勒索防护对性能的影响

B100D1E55

之前关于性能测试的帖子已经发了不少，这里再炒冷饭简单讲一些很简单但容易被忽略的问题。由于写这篇时间有限，仅文字列出粗略测量数据，没有图表截图佐证

这段时间因为在折腾自己文件服务器的备份问题考虑使用Acronis True Image，看到True Image提供了一个勒索防护功能，Acronis网站上各种吹，比如什么AI加持大数据，支持回滚之类的……我也就手痒简单测一下

首先Acronis的勒索防护在安全方面的确还行，以毒区此帖为例：https://bbs.kafan.cn/thread-2140604-1-1.html 这个毒放倒了ESET的勒索防护（虽然现在已经入库了，摊手），但是能被Acronis成功挂起+回滚+禁止执行，文件毫发无损，哇塞棒呆了。

不过我因为工作的原因非常看重机器的I/O性能，如果这层安全的代价是大幅性能拖累那么就没什么卵用了。直觉告诉我Acronis这种保护性能会非常屎，而实际测试如何呢？

所谓回滚，无非就是在敏感地方出现文件覆写操作之类的时候进行截获并备份对应文件，这种实时versioning手段自然会带来大量性能拖累，因此大部分安软除非能自己设置敏感文件夹，否则常见敏感地点外的文件改动一般就不监控了。为了减小性能问题，安软性能优化重点之一在于在不降低安全性的前提下尽可能少监控，在勒索防护上这点的体现之一则是排除掉没有监控价值的进程的I/O操作等

Acronis区分被监控和被放行的进程，所谓放行的进程就是那些有有效数字签名的程序（尚不知道是仅对知名数字签名放行还是对所有放行），而被监控的则是没有数字签名的。明眼人一看就知道这种做法：图样，图森破啊
这里说的不是防护强度图样（我并没时间测Acronis对于注入型的ransomware能不能正确跟踪之类的），而是性能优化方案图样
仔细想想，7z没有数字签名会被监控，国内不少人爱用的WinRAR烈火汉化版（winrar官方版有签名），ACDSee破解之类的都会被监控。之所以提到这几个软件是因为这些程序都容易落入Acronis性能优化的阿喀琉斯之踵，即在敏感文件夹内由于进行文件批量操作，触发后台回滚备份导致性能灾难。
在这里我简单用国内常见的winrar烈火版测试一下，测试的内容是在我的文档文件夹中解压一个280MB的压缩包，这个压缩包中有~27000个文件，都是源代码不包含PE，这样一般排除扫描引擎的拖累

解压这样一个并非太大的软件工程包并不是什么罕见的应用场景，在裸机测试中解压花了26秒，Acronis监控启用后由于监控了WinRAR进程，解压时间变成了54秒，翻了将近一倍。而在Acronis中手动排除了WinRAR进程监控后解压时间变成了32秒，仍旧有一些性能折损但没有那么悲催。
顺带测了一下程序启动速度，这里仍旧是用PCMark10的测试。PCMark10考察的程序都有数字签名，而Acronis监控时比没监控的时性能仍旧低了约10%

上面的测试可以看到Acronis这么屎的性能表现主要就是因为其排除逻辑太简单粗暴。用户可以手动指定Acronis排除一些程序，但有多少用户会有这个闲情逸致设置这种东西？我看大部分用户是不会怀疑到Acronis拖累性能的，哪怕电脑性能被拖回到解放前也不会察觉到

反过来再测一下同样带回滚的卡巴斯基：

测试方法很简单，同样用烈火winrar在document下解压同一个压缩包（KSN信任winrar的PE），基准数据是26秒（再解压一次覆盖已经解压的文件仍旧约26秒）
卡巴监控下：~26秒，大致相同
卡巴监控+改winrar md5：~44秒，出现性能拖累
卡巴监控+改winrar md5 + 覆盖已经解压的文件： ~69秒，非常明显的性能拖累

卡巴借助KSN信任名单，在更合理的监控排除逻辑帮助下基本在常见情况下不会有什么性能问题。但一旦用户使用自己编译的程序/小众小工具，性能拖累就无法避免。

安全和性能有时候是相互矛盾的，使用带回滚功能的杀软时如果发现一些情形下文件解压速度过分慢于预期或其他I/O性能太差，不妨怀疑一下是不是这些安全措施导致了性能大悲剧。当然这里并不是否定回滚，口水这种事情没有意义

灵果

现在看一般的专业防护还是交给专业的杀毒软件比较合适，那些办公软件、备份软件、云盘软件五花八门的类似外{过}{滤}挂功能，有特殊使用需求的再说，大多数用户围观看热闹就好，否则就跟杀软综合征那样安装一堆杀毒软件差不多，脱累了电脑不算，甚至在电脑里暗中打架。

KK院长

现在电脑必须注意备份了.

Jerry.Lin

不包含回滚的勒索识别是不是影响就比较小？

比如国内360的云HIPS，火绒多步，Dr.web DPD 等等

InnoriaAlter

还是勤备份好啊

meirh0102

假如这家机构用的是ssd组了raid0测试那就可以排除硬件性能不足的影响，基本能确定是勒索防护影响了程序的正常运行。

那么这个测试用的电脑有配置标准吗?什么CPU  普通机械硬盘,高性能机械硬盘,sata ssd,pcie ssd还是m.2 ssd?
假如有影响是不是可以用硬件弥补。举个例子，拿台破电脑解压一个rar要40秒，开了勒索防护变成2分钟。但是用在一台顶配电脑上解压10秒，开防护12秒。影响几乎可以忽略。

feelingdld23

看来我用Acronis Ransomware Protection给ESET补漏是正确的选择。性能影响上感觉不是很大。

generalbasic008

最可靠还是HIPS自定义保护文件夹。回滚也是防个60%差不多了。

ELOHIM

孰轻孰重首先要判断正确。
在被勒索以后如果有挽救措施，应该不遗余力的去开展工作。
在这个时候在乎性能问题就有点不妥。

所以，最佳最经济最效力和实惠的方法就是，给安全软件足够大的空间去运行。
我感觉占用一半的“资源”是最合适的。
凡事以安全为重，跟安全相悖的全都否掉。
这样一来，微软默认CPU占用为50%。

B大的测试结果都是以秒为单位进行总结的。
比如说：

卡巴监控下：~26秒，大致相同
卡巴监控+改winrar md5：~44秒，出现性能拖累
卡巴监控+改winrar md5 + 覆盖已经解压的文件： ~69秒，非常明显的性能拖累

26秒 44秒 69秒，
这三个结果的不同，具体是CPU计算能力不足，还是磁盘读写不足，还是内存不够大造成的呢？

此文提到的“性能”，是指哪种性能？？

飞碟1234

generalbasic008 发表于 2019-1-7 19:15
最可靠还是HIPS自定义保护文件夹。回滚也是防个60%差不多了。

呵呵，不要过分神话HIPS