管理的“专题”栏目做得很有特色,精选软件、下载排行很清晰,并融入手机管家,方便有智能手机的用户通过QQ管家管理手机、下载软件等。
⑤深度优化系统垃圾清理和系统加速功能
介绍与分析:
系统垃圾:是一种会不断随着使用时间的增加而变多的垃圾文件。其是各浏览器的上网缓存垃圾、视频、音乐垃圾、Windows系统产生的临时文件等,这些垃圾会不断增长占用系统空间。而如果是处于C盘的垃圾则会因为C盘容量的不断减小进而影响到系统速度。(如下图)
系统加速:包括开机加速和系统加速以及网络加速的统称,Q管会根据当前系统配置对”开机启动项“、”系统设置和内存配置“、”网络设置“等进行优化,从而提升系统速度。(如下图)
观点:当下许多用户的计算机都面临着这样的尴尬问题——系统越用越慢,新系统不到一个月又变得十分卡、开机速度慢的如蜗牛让人心急、C盘容量频繁提示不够等。而最常见的问题就是很多用户抱怨系统很慢很卡,而Q管的垃圾清理和加速功能就能够很好的帮助用户解决这样的问题,而且操作方便,易于使用。
总评: 优点——垃圾清理项全面,加速涉及网络、开机、系统加速,操作方便易于使用 缺点——电脑提速仍然是对各种设置的优化,无法让电脑速度得到大幅度的提升
评:导致计算机卡、慢的原因有很多,QQ管家的垃圾清理跟系统加速功能能够帮助普通用户方便的进行清理和加速工作,然而这些通过更改设置的提速用户感觉并不明显。用户最直观的感受是什么?是我打开一款软件的速度,它“卡不卡”?我优化前后有何变化? 所以要做好系统提速就需要专注于用户对提速的体验。 建议QQ管家团队可以根据用户机器配置推出“虚拟盘”,主动记录用户常用软件,事先加载到内存中(类似于windows7的预加载机制),提高打开和运行速度,真正从用户层让用户感觉到加速的明显度。
⑥QQ管家云预警功能
功能介绍: 很多人都有一个疑问,什么叫做云预警?
笔者认为:云预警的实质就是以增量式技术在全网进行监控部署,在用户计算机空闲时提前进行预扫描,对可疑文件进行一个威胁分级,并将用户计算机中可疑的文件上报到云端进行分析。从而可以使QQ管家的云端更快的发现潜在在的威胁,以实现流行木马响应的最快化。它的最大特点是主动进行云鉴定,体现其前摄性,而不是等到木马发作后才去扫描、拦截、响应。
分析部分: 最新的云预警系统通过客户端来收集最新样本,减轻了客户端的负担:其将特征码全部放置云端,实时监控以及扫描时会查询云端服务器,若判定为未知威胁则主动上报到云端。云端在分析完成、响应后,QQ管家会自动进行一次回扫,确保未知威胁被精准识别,从而使流行木马被即使发现、绞杀。
QQ管家云智能预警系统的特点主要体现在三个方面,分别是:智能扫描、云端响应、提前预警。下面笔者就从这三个方面来详细分析。 1.智能扫描部分 根据笔者观察发现,智能扫描分为两部分。
一是QQ管家会自动识别当前计算机的使用状态,当计算机处于空闲状态时,QQ管家的云引擎会进行后台扫描,主动揪出可能存在威胁的文件并发送到云端进行分析,从而快速确定用户计算机中的文件安全与否。 二是QQ管家在自动上报可疑文件之后,会自动进行云端鉴定。当云端鉴别完成之后,会向客户端发出回扫的指令,及时绞杀已经响应的威胁从而保障用户计算机安全。
2.回扫部分 在QQ管家进行第一阶段的“预扫描”之后,会发现一些可疑的文件,管家将此类文件汇报到云端,然后云端进行文件分析。当文件分析完成之后,会向客户端反馈鉴定结果。此时客户端收到云端的指令后,会对刚才检索出的可疑文件进行回扫,如果发现文件特征与云端已知威胁特征相匹配,此时QQ管家便会弹出警告窗并清除此威胁。 云预警具体流程如下图 总结:
优点——前摄性扫描能够通过增量式技术在全网进行监控部署,获取更多可疑文件样本。 缺点——本质是一种回扫技术,或者说是闲时扫描。希望今后的云预警技术能有更大的突破 评:综上所述,云预警是一个以增量式技术在全网进行监控部署,在用户计算机空闲时提前进行预扫描,对可疑文件进行一个威胁分级,并将用户计算机中可疑的文件上报到云端进行查询。 简而言之,是一个回扫功能。(跟Tencent Research 的一位Leader对了一下云预警技术的概念,确保无误) ⑦资源资源占用减少,优化性能
正如前文所说,6.X版本的QQ管家资源占用很大,在扫描时多引擎造成CPU占用较高,所以给用户造成了明显的卡滞感,严重影响了用户体验。 7.0版本的QQ管家较上一版本进行了大幅度的优化,资源占用中:静态内存占用由58m 减少到了 30 m,扫描时内存占用由120 m 降低到了 102 m,CPU闲时占用为1~3%,全盘扫描时资源占用为50%;(备注:为虚拟机内运行数据,配置为奔腾D 2.8GHZ、2GB内存)
这样的资源占用减少给予用户最直观的感受就是流畅了许多,不仅减少用户电脑的负担,也能够让计算机分配更多资源用于用户的使用。
【下一楼还有】
| 
发表于 2012-7-12 22:02:19
楼主
