本帖最后由 PanzerVIIIMaus 于 2020-6-1 17:12 编辑
【呜哇~写得好乱,我也不太想再整理了,将就着看吧大家】
【但是我的求生欲还是极强,能否稍微地~鼓励那么一下下~写了这篇体验报告的我呢?】
最近拜读大神测试:(完结撒花+样本已公开) 如果用攻击企业的方法攻击个人安全软件会怎么样呢?
时发现AhnLab(安博士,棒子的一款老牌杀毒软件)V3 Lite也被纳入测试中,我就很惊异了,安博士的免费版杀毒复活了?什么时候?
以前我用过这家厂商的产品,AhnLab V3 IS,接触这个厂商的机缘在于我当年试着在网上寻找各类厂商的“网页式在线杀毒”,然后就有所了解了,尽管这当时只是我白嫖各厂杀毒的过路客,但感觉相当不错,综合体验干脆利落,病毒库更新也很是勤快
这大概是十二年前了,标志性的界面元素是红绿灯,这种界面在当时看来是相当“清晰、现代化”的
几年后,我听说有叫V3 Lite的免费版杀毒,于是便去试用
但是,我的印象变了
明明和当年是差不多的同一套系统,但是误杀很大,以至于系统被杀得不正常,我将隔离区的文件都恢复后,直接卸载——感觉相当垃圾
再过一段时日,我在AhnLab的中文官网看到一条公告,大致意思就是安博士不干像V3 Lite这样的免费安全产品了
我也没将这个摆在心上
今日,我看到帖子里出现了V3 Lite
 (借用大神贴图)
这意味着安博士的免费版产品在我不知道的什么时候开始重新复活了,也支持AMSI这个就有点意思,这看起来不像是随意而为的免费安全产品,考虑到这点,我表示好奇,去试用这款杀毒软件
但我无法在中文官网上找到关于V3 Lite的安装程序,事实上我无法在中文官网找到任何安装包,无奈之下我只得在V3L韩文官网上找到V3 Lite,支持英文和韩文,但不支持中文
我是在主力笔记本实机试用V3 Lite的,但是安装过程并没有进行截图,因此使用虚拟机重新记录安装过程
这个安装包、安装界面的风格没有明显变化,会让我瞬间想起十一二年前的V3 8.0
没有语言选项,自动选择了英文安装,应该是被设计成在非韩语系统自动使用英文安装的自判断逻辑
在简单同意两条协议后(其中一条有关ASD【云防护体系】的协议,如果你无法同意ASD,便不能安装V3 Lite),直接进入了安装预备状态,在设定路径外再无任何设置项,点击下一步就开始安装
在安装过程的最后阶段,会强制进行一次更新(安装包并不附带引擎和病毒库),期间你无法对安装进程作干涉,如果想先确认安装好再进行更新的话,请一开始就断网,以跳过强制更新
更新体验:实机安装的时候是有Wi-Fi联网的,因此经历了首次强制更新,首次更新的时长比较长(我花费了大概半个小时,首次更新的确相当慢),但更新十分稳定,更新也没有被意外中断。在接下来的数天使用中,除了没接网线又关掉Wi-Fi的“断网时刻”外,我还未尝有任何一次自动更新因网络问题而导致更新耗时很长甚至失败的情况。这点比“帝联CDN”时代的卡巴斯基好很多倍(现在卡巴斯基跨入“阿里巴巴CDN”时代,间歇性出现的更新困难问题已经基本灭绝了)
如果你没有成功进行首次强制更新,安装仍旧会宣告完成,但界面会是这样的,防护也无法开启
【从现在开始是实机界面】
这是正常运作的界面
简单易懂的现代化触控友好型界面,不管你是普通的传统电脑用户,还是二合一电脑用户,都相对讨喜
UI没有转场特效,也没有迟滞感(咖啡企业版MES就属于没特效也迟滞,有转场特效更迟滞的那种)
不管是否正常运行,托盘菜单通知始终是相当简单易懂,只简单显示“引擎日期、防护是否开关”
通知性事件会在通知中心进行提示
常用功能:
日志区:
(比较有趣的是更新事件是中文的,这可能表明V3 Lite所使用的更新模块的日志功能支持中文,指向的可能结果是从V3IS直接移过来的)
测试还是要进行一下的,但我并不做关于具体检测率和保护率的测试
只浅做误报测试和性能相关体验,测试修复能力的有无,以及简单的按访问扫描测试
扫描类型评论:
EICAR测试,通过下载EICAR测试文件,以确认是否依赖拓展名扫描,测试结果是
LNK蠕虫伪装及其衍生物测试
这两个测试表明了V3 Lite并不依赖通过纯拓展名跳过扫描,并且对一些常见类型的U盘威胁伪装和衍生物有防范
性能体验评论:
内存占用:相当不错,不论从进程的专用内存方面,还是从总内存占用方面,占用都非常小
日常使用拖累:相当流畅,没有感觉到任何明显拖累
游戏使用拖累:在这里能感受到问题,当我启动《坦克世界》主程序的时候,我需要等十秒甚至二十秒左右才能出现游戏窗口,我还误以为坦克世界并没有启动呢,之后的地图加载、游戏帧数等类速度都正常。
猜测:日常绝大多数使用并没有问题,相当流畅,但发现可能对大型游戏的加载速度有所拖累,是否能推测对其他某些大型软件的加载速度也有所拖累?
总结:V3 Lite还是有相当不错的性能平衡的,尽管发现在游戏加载有拖累,但没有发现任何的运行过程拖累,可以说是一款性能足够平衡的产品
浅评误报:
误报怎么浅测?浅测当然就是扫描啦,我准备了这么些文件(其实并非有意准备)
扫描其中的C(NVMe固态硬盘)、D(4TB,5400转机械分区1)、E盘(4TB,5400转机械分区2)
F盘(4TB,5400转机械分区3)不参与测试
(测试文件中有数百GB游戏文件。但在其他文件中,视频、音频、图片、压缩包等非执行类文件占用空间较多)
(V3 Lite默认不扫描压缩包,我也没有启用压缩包扫描,其他扫描设置请看我下面关于设置的说明)
这里直接帖结果
——不足两小时
这速度也快得太夸张了吧?即便不扫描压缩包,但这还是首次扫描?
至少能明白的是并不存在像火绒“0KB闹剧”这样的效率问题
咱们还是来看一下报毒情况吧
这里就不发全部的了,我在图里指出了几个典型报法
安卓手机用的安装包.APK也有处理到,并不稀奇,360也能做到
虽然各种各样报了近百个,但我认真判定了这上百个检测
最终判定为:误报控制良好
流行群体猜测:
当我进行扫描测试的时候,发现有个有趣的东西
安博士上传了很多“可疑文件”,你没看错,是整个文件的上传,而且是大带宽上传(我当前的移动宽带上传带宽上限大概是10Mbps)
(注意:当第一次发现可疑文件时,会以右下角警告弹窗的形式让用户确认是否发送该文件,直至你选择“允许发送/始终允许发送、拒绝发送/始终拒绝发送”四者之一为止。如果不希望某些文件被发送,可以在设置中添加该防护专用的白名单)
不过,这也说明了即便是中国用户,也能稳定利用安博士的ASD云侦测、云反馈,连接稳定性非一般的高
在可疑文件被上传后,往往十分钟内就能有初步分析结果
这个和国内的360安全卫士等杀毒软件是基本一样的套路
区别在于,国产杀毒不会上传太大的文件,安博士ASD甚至连数十MB的大文件也硬生生怼了过去,毫无顾忌
我用到现在只触发过“Normal”和“Unidentified”结果,“Normal”(正常)表示文件被认为正常,但“Unidentified”(未确认)是什么鬼?我借助谷歌娘翻看了下帮助文档,发现“Unidentified”就是“我也母鸡这到底是什么鬼”。
我仔细观察了每一项上传,可以发现的是安博士的杀毒在国内的受众是极为狭窄的,基本是特定的大客户才有可能使用,在国内像是吃瓜网友、主流游戏玩家、主流极客、主流杀毒玩家、主流四斋等等是基本没有用户的(当然,安博士也没在中文官网没你任何形式的下载渠道,自然没人用)。
修复能力的有无
经过老牌病毒的测试,发现是有修复能力的,我只负责测试有无,不测试强弱
在这里也能发现,与报毒相关的通知日志,全部都是中文的
随安装附赠的工具AhnLab Report
这个工具还是相当有趣的,版本在不断更新,而且只支持中文和英文,应该是从其他产品身上直接搬过来的
和ESET SysInspector有一定的相似之处
从安博士在网络级产品支持中文、到V3 Lite不支持中文但更新和侦测日志支持中文(可能相关模块是从其他上级产品原封不动地移植过来的),再到AhnLab Report报告工具完全支持中文
·注意:V3 Internet Securrity 9.0完整支持中文,且有正式的销售许可,但注册的定位却是网络版,种种迹象表明安博士已无意在散个人级层面与中国市场再有瓜葛,如果对V3IS有兴趣可以在V3IS韩文官网下载,至于入正则需自行想办法联系购置
从而就更肯定了安博士的产品在中国肯定是有在卖的,而且客户并没有我们想象中的小
总总结:安博士 V3 Lite很明显本身是款不错的产品,防护面介于红伞免费版和卡巴斯基免费版之间,而且对整个系统的扫描速度快(独特的略过机制)、运行时性能影响相当小,在传统杀毒产品中,明显安博士有着很独特的平衡思路
在中国个人级用户中,安博士的确过于小众,但得益于比360安全卫士还要激进很多的云策略,而且自带清理垃圾功能,作为防毒坚利备选,我看未尝不可
最后祭奠一波安博士的在中国的个人市场,好走,不送
接下来是其他方面的简单介绍
主界面和日志:
防护层:
·Real-time Sytem Scan(系统实时防护)【文件扫描、内存扫描、行为主防等的集成地,属于核心防护,关闭后将有强提示,默认设置下60分钟重新启动系统实时防护】
·Content Filtering(内容过滤)【可以理解为网页反病毒这样的东西,属于边缘防护,关闭后将有弱提示,如果不检查主界面,你无法觉察该防护被关闭】
(可以设置白名单或黑名单,这里以贴吧列入黑名单测试)
(拦截网页是全局拦截,并不需要浏览器拓展,警告信息将在右下角弹窗)
(设置中那一条小提示我不是很懂,是建议启用防护前清理一次Chrome浏览器缓存吗?)
(顺带一提如果你选择点击主界面的Fix,将会检查引擎更新、确保系统实时扫描和内容过滤启用)
·Cloud Analysis(云分析)【默认启用,主动将可疑文件发送分析,开关此选项只影响可疑文件发送,而不影响云防护的使用,属于增强防护;关闭后没有任何形式的主动提示,如果不主动检查设置,你无法察觉该防护被关闭】
(注意:当第一次发现可疑文件时,会以右下角警告弹窗的形式让用户确认是否发送该文件,直至你选择“允许发送/始终允许发送、拒绝发送/始终拒绝发送”四者之一为止。如果不希望某些文件被发送,可以在设置中添加该防护专用的白名单)
·Anti-Ransomware/Ransomware Scan(勒索防护)【默认启用,强化的可疑勒索侦测,属于增强防护;关闭后没有任何形式的主动提示,如果不主动检查设置,你无法察觉该防护被关闭】
(如果你发现你的程序被该防护误报,可在设置中将误报程序添加进该防护专用的白名单)
细则设置:
·Scan Settings关乎实时防护、手动扫描(Intense Scan)和计划扫描(Scan Scheduler)的设置
·Advanced Protection关乎进阶的防护设置,包括U盘防护策略、扫描缓存、Rootkit侦测等
·Scan Exclusions为白名单
·Anti-Ransonware Folder关乎防篡改保护文件夹设置(与其它防护层独立,原理应该是阻止未知程序对目标的访问,从而阻止勒索,默认设置10分钟重启时间,避免临时关闭该功能后出现过大的防护空窗期导致关键文件的巨大损失)
其他的不多作介绍,即便你看不懂,到用的时候很容易就懂了
| 
发表于 2020-6-1 16:37:19
,主防
楼主