【我爱评测】费心深究安全道， 尔来五载技术妙。(8.11更新误报2-3、静态扫描测试)

25636

费心深究安全道，尔来五载技术妙。

风火迅捷占用少，速卷残局威胁消。

一楼：新版优点以及建议
二楼：BUG或误报反馈、弹窗界面设计
三楼：V8评测

2012年8月8日
初步体验后，新版优点以及可以进一步的改进建议：

1、优点1：安装程序解压的等待时间减少了

2、【建议1】安装过程稍显繁琐，希望不超过3屏来完成，将“欢迎使用”和“同意协议”合并，将“选择路径”和“是否设置开始菜单”合并

3、安装过程中费尔不被微软认可识别【相信正式版一定可以通过】


4、优点2：安装完成后有一个向导：您用过杀软吗？——您了解的杀软术语？（选择两个或以上就会切换为专业模式）——设置界面——完成向导（可重新设置）

5、【建议2】初始安装完成，切换为专业模式后，“动态防御”设置中的“专家模式”并没有勾选，应该改为默认勾选

6、优点3：合并病毒库的时间和占用减少了，也更流畅了

7、优点4：首次快速扫描用时59秒，还是比较快的，CPU占用也是比较稳定（除了一开始和就快结束的时刻跳跃一下）——在单独运行费尔的情况下测试



8、【建议3】云鉴定界面不太友好，希望增加：I. “鉴定新文件”（或者说“再鉴定一个”）的按钮；
II.（下图的第三栏动作要可选择）即点击工具——云鉴定，
先弹出选择界面，询问用户需要 “提交样本/鉴定未知文件/提交误报” (1、2可合)，然后再选择路径；



9、【建议4】对于弹窗里的“级别评分”，希望官方能科普，或把它转换为能让我们看懂的直观的十进制数字

10、【建议5】动态防御弹窗的“信任”按钮应该像“文件防御”弹窗那样变成Label或缩小，且不要放在“清除”旁边，避免误点（详情在2楼）

11、【建议6】弹窗为何只能看到“下一个”，看不到“上一个”，如果按了下一个，那上一个如何处理呢？希望增加类似“1/5”的文字描述，增加“上一个”按钮（详情在2楼）

12、【建议7】日志查看只能看到“防御开/关”的记录，看不到对某个行为、文件的防御记录，而动态防御的详细记录在一个fddslog.txt中，密密麻麻看着混乱，建议放到“日志查看”的表中，二者合一。

13、【建议8】将“工具”的“日程扫描管理”放到“扫描”Tab中，以方便调出。

14、【建议9】对于弹窗的“>>”选项，希望官方能解析一下，或者有些可以精简的选项就不要了


15、【建议10】主界面下面的即时扫描（实时防御）路径展示可以放到上面（或者不要，因为实用性不大），主界面下面的状态条可改为展示连接到云安全的情况。

2012年8月9日
16、【建议11】主界面“防御”标签的“扩展保护”-“文件陷阱”不如改成可概括三个陷阱特点的“虚拟圈套”或“源头捕捉”
17、【建议12】“嵌入扫描”设置中没有嵌入哪个软件的选项，希望可以充分展示出来，可提高定制性。

18、【建议13】“动态防御设置”-“信任列表”的选择不太方便，可以改为勾选形式，同时可考虑增加一个分栏列表（如文件路径、MD5、云鉴定结果、发布公司等信息分开对齐列出，一目了然），不要让MD5挤在文件路径后，看着比较乱。（其实文件扫描信任也一样的）

19、【建议14】主界面可增加“系统被保护”相关字眼（左方的大个图片有点空虚）

20、【建议15】“工具”-“系统修复”目前只是由用户自主选择修复，可以改为自动检测各项目的安全性，由用户选择是否修复，相信费尔的技术可以让这个工具可以继续加强成为像360急救箱、金山急救箱类的工具。

25636

弹窗界面设计：2012年8月8日



介绍:
1、将危险级别放到上方，主提示文字后面的背景色（或窗体主体颜色）随着危险级别改变。（例如：红——黄——蓝）；
2、左下方有左右箭头以切换查看不同的报警信息；
3、当用户选择“不知如何选择”时自动切换至“标准模式”，并执行默认推荐操作。


建议：
1、动态防御弹窗、注册表威胁：将“部分行为”的行为有一个简洁的归纳描述放在“行为描述”中，例如该行为的危害、通常情况下，程序这样做有何目的。（对于简繁版，可以把英文展示成更容易快速理解的中文）2、【建议5】动态防御弹窗的“信任”按钮应该像“文件防御”弹窗那样变成Label或缩小，且不要放在“清除”旁边，避免误点
3、文件防御可以在“类型”或“名称”那里充分展示基因、MVM、启发等尖端技术识别出来的结果。

2012年8月9日


介绍:
1.各处理方法下面都有一个概述，用户能清楚了解操作的结果；2.主色调（蓝色）与托盘图标相同。


~~~~~~~~~~~~~~~分隔线~~~~~~~~~~~~~~~~~~~~分隔线~~~~~~~~~~~~~~~~
2012年8月8日：【误报1】常用软件——QQ和Win7自带截图工具
应用环境：Win7
操作过程：
1.登录QQ，等待足够时间，QQ弹出腾讯迷你首页
2.打开和好友的会话窗口
3.运行微软官方截图工具（在开始菜单）
费尔的反应：（来不及截图，有提示劫持、植入型木马等）日志如下：

2012-08-08 09:58:55, Rules 0 for C:\Windows\System32\wisptis.exe 0.200000000 -> Level: 50.42c800.19000002e0000000
2012-08-08 09:58:55, Rules 70 for C:\Windows\System32\wisptis.exe 50.e0000000 -> Level: 50.42c800.19000002e0000000
2012-08-08 09:59:20, Rules 170 for C:\Windows\winsxs\x86_microsoft.vc80.atl_1fc8b3b9a1e18e3b_8.0.50727.4053_none_d1c738ec43578ea1\ATL80.dll 10.200 -> Level: 10.40c000.200000000000200
2012-08-08 09:59:20, Rules 0 for E:\Program Files\Tencent\QQ\Bin\QQExternal.exe 0.200000000 -> Level: 60.808801.2000002e0000200
2012-08-08 09:59:20, Rules 70 for E:\Program Files\Tencent\QQ\Bin\QQExternal.exe 50.e0000000 -> Level: 60.808801.2000002e0000200
2012-08-08 09:59:20, Rules 170 for E:\Program Files\Tencent\QQ\Bin\QQExternal.exe 10.200 -> Level: 60.808801.2000002e0000200
2012-08-08 09:59:20, E:\Program Files\Tencent\QQ\Bin\QQExternal.exe 正在被 C:\Windows\winsxs\x86_microsoft.vc80.atl_1fc8b3b9a1e18e3b_8.0.50727.4053_none_d1c738ec43578ea1\ATL80.dll 劫持. . 云鉴定: 未鉴定, (等待处理)
2012-08-08 09:59:20, C:\Windows\winsxs\x86_microsoft.vc80.atl_1fc8b3b9a1e18e3b_8.0.50727.4053_none_d1c738ec43578ea1\ATL80.dll . 云鉴定: 未鉴定, (等待处理)
2012-08-08 10:00:08, C:\Windows\winsxs\x86_microsoft.vc80.atl_1fc8b3b9a1e18e3b_8.0.50727.4053_none_d1c738ec43578ea1\ATL80.dll 被暂时信任成功。
2012-08-08 10:00:08, 成功 增加 C:\Windows\winsxs\x86_microsoft.vc80.atl_1fc8b3b9a1e18e3b_8.0.50727.4053_none_d1c738ec43578ea1\ATL80.dll 到信任列表。
2012-08-08 10:00:08, 取消了对 E:\Program Files\Tencent\QQ\Bin\QQExternal.exe 的询问。
2012-08-08 10:00:08, Begin Rollback for E:\Program Files\Tencent\QQ\Bin\QQExternal.exe
2012-08-08 10:00:08, Rollback Terminate Process E:\Program Files\Tencent\QQ\Bin\QQExternal.exe(PID: 2288) succed(0x0)
2012-08-08 10:00:08, 失败 结束进程 E:\Program Files\Tencent\QQ\Bin\QQExternal.exe(PID: 2288)
2012-08-08 10:00:08, End Rollback for E:\Program Files\Tencent\QQ\Bin\QQExternal.exe

再次登录QQ：



错误报告是QQ的minidump，就不发了
误报的DLL已提交至云鉴定，结果为安全
~~~~~~~~~~~~~~~分隔线~~~~~~~~~~~~~~~~~~~~分隔线~~~~~~~~~~~~~~~~

2012年8月11日：【误报2】常用软件——误报计算器
应用环境：Win7 操作过程： 打开开始菜单的计算器

已上报：


【误报3】系统文件——误报win32k.sys、wininet.dll
应用环境：Win7 操作过程： 正常操作

    以下压缩包分卷压缩，包含win32k.sys、wininet.dll 两个文件。




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

25636

先放出：
一、静态扫描测试：
两个样本集合：
（一）在卡饭样本区随机选取10个样本

1.http://bbs.kafan.cn/thread-1347749-1-1.html
2.http://bbs.kafan.cn/thread-1350553-1-1.html
3.http://bbs.kafan.cn/thread-1350549-1-1.html
4.http://bbs.kafan.cn/thread-1349393-1-1.html
5.http://bbs.kafan.cn/thread-1349393-1-1.html
6.http://bbs.kafan.cn/thread-1309109-1-1.html
7.http://bbs.kafan.cn/thread-1349697-1-1.html
8.http://bbs.kafan.cn/thread-1349697-1-1.html
9.http://bbs.kafan.cn/thread-1349218-1-1.html
10.http://bbs.kafan.cn/thread-1344510-1-2.html

（二）旧样本（8.1左右的）226个


开始测试
时间：2012-8-11 14:18
病毒库版本：8.10 4:04:42

Set1:不开启启发式扫描-结果：检测出4、5、6、10

Set2：开启启发式扫描和高级启发技术（基本2-1、静态2-2、动态2-3、最高2-4）

2-1：检测出4、5、6、10（MVM时间设为2000ms，默认不可改）

2-2：检测出4、5、6、10（MVM时间设为最高30000ms）

2-3：检测出4、5、6、10（MVM时间设为最高30000ms）

2-4：结果同上~~~~~~

Set3：Set2+使用扩展病毒库:结果同上~~~~~~

最后开到最高（Set3），测试旧样本（8.1左右的，从毒霸论坛收集）226个：115/226=51%

第一个包不报的已上报至云鉴定2、3、9被鉴定为无毒；7、8上传完成无结果！



二、资源占用测试：
（1）安装完成后，硬盘占用空间，如图：

硬盘占用空间处于其他的安全软件平均水平。
（2）静态占用测试：（打开浏览器，网页加载完成后，没有开启扫描任务，其他软件没有开启）
twister.exe 的 I/O：


twssrv.exe 的 I/O：


内存和CPU，3个时刻随机截取（期间有支付宝安全控件和某些程序的后台升级程序运行）






占用控制得很好，只是开机时有点卡。

三、自我保护测试：
TO Be Continue...

酱紫啊~

占楼备用

清蒸波波面

我现在还想知道V8的开机还卡么？

25636

清蒸波波面 发表于 2012-8-8 10:55
我现在还想知道V8的开机还卡么？

开机有点卡，费尔的托盘隔一会才出来（不知是不是因为安装有MacType）
系统恢复流畅后，费尔报MacType为威胁

清蒸波波面

25636 发表于 2012-8-8 11:03
开机有点卡，费尔的托盘隔一会才出来（不知是不是因为安装有MacType）
系统恢复流畅后，费尔报MacType ...

不是因为MacType，我刚看了官方的回帖，据说也许公测期间会解决，也许就得等到正式版了！

xxqqwx

支持评测~~~

guyue2011

评测不错啊    想不到lz这么多建议     支持一下

蓝核

专业！！！