对mcafee的不同意见之（二）

ouran

几点说明：
１．这是一篇偏激的文章，容易生气的、肚量小的别看，原本是表达观点、活跃气氛、深化认识,如果动不动生气，气坏了身子，可就得不偿失了．我也担当不起．

２．很喜欢这个论坛，可惜本人发的帖子太少，不过，每一个帖子都是经过认真思考的．当然你可以说我在完全胡说．

３．一个人若要做到敬业容易，要作到公正很难。我先前发的被人看作是“砸场子”的帖子也被版主加了分，还有一些网友能够对异己观点进行客观分析。感谢他们！
   
   这些使我都不忍心再发此类不同意见的帖子了.但是，有人不断重新开帖：说我只下错误结论，不谈具体情况，看来不说不行了，还有人说本人是个100%的偏激狂，既然背了这名，那就学学红楼梦中的晴雯，一吐为快吧！

4.我从来没有想过左右mcafee的使用者，因为，老鸟们都知道，争论只是平静的湖水面上的一个浪花．根本不会动摇他们的观点和使用习惯．而且老鸟们对异己的观点之评价都趋向冷静和客观．

５．相反，极少数刚刚使用mcafee的坛友们，除非你对mcafee的优点和硬伤理解很深刻，不要拿一些毫无思考力，近似弱智甚至漫骂的方式对待异己观点．诸如＂下了蛋才有评价蛋的权利＂这样搞笑的东西，我看就算了吧．

６．我总不能无聊到无休无止的地步吧，应该而且不得不长期处于潜水阶段了，所以把我所发过的一些异己帖子归纳一下，这该具体了吧！
关于咖啡规则是否完全有效的一个小试验http://bbs.kafan.cn/viewthread.php?tid=54178&highlight=%2Bouran
别让你的咖啡卫士变成金壳乌龟http://bbs.kafan.cn/viewthread.php?tid=78408&highlight=%2Bouran
对mcafee的几点不同意见http://bbs.kafan.cn/viewthread.php?tid=140553&highlight=%2Bouran

一.mcafee,没落的贵族？？？
　　在使用kv2004的时候,在金山论坛的一些老朋友推荐下初识咖啡.那时的kv2004是很经典的,现在想来也是一种怀念.即使如此,当本人第一次见了咖啡的时候,的确有豁然开朗的感觉.04年的mcafee企业版,1.说防护有防护,(那时，别的防病毒软件可没有此功能),2.监控很灵敏.3.快速的新威胁反应速度,4.优秀的病毒库和查杀率.5加上极小的资源占用率,其综合实力表现,确实让人折服
　　
   不知道从什么时候开始，McAfee公司反病毒及安全漏洞紧急应急部门（AVERT）主管,古洛托(Vincent Gullotto)被微软挖走之后，（我不太赞赏英雄主义，不过也值得一提，之后似乎还报道过微软挖走了mcafee的高官，这在当时，也是业界的重要新闻）一切变了，保守的引擎，蜗牛般的响应速度，歧视非白金会员上报样本的政策，越来越大的资源占用，奥，忘记了，有人说mcafee已经将重点转向数据保密领域，也不知道是真是假。
　　
   而今，主动防御如雨后春笋一般，被一些厂商部署在自己的产品中，而且日趋完善。咖啡所剩下的唯一让人叹服的压箱货——防护性能，已经不是自己唯一的特色了，优势渐渐丧失，这不由地使人想起了莫里哀喜剧中的封建贵族，思想保守迂腐，看不起有钱的新型资产阶层，调子极高，架子十足，保守有余。不过，权势和地位最终还是被资产阶级夺取了。难道一个贵族要没落了？

二.咖啡:铁甲卫士还是金壳乌龟?
　　05年之咖啡，被人称为铁甲卫士，甚至有人把卡巴称为屠夫，06年情况变了，卡巴的主动防御加极快的反应速度，卡巴也成了卫士了啊？
所谓优秀的卫士，应该是即有铁甲盾牌，也手持利器，可主动查杀，可被动防御，可守可攻，可防可杀，尽管在军事上，关闭城门，拒不迎战或许是韬光养晦的理性选择，如果永远不伺机主动出击，请问，这样的将军你喜欢吗？

　０６年底到０７年初的咖啡，几乎是只守不杀，让人联想到的不是卫士，而是遇到紧急情况就必须把头缩进去的缩头乌龟，（其规则防御，其反应之慢，其默默无闻，倍儿像乌龟了，但是我也不喜欢用缩头乌龟，就叫它金壳乌龟吧，毕竟这个乌龟的壳还是比较牢固的）尽管仍然比较安全，如果真正遇到坦克，即使完全藏到壳里，也是壳破龟亡！

三.规则的本质是信任问题，而不可能象病毒库那样自动判断程序的合法性。伪装，文件性病毒，是规则的天敌。相反，规则导致的红圈圈（变相的虚警），直接导致的结果是麻痹和放松用户的警惕心理。也就是很容易形成随时关闭访问保护的习惯。

四．规则可能无效的几种情况
１．咖啡８．５的规则对于优先于他启动的病毒木马可能无效．有网友说是他装OP的时候疏忽了，忘了先关访问保护或者把进程添加到排除中，但是OP依然自启动了。。。mcafee8.5的防御规则对它并没有起到作用．呵呵，有好些木马和流氓软件在安全模式下仍然在运行呢

２．咖啡８．５的规则对于关机的时滞后于咖啡进程结束的程序无效，病毒完全可以在关机瞬间写入启动项和创建文件．

３．咖啡没有ad，尽管其阻断了一些规则不容许的动作，但是病毒还在进程之中，如果不马上结束，关机的时候可能被加入启动项，下次执行．

４．咖啡８．５的规则对与内核级的病毒尤其是反制性内核级病毒，可能完全无效，除非你不让执行它。

5．谁说进ring0级必须用SYS驱动?呵呵，干坏事也不一定非要可执行程序啊？

６．咖啡的内存监控有问题，如果读取网络共享盘的时候，如果共享盘上有自运行的病毒，咖啡会加载到内存，并且不报,呵呵，病毒都在内存中运行了，成了活毒，有人恐怕还会说，我没有中毒啊！咖啡的监控使用的是文件系统过滤驱动，时至今日，没有多少创新，优势已去。

７．绕过中断调用和API调用，通过I/O直接访问磁盘底层的恶意程序，完全可以旁路mcafee的防护．

８．有人问，病毒无法来到本地硬盘，怎么执行呢？呵呵，那叫移动介质，例如，一个移动硬盘插到别的机器上，中了文件性病毒，经常使用移动一硬盘的人深有体会，插入别的机器，只要你来的回数多，一旦硬盘上某种特定文件被感染，（呵呵，熊猫烧香那阵子就这样，），如果你不用别的软件检测并清除它，一如既往地运行＂属于自己＂硬盘的文件。呵呵，瞧瞧你的htm文件感染了没有，我想，你不会对htm文件写保护吧！

９．如果遇到遍历某种特定文件然后将其删除的恶意程序，（只要病毒还在进程中！！）不见得非要创建文件,它可以删除文件,比如删除..xls　.doc文件，损失可就大了，（你对这些文件的写入删除保护了吗）如此损人不利己的、低级而且恶心的恶意代码在样本区已经发现了不少，恶意代码的编写者道德无底线！我们还可能遇到对特定文件比如.doc加密,之后进行勒索和欺诈的木马程序。木马行为是多样的!!

五．现在咖啡对国内区域性的蠕虫几乎没有优势
　　　微软的xpsp2 限制了tcp ip连接数，这一招确实厉害，诸如冲击波震荡波这样闪电式传播的蠕虫得到了有效的遏制。而慢速蠕虫（low and slow）流行起来.表现之一就是疯狂依靠移动介质传播的区域性蠕虫，熊猫烧香就是一个典型的例子，尽管它还有其他的传播方式。到达日本经历了近一个月的时间，此时，国内的用户损失已经比较大了。在这些地区性病毒方面，作为美系的mcafee显然没有任何优势。一直纳闷的是，06年之前，咖啡吃虫子可是能手，样本区很少见到咖啡挂的蠕虫，咖啡第一个消灭魔鬼波（实际上本人从来没有见过这种蠕虫感染的机器，可能是由于tcp ip限制了传播速度的原因，当该蠕虫刚一扩散，就被安全厂商截获了，仅仅几个小时的反应差距，咖啡的优势只是引起赞扬而已），但现在，咖啡挂虫子如同它的名气一样不可小看，可以说挂得一塌糊涂！因为区域性蠕虫成了主要的威胁！

六．咖啡的上报政策有歧视中国用户之嫌疑
　　大概是去年，咖啡修改了上报政策，对于样本的处理是按会员等级区别的。优先处理高等级会员上报的威胁。作为人家官方的决定，似乎无可非议。谁叫你是盗版呢？
　　但是，看看别的安全厂商，对样本收集的情况，不由让人疑惑？难道病毒一看到你举起一张授权协议书，就会对你产生敬畏之情？向你下跪？用户有正盗版之分，难道病毒也有授权和非授权之分？
　　假定你义务地搞个蜜罐，给咖啡上报样本，没几天，你的邮箱会被列入恶意上报的黑名单！从此，你的上报几乎没有任何回复，样本也得不到处理！这态度，和卡巴斯基相去甚远了！可以找找前几天的黑炸弹，或者killdisk，还有2月份流行的硬盘欺诈者，时至今年6月，没有报的恐怕只有咖啡一家了。
　　根据本人收藏的样本，咖啡对中国威胁的检测率连30%都达不到，不相信的网友可以在样本区，把近3个月的样本全部下载下来，自己得出结论。
　　记忆中04-05年一段时间里，所上报的样本反应还是很快的，回信的是香港的分析员，之后，香港的分析员不见了，是日本的分析员，现在呢，石沉大海，今天看博绅论坛有人问，咖啡怎么连维金这样老的东西都杀不了，我怀疑，咖啡到底在大中华区有没有病毒分析机构。
　　后来想来想去，坐享其成算了。嘿，这世界，作好人难。






[ 本帖最后由 ouran 于 2007-10-11 03:48 编辑 ]

ouran

七．混合性攻击扩大，一些功能是摆设
06年以来，几乎没有感觉到mcafee反间谍模块的功效，不过，8.5还算是加了几个比较实用的 规则而已，初此之外，最大的除了能扫几个无关紧要的cookies，只是安装之后，内存占用扩大。点“关于”，看到Anti-Spyware Enterprise Module ，才让人有点疑惑得长出一口气。确实，它反不不了几个间谍，木马都难以加库，间谍软件就更不要说了。

以下看过的就别看了

八．事前带套还是事后吃药？我看病毒库，规则、启发式
　　首先，套子确实很重要，但是，如果足够放肆，套子也有捅娄子的时候，并不是所有的性病都是不治之症，这时候，吃药不但是必要的，而且是救命的东西了，而且不少的用户是在遭遇病毒后才去求救新的防护病毒软件的，弱库能算优秀？
    只要世界上存在文件型病毒，病毒库是不可缺少的，而且特征码是目前最成熟的防病毒技术，还是那句话，虽然锁子很老了，人们还是认为他是防止东西被盗的最普遍的工具
    有人反对说，人当然要吃药的，机器则不然，可以重装嘛（ouran会笑你，你仔细瞧瞧企业的机器上的东西，还有，请你了解下数据的价值，从数据修复的收费标准就能看出一斑．还停留在动不动重装机的初级阶段？？不至于吧）

　 规则完全可以通过启发式实现，诺顿防护和nod的方式与mcafee在这点上有很大不同，启发式或许会导致“虚警”，mcafee的红圈圈难道不是虚警的另类表现？所不同的是，mcafee将所有的责任推向用户，而后两者完全留给了自己，（诺顿也有防护，它的防护是自动的），后者比前者更加智能化和自动化。启发式是最具挑战性和发展前途的反病毒技术。还有，企业配置的规则远远不那么严密，除非不让员工工作，在企业，规则主要是隔离继续感染，规则是辅助性的。
   　在一些使用者中唯规则独尊，忽视上报样本，这观念存在吧！开发防火墙的厂商尚且需要蠕虫样本来完善产品的防御功能，杀毒公司怎能不需要样本？
九.消毒也是防病毒软件的目的之一，弱库算不上优秀
木马程序可以自己删除，关键是文件性病毒的剥离，靠规则能消除文件性病毒吗？
　  有人会问，有了保护，怎么能中文件性病毒呢？，能，其一是因为移动介质（处于游离状态），而且移动介质传播病毒已经成为主要途径之一．移动硬盘的也有消毒的需要，除非里面装的全部是垃圾．其二是，规则是对已知攻击方式的防范，而不是对未知方式的防范．并且规则的有限性并不能阻止所有灵活多变的已知攻击．如果真的从此不中病毒了，这个世界还需要防护软件吗，不符合矛盾论啊．

十．我们在玩杀软还是杀软在玩我们？
    在此，要说说我身边的一些用户，多次刻录光盘失败，原来是禁止读取和写入autorun,inf.  。    一个组策略，养成用右键打开U盘的习惯，或者经常用rar瞧瞧里面的内容不就实现了？人家默认的规则中已经禁止执行temp（当然包括Temporary Internet Files）的exe.com.bat.scr.pif.......等文件了，还在不断重复去写，整了大概100多条规则吧，机器慢如牛，累得一个机器p4变p3了， 更有甚者，禁止某些文件写操作的情况下，在ntfs的磁盘上搞磁盘清理，压缩旧文件。呵呵，改变文件代码的不只是病毒。何苦呢？
    有人说，写入和执行不同，所以禁止在temp写入很有必要，或许是这样的，不过，假定允许写上10000条规则，也不敢去运行10000个病毒，拿mcafee当虚拟机，呵呵，和点着蜡烛找汽油没什么不同！
    再瞧瞧有些用户怎么用规则的，不停地排除———锁定——解锁——关闭访问保护——再开启，锁定..........规则越多，排除的东西越多，他来不及啊，多次的关闭访问保护，谁能保证你系统的初始干净状态？规则是为了提高防护的门槛，如果刻意将门槛搞得比门都高，照样阻止不了新型攻击方式的破门而入，相反，阻挡的只是自己。
    一费机器，二耗时间，影响工作效率，三费人，四费鼠标，五，频繁开关，安全性何在？要那么多规则有什么用啊？
     呵呵愿意找累受，也没办法。异化！

.............

[ 本帖最后由 ouran 于 2007-10-11 03:58 编辑 ]

zea10t

认真看完了，楼主写的不错！咖啡还是更适合企业用户！
个人感觉还是HIPS来的方便一些，相对来说咖啡操作有些麻烦！

xiyang

说的都事实啊。。
我03年开始用McAfee，当时McAfeeVSE7.0和7.1何其优秀，无论资源占用还是在金山的样本那边基本查杀新样本能力不亚于卡巴斯基。当年上报样本，最快也就20分钟给附加库了。而去年我六月份上报的两个国产木马，还没加入病毒库。

tracydk

LZ看来用咖啡用的很深刻啊，佩服

wlbol

个人感觉mcafee还是适合企业用户多一些。

sinbad2

也许病毒可以在电脑重启后删除文件,但是首先要明白一点:病毒它妈的怎么进来的?可别再说网盘U盘,这种途径它进不来!

xinshoushiye

文章写得真好，可是，我该怎么样呢？

love求求

总的来说，楼主的思路还是有道理的，那么我也顺便菜菜，对于普通用户而言，病毒主要来源于三个渠道：

⒈网站，如果写个规则，发作是发作不起来的。运行可执行文件是个问题

⒉下载程序，如果有病毒，首先会触动规则，也就是我们经常说的见红，如果是新手规则写得不好的话，那是另外一回事。对于木马病毒而言，首先是要能运行得起来，能感染程序或者是删除文件，假设病毒绕过默认规则，也就是不会触动在windows或program下创建可执行文件，如果用户禁止所有程序写入exe或者是禁止删除我的文档或者是重要资料的话，病毒如何感染？根据楼主的理论，可以优先咖啡启动和滞后咖啡结束然后优先启动，我想这个首先是要建立在这样一个前提：首先，不能触发用户所写的规则，也就是不能见红， 见红就会被用户发现，结束相关进程并用其它工具查看系统的相关情况。那么，下次病毒如何优先或者是滞后于咖啡加载？

⒊移动硬盘，据我所知，移动硬盘所有可执行程序都是不能执行的。。。。

至于像内核级的病毒，这个不好说了，直接挂掉咖啡也是有可能的，不要说咖啡，能在冰刃面前说NO的杀软请举手看看。。

不过事又说回来，楼主所说的情况是已知的不足，对于任何一个东西过度相信是不可取的，咖啡的缺点多的要命。。

[ 本帖最后由 love求求 于 2007-10-11 09:35 编辑 ]

zyssg

水贴一篇而已，毫无技术性可言，说来说去没什么意思，路过！