搜索
查看: 18609|回复: 73
收起左侧

[讨论] 新版个人版咖啡的新发现和简单评测(安全中心版本:15.1)

  [复制链接]
bbszy
发表于 2016-9-30 15:03:54 | 显示全部楼层 |阅读模式
本帖最后由 bbszy 于 2016-9-30 18:51 编辑

一早起来,看到其他饭友的消息,咖啡个人版推送了新版本,而且本次更新包含了期待已久的realprotect。消息详见:http://bbs.kafan.cn/thread-2058774-1-1.html

更新前的版本号:
about_old.PNG
about_old2.PNG

更新后的版本号:
about_new.PNG
about_new2.PNG

看到消息,便更新自己电脑上的咖啡,但由于咖啡的推送策略,我这边暂时还没有收到推送,无奈去下载试用版。

1.UI

新的个人版下载器经过全新设计,界面还是可以的,但体积相比之前的10M以内大了不少。
newinstaller.PNG    newinstaller2.PNG

主程序界面还是万年不变的老样子。但实时监控现在不可以自定义了:
老版:
realset_old.PNG
新版:
realset_new.PNG

2.进程、驱动、本地病毒库、注册表:

(1)进程:
对于进程的变化,最明显的是多了cloud av相关的进程:
newproces.PNG
对应的是这个程序:
newproces2.PNG

并且这个进程加载了文件监控相关的dll文件:
av1.PNG
转而看老版本中用于实时监控的进程mcshield.exe,没有加载这个dll文件,所以可以认为新版的实时监控是由MfvAVSvc.exe这个进程实施的。当然mcshield.exe同时也加载了传统的5800引擎。
mcshieldexe.PNG
rc.dat,作为realprotect的模块也被mcshield.exe加载:
mcshieldexe2.PNG
这里要提一句,mcshield.exe这个进程有时候并不会出现,目前猜测是按需加载。

(2)驱动:
而对于驱动,一眼扫过去还是原来那些:
drv_new.PNG

(3)病毒库:
去咖啡存放本地病毒的地方看一看,发现原先存放本地库的文件夹已经不在,原先近百M的本地库也没有了。而目前本地的库只有不到10M。
其中scan.dat用于检测威胁,names.dat用于威胁命名,clean.dat用于威胁清除。
老版本地库:
捕获2.PNG
新版本地库:
捕获.PNG

(4)注册表:
去翻了一下注册表,老版中调整月神等级的地方,记录了传统引擎的各种参数,而如今此处全部为空:
老版:
regset_old.PNG
新版:
regset_new.PNG

根据以上发现以及之前所掌握的信息(例如:http://bbs.kafan.cn/thread-2049836-1-1.html),应该可以确定咖啡已经彻底云化了,而且根据报毒名(下文会讲到)来看,咖啡已经抛弃传统引擎所使用的Artemis也就是月神的检测,取而代之的是JTI或者Realprotect或者Suspect的报毒名。虽然传统引擎依然被加载,但作用已被大幅弱化,新的云引擎将执行主要监控、扫描的任务。
目前猜测新的云引擎是以下几个文件:
neweng.PNG

3.资源占用和使用体验:

资源占用和之前无太大差别,但是由于可能是因为主要使用云引擎监控的原因,在首次启动程序的时候可能会略卡。
扫描速度相比老版变慢,与目前趋势11的扫描速度相当,甚至更慢。

4.病毒样本测试(监控/扫描):

本以为咖啡会将传统引擎和realprotect结合,进而有更强的检测能力。但实际上咖啡直接让云引擎挑大梁,而且从测试看,效果反而不如从前!

(1)监控:
之前咖啡一直给人监控十分高效的印象,样本也都是解压便处理完,完全是“手起刀落”。
但新版监控,似乎没有读写监控,因为样本解压之后,以及更改后缀名监控都没有任何反应!
newun.PNG
newun2.PNG
以上这两张图,在以前的咖啡是不可能截到的,因为解压完毕样本就已经处理完了。除非关闭监控,但以上两张图中,监控是正常开启的(云连接正常)。
那会不会是新版的策略,对新文件的监控有延迟呢?经过测试,并不是。这些样本除非运行,否则监控完全没有反应!

(2)扫描:
对于扫描速度,已无力吐槽,貌似云化的杀软 扫描都没有快的。
这节重点测试检测率,以及修复情况。
样本选取的是近期的JR样本。下方贴出多个单日JR包经过咖啡监控+扫描后所剩下的样本截图。
图片放置顺序均是上老下新,也就是上方是老版咖啡的检测结果,下方是新版的,同时被修复的样本均由红点标出。
扫描测试均在9月30日下午进行,虽然由于切换虚拟机不可能让扫描同时进行,但前后相差不会超过一个小时,云响应造成的误差可以忽略。

9.23JR包
9.23_old.PNG
9.23_new.PNG

9.26JR包
9.26_old.PNG
9.26_new.PNG

9.27JR包
9.27_old.PNG
9.27_new.PNG

9.28JR包
9.28_old.PNG
9.28_new.PNG

9.29JR包
9.29_old.PNG
9.29_new.PNG

9.30JR包
9.30_old.PNG
9.30_new.PNG

从以上可以看出,新版检测能力大幅下降,并且似乎丧失了修复能力,因为这些样本新版咖啡没有一个修复的,而且老咖啡能修复的新咖啡也没有修复。
截取部分检测结果:
b2.PNG
b.PNG
上方是老版的,存在不少月神(Artemis)的检测结果,下方是新版的,月神的检测结果被JTI和Suspect取代。

之前realprtect作为独立组件发布时,有些咖啡传统引擎不报的样本,一运行就能被realprotect检测到,让人觉得realprotect可能是云主防。
mcafee官方对realprotect的简单说明:http://www.mcafee.com/us/downloa ... se-realprotect.aspx
Real Protect is a real-time behavior detection technology that monitors suspicious activity on an endpoint. Real Protect leverages machine learning and automated, behavioral-based classification in the cloud to detect zero-day malware in real time.
Q: What user or system details are collected by Real Protect?
A: Instead of sending the whole file, Real Protect sends the behavioral trace of the file execution which is typically a few bytes of information. This is the minimum amount of information necessary for Real Protect to determine the nature of the file. The behavioral trace information includes file name, file path, process ID, event, the OS version, and a randomly generated GUID of the machine.

简单说来realprotect是一种实时行为检测技术,利用了云端机器学习和自动基于行为分类,来实时侦测令日威胁。realprotect并不上传整个文件,而是上传关于文件执行的行为跟踪记录,这些记录包括文件名、文件路径、进程ID、系统版本以及由机器随机生成的GUID。

但是新版咖啡对于JR包的检测,扫描不报的,双击也没有一个报的!所以个人对realprotect的行为检测能力还有待继续测试。(测试时间9.30下午3.左右)

再次双击9.30JR包部分样本(9月30日下午6:30)17号样本被realprotect检测:
real1PNG.PNG

而且不同的后缀检测率也不同,同样是9.29JR包,当把后缀全部改为exe后,将有极高的检测率,并且报毒名基本上都是Suspect,如果都是vir后缀,检测率就比较低。
houzhui.PNG

5.总结
新版的咖啡并不是像原本所期待的,传统引擎和realprotect珠联璧合,反而是彻底的云化,新的云引擎大有取代传统引擎之势。新版的咖啡更像McAfee Cloud AntiVirus(http://bbs.kafan.cn/thread-2049836-1-1.html)加上咖啡原本的防火墙、Siteadvisor、Anti-Spam等组件的产物。从以上测试来看,无论从资源占用还是检测率来看,都不尽人意。但是JTI作为刚刚大规模使用的检测方式,或许很多东西还在调整。所以期待以后咖啡能有更好的表现。

评分

参与人数 4原创 +1 人气 +3 收起 理由
ericdj + 1 辛苦了~
Johnkay.Young + 1 版区有你更精彩: )
驭龙 + 1 精品文章
绯色鎏金 + 1 原创内容

查看全部评分

T.Yoshiyuki
发表于 2016-9-30 17:45:15 | 显示全部楼层
本帖最后由 T.Yoshiyuki 于 2016-9-30 17:52 编辑

前幾天還在測5900引擎 現在就強推這個坑爹雲化版本
咖啡這種迷一樣的產品線和思路 最苦的就是廣大個人用戶了……

至於realprotect到底是什麼鳥東西……要麼辛苦下@驭龙 這種大大扒一扒文件
要麼就只能等官方放到檯面上宣傳時扒白皮書或者文檔了(對了 現在官網或幫助文件有相關介紹的話可以扒一下)

總之我現在一點都不期待這東西 咖啡值得看的也只有MES推出的各種奇奇怪怪的新功能以及5900引擎了 當然如果依賴管理端的話也玩不成了
以及——VSE,經典恆久遠

P.S. 突然發現 日本的單位部署的VSE的agent也都換成5版本了……
前幾天內網郵件說11台機子中了勒索病毒 是ZEPTO
果然VSE開的默認規則根本擋不住……
sp160930_185056.png

驭龙
发表于 2016-9-30 17:47:55 | 显示全部楼层
来支持了,精品文章。

我没有正式版的授权,我就先看看了,等明天刷个授权,在玩
bbszy
 楼主| 发表于 2016-9-30 17:53:05 | 显示全部楼层
驭龙 发表于 2016-9-30 17:47
来支持了,精品文章。

我没有正式版的授权,我就先看看了,等明天刷个授权,在玩

弄个干净的虚拟机直接下载30天试用版就可以。邮箱随便填 反正不验证。
T.Yoshiyuki
发表于 2016-9-30 17:53:17 | 显示全部楼层
驭龙 发表于 2016-9-30 17:47
来支持了,精品文章。

我没有正式版的授权,我就先看看了,等明天刷个授权,在玩

支持一個 交給大大研究了 我個人是……咖啡虐我千萬遍
看我樓上(2樓)回覆,有補充
驭龙
发表于 2016-9-30 18:04:29 | 显示全部楼层
T.Yoshiyuki 发表于 2016-9-30 17:45
前幾天還在測5900引擎 現在就強推這個坑爹雲化版本
咖啡這種迷一樣的產品線和思路 最苦的就是廣大個人用戶 ...

唉,我就说McAfee对付勒索只能拉黑和特征杀,果然如此啊。

我有机会的话,会看看的

现在就看Real Protect给不给力了,不然就不好玩了
bbszy
 楼主| 发表于 2016-9-30 18:22:12 | 显示全部楼层
T.Yoshiyuki 发表于 2016-9-30 17:45
前幾天還在測5900引擎 現在就強推這個坑爹雲化版本
咖啡這種迷一樣的產品線和思路 最苦的就是廣大個人用戶 ...

个人觉得VSE还是有点跟不上时代,仅仅就是一个扫描器,需要有别的东西补充。
Johnkay.Young
发表于 2016-9-30 18:30:58 | 显示全部楼层
真不希望咖啡这样做。
bbszy
 楼主| 发表于 2016-9-30 18:30:59 | 显示全部楼层
驭龙 发表于 2016-9-30 18:04
唉,我就说McAfee对付勒索只能拉黑和特征杀,果然如此啊。

我有机会的话,会看看的

real本身的检测率不是特别好,至少对于JR包。

新的云响应速度还可以,今天的JR包,目前已经响应10个了。
罗曼语
发表于 2016-9-30 18:31:19 | 显示全部楼层
测试很全面,好评!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-12-8 00:32 , Processed in 0.103614 second(s), 22 queries .

快速回复 返回顶部 返回列表