【Dr.Web】纯粹的装甲和火炮！论最后的重型炮舰【修缮完成】

PanzerVIIIMaus

大致条目：
1、【安装流程】
2、【主界面】（附设定说明书）
3、【日志系统】
4、【更新】
5、【性能评论、监控机制、缓存机制猜测、扫描速度、续航评论，误报观察，以及遇到的已知问题】
6、【通知/逻辑】
7、【其它安全模块】
【总结】



其实这个帖子我应该上个月就写好的
不过偷了下懒，先保存了草稿
这段时间想慢慢修缮再发布
结果误点击成正式发布
…………
好吧，这几天只得把这个帖子写好了


前段时间，我入正了Dr.Web Security Space（无技术支持版）
啊，是大蜘蛛！
啊，是黑寡妇！








算上试用那会儿，到帖子的发帖时，这款产品我已经使用整整半年了


电脑状况：
华硕坠机堡垒7锐龙版（主力）
处理器：AMD锐龙 R7-3750H，四核心八线程
运行内存：16GB，双8GB-2400
硬盘：Intel 660P 512GB（NVMe，QLC）

外置硬盘：WD Blue 4TB（3.5吋，5400PRM，CMR）

显卡：AMD Vega 10 + GTX1650
操作系统：Windows 10 20H2 专业版




【安装流程】
支持的处理器：支持i686指令集


支持的操作系统（截止至2021年10月的官方说明书，没错，Dr.Web的最新说明书会随日常的自动更新推送）：
Windows XP 至少SP2（32位）
Windows Vista 至少SP2（32/64位）【注意SHA-256补丁已安装*】
Windows 7 至少SP1（32/64位）【注意SHA-256补丁已安装*】
Windows 8/8.1（32/64位）
Windows 10 21H1或更旧版本（32/64位）
Windows 11

——可以支持市面主流的任何一款正式版Windows操作系统而保障功能高度可用，即便是老如Windows XP SP2而不是SP3。
这年头还能支持XP并且还在开发的重武器已经不多了……

*由于Microsoft不再支持SHA-1哈希算法，在将软件Dr.Web Security Space安装到Windows Vista或 Windows 7前需确认系统支持SHA-256哈希算法。支持这一算法需安装Windows更新中心建议安装的所有更新。所需更新包详细详细参见Doctor Web公司官网（https://support.drweb.com/sha2/）。


支持的虚拟环境/云环境：
·VMware
·Hyper-V
·Xen
·KVM
（其他系统要求请访问说明书，下文有提供【注意，下文提供的说明书文件于六月左右，可能与上文“最新”的说明书描述有所不符】）


（安装流程在虚拟机复刻）


安装包打开时，会显示界面


这里展示了Dr.Web安装包的默认设定，主要有：
·默认选择接入云服务
·默认不安装Dr.Web防火墙
·默认安装程序时获取更新







安装程序内置注册向导，可选择在安装时输入激活码，也可以当场指示Dr.Web密钥文件的位置，为后续安装行便，
注意，如果选择“稍后获取授权”，将不能在Dr.Web的安装过程就获取更新




安装时会创建系统还原点（如果你打开了Windows系统还原），当Dr.Web导致问题时，可以通过系统还原消除问题（执行前需要关闭Dr.Web自我保护。最好是在高级启动菜单执行Windows系统还原，保障还原的成功率）
安装完成需要重启系统







【Dr.Web界面】
多年来，Dr.Web的操作一直以右键菜单为核心，没有所谓的“安全中心主界面”
除了“扫描仪”，几乎就不会再有第二个窗口



而这两年的版本终于搞出了一个“主界面”
【我选择安装了 除家长控制外 的所有模块，包括防火墙】


点击某个方块可观察该区域的模块









如果你需要对Dr.Web的设置进行更改，请按主界面左下角的“锁头”以解锁
解锁需要管理员权限，如果设定了UAC，则会出现UAC弹框
解锁后可对各个模块进行详细设定



注意，手动扫描仪的设定在右上角设定按钮处


根据Dr.Web的说明书，介绍一下Dr.Web的部分保护组件：
·SplDer Guard：文件防病毒。
·SplDer Gate：流量扫描和URL过滤。
·SplDer Mail：邮件防病毒、反垃圾邮件。
·Dr.Web防火墙：可选安装，可取代Windows防火墙。但Dr.Web的防火墙只针对具体的应用程序，没有专有的全局IP/全局端口规则的设定。（强调：Dr.Web默认不安装Dr.Web防火墙）
·父母控制：家长控制，可限制指定Windows账户的上网时间和账户登录时间，阻止特定账户访问指定的或特定类型的网站，也能阻止特定账户访问电脑里特定的文件和文件夹。

·行为分析：行为主防。
·抵御exploit：漏洞利用阻止。
·抵御勒索软件：防勒索病毒模块。
·扫描仪：尽管Dr.Web终于设计出了“主界面”，但其扫描仪仍旧保持了独立界面设计，另外，扫描仪可通过命令行调用。

Dr.Web中文说明书，有完整图文说明：

cn-drweb.part1.rar (1020 KB, 下载次数: 106)

2021-6-12 15:04 上传

点击文件名下载附件
cn-drweb.part2.rar (1020 KB, 下载次数: 101)

2021-6-12 15:04 上传

点击文件名下载附件
cn-drweb.part3.rar (608.68 KB, 下载次数: 89)

2021-6-12 15:04 上传

点击文件名下载附件



【关于日志系统】
我觉得Dr.Web的日志系统算是比较难用的
难用的关键点在于，在你点击右侧的“详细信息”按钮前，你看不到太多的详细信息

——这就导致了如果短时间触发大量的事件，
·你将无法快速定位关键项目
·你将无法快速截图尽可能多的项目

导出日志，再用第三方软件查看可能会解决这个问题，但你始终是多了一个步骤



Dr.Web会在【用户】文件夹中创建【Doctor Web】文件夹，内部存放着个别模块的原生日志（如手动扫描仪日志）






【关于病毒库更新、组件更新和云连接】
连接顺畅!

虽然Dr.Web是国外的杀毒软件，但和其他国外杀毒软件不同的是，我在半年间的使用中，在这些网络环境中：
（广东）

中国移动（包括宽带和移动数据）
中国电信（包括宽带和移动数据）

都从未遇到过云连接问题或更新问题，更新成功率几乎100%
我觉得靠谱的程度接近于当前的卡巴斯基

比ESET好
比趋势杀毒日版好很多（看来国内使用“趋势杀毒”，网络连接唯一靠谱的就是亚信了）
更不用说跟诺顿/赛门铁克甚至是COMODO比较了




【性能评论、监控机制、缓存机制猜测、扫描速度、续航评论，误报观察，以及遇到的已知问题】
就我半年间的使用来看
·Dr.Web对系统性能的负面影响，主要源于SplDer Guard文件防病毒模块，不是指卡系统，而是“选择性卡exe”，如果你对任何形式的“卡exe”都很敏感，那你可能就要劝退了（我主要是受不了微软的那种卡exe）；有时，可能会拖累右键菜单栏的“首次弹出”速度，在清空扫描缓存的情况下，第一次以右键点击文件（夹）的时候速度会较慢。
卡exe并不会造成你手头的的其他任务卡顿；在应用程序读取完毕后，没有感知到Dr.Web在运行过程的拖累；游玩大型网游和个别单机游戏时，不论启动速度还是加载速度都比较正常，这表明Dr.Web的“卡exe”并非是引擎高消耗的问题。
SplDer Guard默认设置的“最佳模式”会在有文件写入和文件打开时进行监控（注意，不是监控所有的读取活动），类似于360杀毒的“中”实时防护等级
补充：SplDer Gate进行流量扫描或URL过滤是全局性的，不需要插件支撑，这个组件对网页的访问有一定的速度影响，多少会感觉到一些迟滞感。但不影响玩游戏的延迟。


·Dr.Web缓存机制应该是以“临时缓存”为主，每次更新病毒库都会清空临时缓存（Dr.Web默认间隔非常短，半小时更新一次），所以如果你发现Dr.Web打开一个应用程序显著比较慢，那你或许“打开这个应用程序的时候永远都会比较慢”。

·Dr.Web的扫描速度我觉得已经足够快了，面对占用超过450GB的系统盘，
电脑闲置状态只需要一个多小时即可完成扫描（其他人可能会因为电脑软硬件配置和文件类型/分布而有所区别）
——就我的硬盘的内容而言，卡巴斯基想达到Dr.Web这个速度估计很悬




最近一次全盘扫描的日志，1小时15分钟完成扫描
——手动全盘扫描时，虽然处理器占用时常100%，但基本不影响你普通的办公、刷1080P弹幕视频等日常操作，比我想象的要流畅，这让我惊喜


——快速扫描的检查项目仍旧较多，完成一次快速扫描至少需要数分钟的时间

——Dr.Web没有“游戏模式”，但我游玩《原神》、《坦克世界》等游戏却并不会因为Dr.Web的自动更新而有可观察的性能拖累（Dr.Web推送更新很频繁，而且Dr.Web默认是半小时检查一次更新）

·电池续航：续航友好型杀毒软件，虽然经常更新和清空缓存，但对续航的负面影响相当小，“我是一个笔记本用户”并不是拒绝Dr.Web的理由

·误报观察
Dr.Web的误报其实控制得出乎我意料的好，而且对于破解类的敏感度是十分平衡的，大多数情况下足够宽容，
但确实会存在水土不服的情况
像《坦克世界盒子》这样的，只在国服常见的小众群体开发的工具，就容易报毒
对集成修改类也比较敏感，比如xx软件单文件绿色版，就很容易报


·已知问题
我用了这么久的Dr.Web，竟然是基本遇不到BUG的……
我觉得当前的Dr.Web是毛式个人级重武器中最稳的产品。

但兼容性问题，倒也是有遇到的：
就是网易UU加速器在“以特定的模式”进行网游加速时会冲突。
这一个冲突问题，能安慰我的是，如果发生冲突，稍作等待即可自动解决，UU加速器的加速可能会成功或失败，Dr.Web的防护也还在，世界和平。
但如果你着急了，进行强制断电，最严重的后果是网络配置可能会被破坏，此时需要进行网络重置（如图）。

我个人认为这是一个很深层的原因（比如驱动/服务级别啥的），因为禁用防护对该问题没有效果。或许排除掉Dr.Web的网络防护模块，如拆除SplDer Gate和Dr.Web防火墙能解决问题。
因为我没有转向其他网游加速器的想法，所以有加速器需求的玩家在入正前，要留意评估这个问题是否同样会引申到其他网络加速器上。
对了，你是无法通过退出Dr.Web来排除问题的，因为Dr.Web不提供“手动退出”的按钮。

还有一些平常不会遇到的问题：
Dr.Web手动扫描仪在遇到压缩包炸弹的时候，不会进行规避（样本区最近有个压缩包炸弹，ESET半秒判断完毕决定不予扫描，Dr.Web我出了一趟门几个小时回来还在扫QAQ），
但命令行高级参数有专用的命令，除传统的包大小限制/嵌套深度限制等命令，还有包内大小限制/压缩比限制/压缩比判断阈值等命令，可用于规避压缩包炸弹。



——————如果我在睡前安排扫描，Dr.Web能赶在我睡醒之前扫描完4TB的东西，当然，有相当一部分内容是加密的：




【关于通知/逻辑】
·关闭防护的强提醒
···关闭以下防护，Dr.Web会发出强通知（Dr.Web托盘图标、主界面警示，Windows安全中心托盘图标和指示界面警示）

1. ·SplDer Guard：文件防病毒。
   
2. ·SplDer Gate：流量扫描和URL过滤。
   
3. ·SplDer Mail：邮件防病毒、反垃圾邮件。
   
4. ·Dr.Web防火墙。
   
5. ·行为分析：行为主防。
   
6. ·抵御勒索软件：防勒索病毒模块。

复制代码

···关闭以下防护，Dr.Web会发出弱通知（仅Dr.Web托盘图标、主界面警示；不在Windows安全中心推送警示）

1. ·抵御exploit：漏洞利用阻止。

复制代码

·非管理员情况下，对于已关闭的防护，你可以启用他们，
但不能停用防护或是做进一步的修改


·关于对其他类型通知的设定
Dr.Web没有“游戏模式”，如果想要免除某些打扰，就须自行调节通知项
【此处不影响防护被关闭的通知】

Dr.Web安全中心>>右上角设置按钮>>通知选项卡>>通知参数按钮>>





·当监控侦测到威胁，
Dr.Web立刻封锁对应的所有文件，随即对威胁进行逐个消除，每个威胁都会走一套耗时大概20~30秒的清除流程，以压制任何可能正在活动的威胁
因为清除流程含活动压制，所以如果对象正在活动，就会被结束。Dr.Web会在走完清除流程后警示用户需要重新启动计算机以彻底清除威胁

侦测到威胁时，Dr.Web不会先进行提示，而是在至少一个对象处理完成后，Dr.Web才会通知用户侦测到威胁的相关事项
注意：
··Dr.Web SplDer Guard（文件防病毒）按设定策略清除威胁，不允许用户介入，可选策略如下：
····已感染

1. ——清除，不成功则隔离（默认）
   
2. 清除，不成功则删除
   
3. 仅隔离
   
4. 仅删除
   
5. 【不允许“忽略”】
   

复制代码

····可疑程序

1. ——隔离（默认）
   
2. 忽略
   
3. 删除

复制代码

····广告程序

1. ——隔离（默认）
   
2. 忽略
   
3. 删除

复制代码

····拨号器

1. ——隔离（默认）
   
2. 忽略
   
3. 删除

复制代码

····恶作剧程序

1. 隔离
   
2. ——忽略（默认）
   
3. 删除

复制代码

····黑客工具

1. 隔离
   
2. ——忽略（默认）
   
3. 删除

复制代码

····风险程序

1. 隔离
   
2. ——忽略（默认）
   
3. 删除

复制代码

·Dr.Web扫描仪默认询问用户是否清除威胁

·如果大蜘蛛在推送了关键组件的更新，会主动提醒你重启计算机以应用新的组件，但即便暂时不重启，当前的防护仍旧启用，不会出现“防护中断”的现象。



·Dr.Web安全中心主界面和Windows安全中心会同步通知











【关于其他的安全模块】
·内网互助类
Dr.Web反病毒网络

可使用反病毒网络组件允许局域网其他电脑对您电脑上安装的Dr.Web产品进行远程控制。连接反病毒网络可以远程控制反病毒保护的状态（查看统计信息、启用或停用Dr.Web模块、更改模块设置）并通过局域网获取更新。可通过设置更新镜像将计算机设置成反病毒网络中其他安装有Dr.Web反病毒软件的计算机的更新源。

远程管理此计算机上的Dr.Web需输入确认码。您可以使用启用这一选项时自动生成的代码，也可以自己设定。

远程管理时可查看统计信息、启用或停用模块并更改模块设置。

组件隔离、扫描仪、防止数据丢失和反病毒网络不可远程访问。

·访问保护类
···防止数据丢失

可为每一文件夹设置应用程序的访问参数。可查看和复制受保护文件夹，还可以添加新对象。应用程序试图访问文件夹时会显示阻止访问通知。
将文件夹添加到受保护列表后启用默认规则，即禁止所有应用程序更改和删除文件夹中的内容，只有可信任应用程序除外。可在https://products.drweb.com/services/data_protection/网站查看可信任应用程序列表。列表为最为常用的应用程序，如某些Microsoft应用和Adobe应用。

简单说，你可以手动指定需要保护的文件夹，除了少数应用程序（Dr.Web信任，和用户指定信任）外，里面的内容会被禁止修改

切记：这个功能不能用来保护系统文件夹，而应该仅用于保护个人数据，否则，最严重的情况下会造成系统崩溃






Dr.Web信任的程序非常少，包括explorer、WMP这样的微软应用程序也无法对受保护的文件夹进行修改（下图）。



·硬件控制类
···麦克风/摄像头
（因为界面基本一致所以就只放一幅图了）

···设备

阻止移动媒体，此选项可禁用移动媒体（如U盘）的接入（默认不启用）
阻止向打印机发送任务（默认不启用）
阻止通过网络传输数据（默认不启用）
BadUSB侦测，可预警具有BadUSB漏洞的设备（默认不启用）


阻止用户访问设备等级或总线，设备限制，可限制特定的等级或总线的硬件设备接入（默认不启用，下图设定切勿随意模仿）















根据Dr.Web的说明书，介绍一下Dr.Web的部分侦测技术：

侦测技术：
·特征码分析：巴拉巴拉一大堆，其实就是广谱特征码。
·Origins Tracing：应该是广谱码的延伸技术。
·操作仿真：特征码还原技术。
·启发式分析：启发式技术，可能是传统启发式技术。
·FLY-CODE技术：通用脱壳技术。
·威胁侦测云技术：云侦测，看上去应该有黑白名单侦测和一些云反馈，增强效用和降低性能负面影响。

·机器学习方法：ML静态侦测，拥有本地模型和云端模型。
·行为分析：
——Dr.Web Process Heuristic - DPH：行为主防，侦测特定高危类型的威胁。
——Dr.Web Process Dumper - DPD：反壳技术。
——Dr.Web ShellGuard - DSG：漏洞利用阻止，抵御主流应用程序已知漏洞利用。
——抵御注入：防注入，主要针对恶意代码注入进程；阻止对系统进程、优先进程和某些流行应用程序的注入。
——抵御勒索软件（于“预防性保护”中）：监视可疑进程是否出现异常的遍历、读取和修改文件的行为。
（在连接到云服务时，大多数行为分析技术或多或少会增强效用或降低性能负面影响）




在写完这篇浅评后，我很快就要转移下一个防护软件，
在我眼里，Dr.Web多数情况下都十分好用，尤其是云和更新在国内网络的适应能力很强，只要我连上了网络，不管是宽带还是4G，是移动还是电信，就几乎不会更新失败


在各类重武器中，Dr.Web也算是非常朴素的，
尽管融入了一些主防、云和机学的元素，
也有大量的去冗余化的性能优化，

但“战列舰”式，或者“炮战舰”式，即十分单调的坚船利炮要素仍然非常浓郁。
很成熟，但显然是很保守，但很牢固（这里故意写成病句，你能理解我的想法）隔壁某杀毒软件能把自己给搞坏了，或许是驱动对抗的时候出毛病了，https://bbs.kafan.cn/thread-2211328-1-1.html


那Dr.Web是不是我推荐饭友们能将这款杀毒做个备选呢？
其实不是

在国内，Dr.Web水土不服体现的不是在误报上，
而是在侦测能力上水土不服，就像一条战列舰看不见浅水区才能领略的风景一样
所以如果你的上网方式相对小众，尤其是国产网游辅/助/挂，等Dr.Web情报网络匮乏的区域

很显然会吃情报网络的亏，就不推荐使用





Dr.Web显然多少有点想进来中国市场的
但很显然，Dr.Web的营销策略是存在问题的，本来有个代{过}{滤}理公司，但是多年前倒下了，
之后再开，也于数年后倒下，
当前Dr.Web的中国代{过}{滤}理公司似乎是异常的经营状态，Dr.Web产品也从未在公安部获得销售许可证

他们最后一次倒下之前，姑且是把中文说明书肝出来了，从他们一直维护中文界面和中文说明书的状况来看，Dr.Web在中国也姑且有特定的客户

PanzerVIIIMaus

dongbingtuo 发表于 2021-11-30 00:05
处理病毒的能力太慢了，真要是感染了，恐怕比病毒感染还慢哦
上周五的样本包，扫描倒是速度还行，就是处理 ...

蜘蛛不论面对何种威胁，其处理流程都会有对抗活动威胁的步骤
清理速度的主要问题是标准流程的冗长

但关于病毒持续感染的问题，我觉得你的观点不够合理
如果是受感染的系统，蜘蛛能检测到活动的威胁，可能在清除第一个威胁时，甚至在此之前威胁就已经被压制或清除，接下来就是瓮中捉鳖。退一步讲，即便蜘蛛无法检测到活动的威胁本体，只能检测到衍生物，在监控启用的情况下不应该有新增的衍生物——除非威胁的运作层已经足够深入
如果按照你所说的理想情况，杀毒软件清除再快也是白搭，因为持续的感染仍旧存在。假设威胁不活动，那就不存在持续感染问题

可以参考红伞、以前、那糟糕、监控侦测到威胁就必然自动触发的Luke Filewalker，相对蜘蛛的清理流程来说，
Luke Filewalker运作更为冗长，
且Luke Filewalker对活动威胁的对抗能力非常差，我已经亲眼见证过别人实机那血的教训（虽然与我无关），这才是杀毒追不上感染速度的典型例子



如果威胁涌入并非你方问题，而来自局域网内的其他电脑，这也只能以墙给予限制或联系管理员强化体系防护，阻止威胁下载到你的电脑



当然，其实我很理解你所说的要义
标准流程的冗长是清理速度的主要问题，
以及为什么在这个前提下蜘蛛仍设计将每个对象都作为一次清理对待，

你可以试着在Dr.Web论坛反馈这个问题，看未来会不会改善流程或给予用户定义标准或快速的清除流程

遨游宇宙

辛苦了码这么多字大版本能自动更新吗还是要重新安装？

liu浪的人

装了大蜘蛛，打开程序慢，卡exe，关掉guard高级设置里面的“检查可加载的软件和模块”此症状可大幅缓解

846472713

写的很详细也很中肯，期待你的下一款

anthonyqian

样本包噩梦，处理威胁真的太慢了，像铁壳卡巴检测到威胁也都有修复流程，但至少可以多线程，速度也比较快，蜘蛛就真的是几十秒一个，好像还不能取消处理进程

huajiajie

哦是那个写剧情的，多少米

Jerry.Lin

虽然我也很喜欢dr.web, 但是他的特征有点差劲. 锁库半个月衰减快到个位数 ....

1485319378

而且，每次WPS更新之后，WPS就没办法登录上去，也没办法在软件内使用云文档，把DR.WEB卸载才能好（重复尝试了好几次），，哎，之前也有段时间用的DR.WEB，结果自从公司非要求用WPS，就只好卸载了买的3年的激活码。

mr_bean_forever

1485319378 发表于 2021-8-20 12:34
而且，每次WPS更新之后，WPS就没办法登录上去，也没办法在软件内使用云文档，把DR.WEB卸载才能好（重复尝试 ...

wps的update.exe一出来就被eset杀了。drweb也不会放过他。

PanzerVIIIMaus

Jerry.Lin 发表于 2021-8-20 10:51
虽然我也很喜欢dr.web, 但是他的特征有点差劲. 锁库半个月衰减快到个位数 ....

特征差应该是情报网络的问题
WannaCry或许表明Dr.Web的广谱码技术本身也有不错的表现