本帖最后由 PanzerVIIIMaus 于 2021-9-28 21:17 编辑
警告:本帖有传达偏激观点、情绪的倾向,无从谈及“客观” 仅针对期间体验的【奇安信安全防护冬奥版】1.2.2 Build 2021 - 1.2.2 Build 2031的版本
先确认传达并理解以上内容,各位读者方能阅读以下内容
当然,选择在这个时间点发帖,从时间上似乎已经不很符合“夺个猛奖”的规矩,所以我也不太在意了
这个标题我在11号就已经定好了,一直在鸽
——这个新品我该起个什么名字?——
——产品带给我的体验是什么?—— 大致条目:
1、【安装流程】
2、【主界面、激活流程和其他安全模块】
3、【日志系统】
4、【更新】
5、【性能评论、监控机制、缓存机制猜测、扫描速度、续航评论,误报观察,以及遇到的疑惑*】
6、【通知/逻辑】
【总结】
*疑惑已经满天飞了
210928更新:
·发现有一些东西漏写了,在此补充已于21日进行的【清除测试】栏目于原“栏目5”后;
·另,原【更新】栏目补充图片;
·个别排版修改。
——“别让冬奥,成为遗憾” 为什么我认为山口丁的坦克需要重新平衡?——
电脑状况:
华硕坠机堡垒7锐龙版(主力)
处理器:AMD锐龙 R7-3750H,四核心八线程
运行内存:16GB,双8GB-2400
硬盘:Intel 660P 512GB(NVMe,QLC)
外置硬盘:WD Blue 4TB(3.5吋,5400PRM,CMR)
显卡:AMD Vega 10 + GTX1650
操作系统:Windows 10 20H2 专业版
状态/流程概要:
·通过System File Checker(SFC)完整性冲突检查
·通过文件系统错误检查
·用满两周
·“无反馈”体验,即试用时不主动反馈任何情况
说到起名字,那就不得不提奇安信的主Logo
奇安信的Logo融入了虎符元素(虎符,古时曾作为我掌控军队的令牌)
Logo还具备Q、A、X等摩斯电码(本身有一种神秘感,结合军队要素,也给人一种类似于情报为核心的感觉,或者表达出类似于数据驱动安全的理念)
还有产品主界面设计中透露出的一种全局掌控感、战术情报感,以及一种试图给人传达的利落感……
糟了,是中二的感觉,我喜欢!
这样一糅合起来,
叫
《奇安信数安部队》
要凸显冬奥的话,叫《奇安信冬奥数安部队》也可以嘛
冬奥元素有了
数据安全、数字安全的融汇有了
干脆、利落、有力的“常驻守护部队”,让人一看就知道这是保护你在电脑上的建设成果的,干活的东西
——虽然我个人觉得这名字还差点味道,
但相比国产杀毒软件之间那些常规的名号,不论从气势、作用和力度都开辟了一个新的形象
毕竟奇安信作为个人级的新秀,可得要有一个作为“奇安信”代名词的产品名出现,这个名字才能被大众记住
让我们来百度以下词汇:
“安全卫士”
“电脑管家”
“毒霸”
“系统急救箱”
……
你甚至根本都不需要百度,是吧?这种东西言传可能很复杂,但一下就能意会到
【安装流程】
(安装流程于虚拟机复刻)
安装界面明了,通常只需要用户手动选定“已阅读并接受 隐私协议”
也可以手动点击下方“自定义安装”,自行决定安装路径
可以看到动画也是非常精美,以文字的亮度替代那些单调的进度条
安装完毕后,并无重新启动电脑的要求
但我建议,在更新完后尽快重新启动电脑
【奇安信冬奥主界面】
该产品使用奇安信帐号 - 激活码的绑定形式,会先要求你登录/注册奇安信帐号,如果帐号尚未绑定激活码,将会进一步引导你将激活码绑定至帐号。
这么看来,激活码需要绑定账户才可用,账户也起到了替代激活码的作用。
注册的账户,因为通过手机号注册是硬性要求,所以都可以通过手机验证码登录。
如果你选择不登录奇安信帐号(点击登录窗口右上角的×),奇安信冬奥主界面将会随之关闭。
——当前的卡巴斯基,不激活,将无法进行更新
——当前的ESET,不激活,将自动停用
——那,奇安信呢?
我很好奇,如果不登录、不激活,会限制什么功能呢?
这里使用经典的EICAR测试码:
噢噢,开始提示威胁。而当我点击“清除”时,桌面的EICAR测试文件就被清掉了
emmm……第一眼看,也就是限制了主界面功能,防护似乎是正常运作的
不知道更新会不会受影响,但很不巧,我对更详尽的测试没什么兴趣
这是我用了一段时间的主界面
中间显示最近的日志事件,包括系统日志
下方是多个模块和工具的菜单
右侧分别显示账户-授权信息,以及由奇安信按需推送的安全新闻
右上角从左往右分别是
【(能耗)模式】
【消息中心】
【设置】
这里着重说明能耗模式
【高性能】(默认设置):以标准设计的优先级进行扫描和防护
【低能耗】:以降低的优先级进行扫描和防护,以尽量降低系统性能拖累和节省功耗
——好吧,其实我完全搞不懂这两个模式的说明具体说了什么,低功耗模式的说明却偏偏来一段“………………在保证安全的前提下体验更流畅”了事,偏偏戳到了最关键的“防护强度”的问题,有横生枝节之嫌,要知道“降低强度”和“保障安全”二者没有必然联系
如果防护强度没有任何变化,常规来说,大可把这一小段文字去掉/或/以更斩钉截铁的用词强调:“防护强度没有变化”之类的
通俗、感性和严谨之间,需要取得一个平衡,这点请务必留心
【病毒查杀】
说到这个我可就不困了
奇安信显示拥有云查杀引擎、云规则引擎和猫头鹰引擎
云查杀引擎好理解,但云规则引擎……?我看了眼描述,这大概是主防监控用的吧?大概意思就是“我奇安信可是有云主防的大佬”
那跟这个手动扫描有多大关系呢?
这个不深究,需要深究的是另一个问题,请看
当无网络时,奇安信的两个云侦测引擎仍旧显示“已连接”,即便开机一开始就无网络,也是如此
我还以为是中文翻译错误,试着切换成英语语言,仍旧是“Connected(已连接)”
在当前的1.2.2(2031)版本中,可能奇安信仍旧未留意到问题
奇安信啊奇安信,你这里偷懒,搞不好是会害死人的!
我稍微摸索了一下,当前快速判断奇安信是否联网的方法,似乎就只有回到主界面,看你右侧的账户区域,如果显示了本机的登录,那或许是OK;或者手机端APP看一下电脑有没有登录(严谨来说,这里只能获知奇安信是否联网,而不能直接判断云引擎是否连接)
【漏洞检测】
这个其实没什么好说的,因为我是使用Windows Update打补丁的,所以这个模块就暂时无用武之地
但总会有,并且大量的人禁用Windows Update,此时这个模块就很有必要存在
我比较好奇的是,奇安信对于使用不受支持的Windows 10系统的用户(比如非长期支持服务版的1607、1703、1809等)会如何处理
会直接以扫描不到漏洞了事吗?还是通过某种明示或暗示表示用户的系统不受支持,不能接收到安全补丁?
【主动防御】
点击该按钮后,会自动转至奇安信的设置来
“主动防御”只有一个选项,那就是启用或不启用(默认启用)
但是,这个选项跟我们所理解的“行为主防”不一样,这个“主动防御”选项,似乎就是所有防病毒监控的“一键开关”
我试着关闭了“主动防御”,然后使用EICAR测试码进行测试,是没有反应的
嗯……彳亍口巴
【网络监测】
这个,说不定还蛮有意思的
让我们看看谁是流量大户吧!
嗯,百度网盘,嗯姆嗯姆~
TOP2,115,嗯姆嗯姆~~
TOP3,奇安信,嗯m……嗯?
嗯,毕竟是云侦测啊,奇安信那个有点特殊,这个待会再提一嘴
【隐私防护】
乍一看,似乎并没有识别Outlook 2019,这是个不大不小的问题
试着随便设定几个文件规则,“其他应用程序”点开框之后可以看见允许和阻止,但是再翻阅,却没有看见“询问”选项
对特定的程序选择了允许
对其他应用程序选择了阻止
然后让我们稍微退出,再重新进入这个界面检查设置
emmm……
我稍微考虑了一下,然后删除了所有的自定义规则,恢复了默认设置,并停止了进一步的体验
因为无法确认自己的设置是否正确保存配置,所以,我甚至有理由怀疑其是否正确生效,并以此类推和怀疑“上网记录”、“聊天软件”、“常用软件”等部分,
这种东西你既然设计了出来,出了问题是没有如果的,所以我认为该功能的可靠性存在问题,
在build 2021到build 2031都在“文件防护”发现了这个问题
至发帖时,我不再进一步描述该模块
【应用感知】
这个功能,看上去好像问题不大
我倒是比较在意“应用时长排行”这一块
QQ Protect≠QQ
WinZip Preloader(WinZip热启动预加载程序)≠WinZip
至于联想电脑管家和Everything……因为配置了服务项所以不好评价
【青少年模式】未进行体验
此外,因为“无反馈”体验的流程,【安全服务中心】不予体验
关于【日志活动】,详见下方
【关于日志系统】
日志系统?你是说主界面中间那六条日志,以及下方工具栏那个【日志活动】吗?
咱点击进去之后是这样
在奇安信的日志系统中,
会记录紧急的安全防护事件于【病毒查杀】归类
会读取Windows系统日志于【系统日志】归类,让使用者对系统的近况有一定的掌握
会记录各种软件在系统关键位置进行操作的活动于【关键位置】归类
会记录隐私防护模块所捕获到的活动于【隐私防护】归类
会记录应用感知模块所检测到的系统性能异常于【应用感知】归类
至于【网络监测】归类……我不知道怎样的事件会记录在该归类,是可疑的IP地址吗?还是可疑的网速流量?抑或是IDS检测?
可以点击上方的“日志”、“等级”、“类别”进行筛选,右侧有一个刷新按钮
另外,右边“日志分布”的四个分类也是可以进行快捷点击
日志洋洋洒洒一大堆,美中不足的是,没有奇安信自己的日志
你没有那么强大的日志范围还好,但是你有啊,所以我感觉是不是还能再来一点?
监控和主防所侦测的病毒,这些项目日志被归类到【病毒查杀】很正常,很好理解
但是,手动扫描的日志呢?没有
所以说,作为手动扫描的【病毒查杀】模块的活动,并不会被记录到【病毒查杀】的日志中,是吗?这个冷笑话属实,不太好笑。
还有,更新日志呢?我从何处获知杀毒软件什么时候进行了更新?我是否能最低程度地获知奇安信于何时,进行了“病毒库/检测引擎”类的更新,抑或是“主程序”类的更新?(但讲道理,更新日志就算没有,或许也没什么)
另外,奇安信自身的状态日志呢?何时启用了防护,关闭了防护,我们是否需要拥有这种日志?
如果未来确实对这些日志类型一一添加,可能就需要更完善的日志筛选器,毕竟我当前日均日志量就已经1300左右了
比如,有用户可能需要同时查看某两个等级的日志,比如“警告”和“危险”等级的日志,以便于进阶用户捋一捋不同事件之间的关系
【更新】
通常来说,奇安信会对病毒库和主程序进行无通知的自动更新
是的,主程序更新也是无通知的
此外,如果你试图通过右键托盘菜单检查更新
此处只会检查主程序更新
而没有地方手动检查病毒库更新
其实奇安信的本地引擎实际查杀时参与度很高,但不设计手动更新,或许与云为主的策略有关
【性能评论、监控机制、缓存机制猜测、扫描速度、续航评论,误报观察,以及遇到的已知问题】
奇安信的防病毒监控其实是以围绕所谓主防为核心的,这使得奇安信将文件监控的重点放在文件写入、文件变化的检查,以及运行检查,而不很重视通常的文件读取。
以EICAR测试码为例,保存EICAR测试码后,奇安信发出侦测警示。
对于事先存在的EICAR测试码:因为EICAR测试码并非可执行码,因此打开EICAR测试文件并不会触发检测;但如果将其变更至熟悉的拓展名(如.exe),奇安信会阻止拓展名变更并发出侦测警示。
如果我将一个实际的可执行威胁复制到电脑中,就会出现侦测警示
若我是将其从压缩包释放出来,就会出现侦测警示
对于已经存在(不活动)的威胁本体,我稍微戏耍了一下:
本体复制到其他位置→复制体被很快侦测删除
此时再次复制到相同位置→无侦测
将本体更名,不变更拓展名→(预计被侦测删除)
(但因为异步侦测的缘故,监控有可能不会马上到来)
趁此时将更名的本体复制到其他位置→更名的复制体被很快侦测删除
(稍后因为监控逐渐迫近,更名的本体被侦测删除)
以上整个过程漏了一个文件
这样的文件监控逻辑,在确保性能的同时,对于外源性的威胁(假设都能够初见杀)效果还不错
但对于初见遗漏(是漏,不是查不出)的,就只能等待双击和手扫杀了,毕竟这样的监控,文件追踪性比较缺乏
但是,单靠这种逻辑的精简是不足以优化系统性能的(参考那见了鬼的迈克菲)
实际上,引擎对于很多场景的性能优化也还行,这些使得奇安信有着相当不错的系统性能。
虽然我一直保持默认设置,但奇安信的续航友好度确实还不错。
比较令我惊讶的是,奇安信的缓存机制比WD还糟糕得多,
比如你可能需要花十分钟进行一次“快速扫描”,然后在短期内,比如更新病毒库或重启电脑前,再进行一次“快速扫描”可能就只需要几十秒。
这种情景在奇安信上不存在。
自然,如果频繁地进行大规模的手动扫描,网络流量也会随之暴增(我的奇安信在十几天内可是用了5个G呢)
【关于一些发现的问题】
当使用网易UU加速器,以“进程模式”进行加速准备时,可明显观察到加载过程慢了可能十倍左右的时间
据日志,这可能是因为进程模式下UU加速器的操作特别多和敏感,比如注册表操作啥的,以致卡了奇安信的行为主防
关于误报以及扫描速度
我本来准备了这些文件
当然,有大量的加密压缩包或者多媒体文件,所以实际也没有看上去那么多
但最后只重点节选了大概2.6TB的文件进行扫描,没有全部测完
C盘为固态硬盘
D、E、F为外置机械硬盘,详细参数见上
C盘节选,Program Data、Program Files、Program Files(x64)文件夹,另节选70GB单机游戏(单机游戏进行NTFS压缩),一共150GB左右,15分钟左右完成扫描
D盘整盘2.03TB,以加密或不加密压缩包、安装包、多媒体和游戏为主,扫描四个小时左右
E盘节选,多媒体和游戏大概470GB进行扫描,耗时一个小时左右
F盘不参与
扫描速度中规中矩,属于正常水平
误报控制方面,考虑到正常使用的情况下,可以说是较为优秀和保守的一类杀毒软件了
但是,为什么我要将这项目放进了“发现的问题”上?
这还得回到为什么我要节选扫描的问题上
原因是我遇到了一个比较严重的BUG,
那就是扫描闪退现象,扫描会突然中断,主界面会突然消失,不过托盘图标和防护服务仍旧是正常运作
build 2021 - build 2031,闪退复现率100%
我针对一些多次闪退前怀疑的相关项目,试着去扫描了64位客户端《坦克世界》(约3300+个文件,约53.7GB)
——闪退
遂将“坦克世界”排除,再进行全盘扫描
——闪退
这意味着C盘至少有两个导致闪退的点位,第二个我确实是没心情去定位了,我也不是时刻盯着电脑的,是吧?
可能我不知道具体的原因,但是,
作为一个正式开卖的杀毒软件,这是我最不能接受的问题
【关于清除能力】 关于清除能力,一是指将威胁从一个受感染的文件中剔除,使文件恢复正常的功能;二是指将威胁从一个受感染的系统中杀灭,使系统恢复正常的功能。
这里栏目评论的是前者。
须注意的是,这里只测试清除功能的有无,而不测试强弱。
这里使用经典家族:老病毒Win32/Parite
这里奇安信进行了较为强烈的提示,请求用户选择进阶清除模式以彻底清除威胁。
因为我没有运行威胁,所以选择拒绝,试图进行普通的杀除。
结果表明,奇安信个人版拥有可用的,对受感染文件进行威胁剔除、恢复功能的能力。
另外,由手动扫描接触到高危威胁家族时,奇安信将触发警报机制,请求用户选择进阶清除模式以彻底清除威胁。
问题:由监控发现威胁时,奇安信不会对威胁进行清除,而会直接删除。
【关于通知/逻辑】
总体来说,奇安信还是奉行了除安全告警外不弹窗的承诺
·部分告警形式参照上一栏目
先上两幅图,这是我点击退出某版本ACDSee时的一个可疑行为拦截
我记得我曾点击过“信任”啊?
我不由得检查了一下白名单
这我该怎么理解?
是主防和白名单,以及和跳脱出白名单的单步拦截之间的割裂感……?
抱歉,无法准确描述这种现象。
·在设置关闭“主动防御”即可关闭防病毒监控,此时无明显通知,如果不主动检查主界面或手机APP,无法察觉防护已关闭
·手动退出整个奇安信,Windows安全中心无推送
直至手动启动奇安信,才姗姗来迟地往安全中心推送消息
只要把做安全告警的干掉,就不会有安全告警是吧?
总体来说,奇安信还是奉行了除安全告警外不弹窗的承诺(
【总结】
奇安信在个人级市场吹了那么大一个牛皮,
诸如让冬奥工作人员、运动员等完全免费使用,
至少支持汉英法三种语言,
而且对于普通用户,会以商业杀毒软件的档次进行收费等
不知道是不是我对冬奥太过期待,还是将“冬奥之于奇安信新品”这一环解读得太重,但确实,我对奇安信这个作品的心理预期将会非常高
但现在是什么情况呢?
造势四五个月
官宣正式上市也一月有余
至发帖日时,
如果单指一个新品而不考虑其他问题,那么,我个人本身的感觉还行,未来可期,我是持肯定的评价
但是,请瞧这问题种种,望那形势仲仲,我虽然没有分量,但欲向我讨要一句“差强人意”的评价,没辙
最后,我直接把话撂这:
小至一款产品,大至一场盛会,无论怎么做,缺憾难以避免
期待搞得多多的,遗憾搞得少少的,是人们的共同愿景
我只是不想,奇安信这个新品届时在冬奥折戟沉沙、留下遗憾罢了
| 
发表于 2021-9-23 09:16:55
楼主
