搜索
查看: 4264|回复: 7
收起左侧

[杀软评测] 【奇安信】别让冬奥,成为遗憾——冬奥是题纲?还是考验?奇安信个人级起步作

[复制链接]
PanzerVIIIMaus
发表于 2021-9-23 09:16:55 | 显示全部楼层 |阅读模式
本帖最后由 PanzerVIIIMaus 于 2021-9-28 21:17 编辑

警告:本帖有传达偏激观点、情绪倾向,无从谈及“客观”
仅针对期间体验的【奇安信安全防护冬奥版】1.2.2 Build 2021 - 1.2.2 Build 2031的版本
先确认传达并理解以上内容,各位读者方能阅读以下内容

近日,国内知名网络安全公司——奇安信,入驻卡饭!

[讨论]第三代安全软件-奇安信安全防护正式入驻卡饭论坛啦!欢迎大家体验分享,大奖等你来拿~

官人在该帖子为我们带来了【奇安信安全防护冬奥版】软件的限定试用

当然,选择在这个时间点发帖,从时间上似乎已经不很符合“夺个猛奖”的规矩,所以我也不太在意了
这个标题我在11号就已经定好了,一直在鸽

关于奇安信趁着冬奥时节,以赞助商名号进军个人级市场,此前已略有耳闻(https://www.sohu.com/a/463675283_104421
所以我是蛮期待的
那么,作为个人级市场的“萌头新秀”

——这个新品我该起个什么名字?——

——产品带给我的体验是什么?——
大致条目:
1、【安装流程】
2、【主界面、激活流程和其他安全模块】
3、【日志系统】
4、【更新】
5、【性能评论、监控机制、缓存机制猜测、扫描速度、续航评论,误报观察,以及遇到的疑惑*】
6、【通知/逻辑】
【总结】

*疑惑已经满天飞了

210928更新:
·发现有一些东西漏写了,在此补充已于21日进行的【清除测试】栏目于原“栏目5”后;
·另,原【更新】栏目补充图片;
·个别排版修改。




——“别让冬奥,成为遗憾”
为什么我认为山口丁的坦克需要重新平衡?——

电脑状况:
华硕坠机堡垒7锐龙版(主力)
处理器:AMD锐龙 R7-3750H,四核心八线程
运行内存:16GB,双8GB-2400
硬盘:Intel 660P 512GB(NVMe,QLC)

外置硬盘:WD Blue 4TB(3.5吋,5400PRM,CMR)

显卡:AMD Vega 10 + GTX1650
操作系统:Windows 10 20H2 专业版

状态/流程概要:
·通过System File Checker(SFC)完整性冲突检查
·通过文件系统错误检查
·用满两周
·“无反馈”体验,即试用时不主动反馈任何情况






说到起名字,那就不得不提奇安信的主Logo
LOGo.PNG

奇安信的Logo融入了虎符元素(虎符,古时曾作为我掌控军队的令牌)
Logo还具备Q、A、X等摩斯电码(本身有一种神秘感,结合军队要素,也给人一种类似于情报为核心的感觉,或者表达出类似于数据驱动安全的理念)
还有产品主界面设计中透露出的一种全局掌控感、战术情报感,以及一种试图给人传达的利落感……
糟了,是中二的感觉,我喜欢!


这样一糅合起来,

《奇安信数安部队》
要凸显冬奥的话,叫《奇安信冬奥数安部队》也可以嘛
冬奥元素有了
数据安全、数字安全的融汇有了
干脆、利落、有力的“常驻守护部队”,让人一看就知道这是保护你在电脑上的建设成果的,干活的东西

——虽然我个人觉得这名字还差点味道,
但相比国产杀毒软件之间那些常规的名号,不论从气势、作用和力度都开辟了一个新的形象
毕竟奇安信作为个人级的新秀,可得要有一个作为“奇安信”代名词的产品名出现,这个名字才能被大众记住
让我们来百度以下词汇:
“安全卫士”
“电脑管家”
“毒霸”
“系统急救箱”
……

你甚至根本都不需要百度,是吧?这种东西言传可能很复杂,但一下就能意会到






【安装流程】
(安装流程于虚拟机复刻)
Windows 7 x64-2021-09-21-04-34-51.png
安装界面明了,通常只需要用户手动选定“已阅读并接受 隐私协议”
也可以手动点击下方“自定义安装”,自行决定安装路径


Windows 7 x64-2021-09-21-04-57-48.jpg
Windows 7 x64-2021-09-21-04-46-00.png
可以看到动画也是非常精美,以文字的亮度替代那些单调的进度条

安装完毕后,并无重新启动电脑的要求
但我建议,在更新完后尽快重新启动电脑




【奇安信冬奥主界面】

Windows 7 x64-2021-09-21-04-47-11.png
该产品使用奇安信帐号 - 激活码的绑定形式,会先要求你登录/注册奇安信帐号,如果帐号尚未绑定激活码,将会进一步引导你将激活码绑定至帐号。
这么看来,激活码需要绑定账户才可用,账户也起到了替代激活码的作用。
注册的账户,因为通过手机号注册是硬性要求,所以都可以通过手机验证码登录。

如果你选择不登录奇安信帐号(点击登录窗口右上角的×),奇安信冬奥主界面将会随之关闭。
——当前的卡巴斯基,不激活,将无法进行更新
——当前的ESET,不激活,将自动停用
——那,奇安信呢?

我很好奇,如果不登录、不激活,会限制什么功能呢?
这里使用经典的EICAR测试码
Windows 7 x64-2021-09-21-04-47-04.png
噢噢,开始提示威胁。而当我点击“清除”时,桌面的EICAR测试文件就被清掉了
emmm……第一眼看,也就是限制了主界面功能,防护似乎是正常运作的
不知道更新会不会受影响,但很不巧,我对更详尽的测试没什么兴趣


主界面.PNG
这是我用了一段时间的主界面

中间显示最近的日志事件,包括系统日志
下方是多个模块和工具的菜单
右侧分别显示账户-授权信息,以及由奇安信按需推送的安全新闻

右上角从左往右分别是
【(能耗)模式】
【消息中心】
【设置】
这里着重说明能耗模式
性能模式.PNG
【高性能】(默认设置):以标准设计的优先级进行扫描和防护
【低能耗】:以降低的优先级进行扫描和防护,以尽量降低系统性能拖累和节省功耗

——好吧,其实我完全搞不懂这两个模式的说明具体说了什么,低功耗模式的说明却偏偏来一段“………………在保证安全的前提下体验更流畅”了事,偏偏戳到了最关键的“防护强度”的问题,有横生枝节之嫌,要知道“降低强度”和“保障安全”二者没有必然联系
如果防护强度没有任何变化,常规来说,大可把这一小段文字去掉/或/以更斩钉截铁的用词强调:“防护强度没有变化”之类的
通俗、感性和严谨之间,需要取得一个平衡,这点请务必留心



【病毒查杀】
说到这个我可就不困了
病毒查杀.PNG
奇安信显示拥有云查杀引擎、云规则引擎和猫头鹰引擎
云查杀引擎好理解,但云规则引擎……?我看了眼描述,这大概是主防监控用的吧?大概意思就是“我奇安信可是有云主防的大佬”
那跟这个手动扫描有多大关系呢?
这个不深究,需要深究的是另一个问题,请看
显示不明晰-2.png
当无网络时,奇安信的两个云侦测引擎仍旧显示“已连接”,即便开机一开始就无网络,也是如此
我还以为是中文翻译错误,试着切换成英语语言,仍旧是“Connected(已连接)”
在当前的1.2.2(2031)版本中,可能奇安信仍旧未留意到问题

奇安信啊奇安信,你这里偷懒,搞不好是会害死人的!
我稍微摸索了一下,当前快速判断奇安信是否联网的方法,似乎就只有回到主界面,看你右侧的账户区域,如果显示了本机的登录,那或许是OK;或者手机端APP看一下电脑有没有登录(严谨来说,这里只能获知奇安信是否联网,而不能直接判断云引擎是否连接)




【漏洞检测】
补丁修复.PNG
这个其实没什么好说的,因为我是使用Windows Update打补丁的,所以这个模块就暂时无用武之地
但总会有,并且大量的人禁用Windows Update,此时这个模块就很有必要存在
我比较好奇的是,奇安信对于使用不受支持的Windows 10系统的用户(比如非长期支持服务版的1607、1703、1809等)会如何处理
会直接以扫描不到漏洞了事吗?还是通过某种明示或暗示表示用户的系统不受支持,不能接收到安全补丁?




【主动防御】
点击该按钮后,会自动转至奇安信的设置来
“主动防御”只有一个选项,那就是启用或不启用(默认启用)
但是,这个选项跟我们所理解的“行为主防”不一样,这个“主动防御”选项,似乎就是所有防病毒监控的“一键开关”
我试着关闭了“主动防御”,然后使用EICAR测试码进行测试,是没有反应的
嗯……彳亍口巴
主动防御.PNG




【网络监测】
这个,说不定还蛮有意思的
网络监控.PNG

让我们看看谁是流量大户吧!
嗯,百度网盘,嗯姆嗯姆~
TOP2,115,嗯姆嗯姆~~
TOP3,奇安信,嗯m……嗯?
嗯,毕竟是云侦测啊,奇安信那个有点特殊,这个待会再提一嘴





【隐私防护】

隐私防护.PNG
乍一看,似乎并没有识别Outlook 2019,这是个不大不小的问题

文件 - 隐私防护.PNG
试着随便设定几个文件规则,“其他应用程序”点开框之后可以看见允许和阻止,但是再翻阅,却没有看见“询问”选项
文件 - 隐私防护2.PNG
对特定的程序选择了允许
对其他应用程序选择了阻止

然后让我们稍微退出,再重新进入这个界面检查设置
文件 - 隐私防护3.PNG
emmm……

我稍微考虑了一下,然后删除了所有的自定义规则,恢复了默认设置,并停止了进一步的体验
因为无法确认自己的设置是否正确保存配置,所以,我甚至有理由怀疑其是否正确生效,并以此类推和怀疑“上网记录”、“聊天软件”、“常用软件”等部分,
这种东西你既然设计了出来,出了问题是没有如果的,所以我认为该功能的可靠性存在问题,
在build 2021到build 2031都在“文件防护”发现了这个问题

至发帖时,我不再进一步描述该模块





【应用感知】

应用感知.PNG
这个功能,看上去好像问题不大
我倒是比较在意“应用时长排行”这一块
QQ Protect≠QQ
WinZip Preloader(WinZip热启动预加载程序)≠WinZip
至于联想电脑管家和Everything……因为配置了服务项所以不好评价



【青少年模式】未进行体验

此外,因为“无反馈”体验的流程,【安全服务中心】不予体验

关于【日志活动】,详见下方






【关于日志系统】

日志系统?你是说主界面中间那六条日志,以及下方工具栏那个【日志活动】吗?
咱点击进去之后是这样
日志活动.PNG
在奇安信的日志系统中,
会记录紧急的安全防护事件于【病毒查杀】归类
会读取Windows系统日志于【系统日志】归类,让使用者对系统的近况有一定的掌握
会记录各种软件在系统关键位置进行操作的活动于【关键位置】归类
会记录隐私防护模块所捕获到的活动于【隐私防护】归类
会记录应用感知模块所检测到的系统性能异常于【应用感知】归类
至于【网络监测】归类……我不知道怎样的事件会记录在该归类,是可疑的IP地址吗?还是可疑的网速流量?抑或是IDS检测?


日志活动-2.PNG
可以点击上方的“日志”、“等级”、“类别”进行筛选,右侧有一个刷新按钮
另外,右边“日志分布”的四个分类也是可以进行快捷点击

日志洋洋洒洒一大堆,美中不足的是,没有奇安信自己的日志
你没有那么强大的日志范围还好,但是你有啊,所以我感觉是不是还能再来一点?

监控和主防所侦测的病毒,这些项目日志被归类到【病毒查杀】很正常,很好理解
但是,手动扫描的日志呢?没有
所以说,作为手动扫描的【病毒查杀】模块的活动,并不会被记录到【病毒查杀】的日志中,是吗?这个冷笑话属实,不太好笑。

还有,更新日志呢?我从何处获知杀毒软件什么时候进行了更新?我是否能最低程度地获知奇安信于何时,进行了“病毒库/检测引擎”类的更新,抑或是“主程序”类的更新?(但讲道理,更新日志就算没有,或许也没什么)

另外,奇安信自身的状态日志呢?何时启用了防护,关闭了防护,我们是否需要拥有这种日志?

如果未来确实对这些日志类型一一添加,可能就需要更完善的日志筛选器,毕竟我当前日均日志量就已经1300左右了
比如,有用户可能需要同时查看某两个等级的日志,比如“警告”和“危险”等级的日志,以便于进阶用户捋一捋不同事件之间的关系



【更新】
通常来说,奇安信会对病毒库和主程序进行无通知的自动更新
是的,主程序更新也是无通知的

此外,如果你试图通过右键托盘菜单检查更新
此处只会检查主程序更新

而没有地方手动检查病毒库更新
其实奇安信的本地引擎实际查杀时参与度很高,但不设计手动更新,或许与云为主的策略有关

托盘菜单.png

Windows 7 x64-2021-09-21-04-55-55.png





【性能评论、监控机制、缓存机制猜测、扫描速度、续航评论,误报观察,以及遇到的已知问题】

奇安信的防病毒监控其实是以围绕所谓主防为核心的,这使得奇安信将文件监控的重点放在文件写入、文件变化的检查,以及运行检查,而不很重视通常的文件读取。
以EICAR测试码为例,保存EICAR测试码后,奇安信发出侦测警示。

对于事先存在的EICAR测试码:因为EICAR测试码并非可执行码,因此打开EICAR测试文件并不会触发检测;但如果将其变更至熟悉的拓展名(如.exe),奇安信会阻止拓展名变更并发出侦测警示。
如果我将一个实际的可执行威胁复制到电脑中,就会出现侦测警示
若我是将其从压缩包释放出来,就会出现侦测警示
危险操作2.png

危险操作.png

对于已经存在(不活动)的威胁本体,我稍微戏耍了一下:
本体复制到其他位置→复制体被很快侦测删除
此时再次复制到相同位置→无侦测

将本体更名,不变更拓展名→(预计被侦测删除)
(但因为异步侦测的缘故,监控有可能不会马上到来)
趁此时将更名的本体复制到其他位置→更名的复制体被很快侦测删除
(稍后因为监控逐渐迫近,更名的本体被侦测删除)

以上整个过程漏了一个文件


这样的文件监控逻辑,在确保性能的同时,对于外源性的威胁(假设都能够初见杀)效果还不错
但对于初见遗漏(是漏,不是查不出)的,就只能等待双击和手扫杀了,毕竟这样的监控,文件追踪性比较缺乏


但是,单靠这种逻辑的精简是不足以优化系统性能的(参考那见了鬼的迈克菲)
实际上,引擎对于很多场景的性能优化也还行,这些使得奇安信有着相当不错的系统性能。
虽然我一直保持默认设置,但奇安信的续航友好度确实还不错。

比较令我惊讶的是,奇安信的缓存机制比WD还糟糕得多,
比如你可能需要花十分钟进行一次“快速扫描”,然后在短期内,比如更新病毒库或重启电脑前,再进行一次“快速扫描”可能就只需要几十秒。
这种情景在奇安信上不存在。
自然,如果频繁地进行大规模的手动扫描,网络流量也会随之暴增(我的奇安信在十几天内可是用了5个G呢)



【关于一些发现的问题】
当使用网易UU加速器,以“进程模式”进行加速准备时,可明显观察到加载过程慢了可能十倍左右的时间
据日志,这可能是因为进程模式下UU加速器的操作特别多和敏感,比如注册表操作啥的,以致卡了奇安信的行为主防



关于误报以及扫描速度

我本来准备了这些文件
当然,有大量的加密压缩包或者多媒体文件,所以实际也没有看上去那么多
文件.PNG
但最后只重点节选了大概2.6TB的文件进行扫描,没有全部测完
D盘扫描四小时十二分.png
C盘为固态硬盘
D、E、F为外置机械硬盘,详细参数见上

C盘节选,Program Data、Program Files、Program Files(x64)文件夹,另节选70GB单机游戏(单机游戏进行NTFS压缩),一共150GB左右,15分钟左右完成扫描
D盘整盘2.03TB,以加密或不加密压缩包、安装包、多媒体和游戏为主,扫描四个小时左右
E盘节选,多媒体和游戏大概470GB进行扫描,耗时一个小时左右
F盘不参与

扫描速度中规中矩,属于正常水平
误报控制方面,考虑到正常使用的情况下,可以说是较为优秀和保守的一类杀毒软件了


但是,为什么我要将这项目放进了“发现的问题”上?
这还得回到为什么我要节选扫描的问题上


原因是我遇到了一个比较严重的BUG,
那就是扫描闪退现象,扫描会突然中断,主界面会突然消失,不过托盘图标和防护服务仍旧是正常运作
build 2021 - build 2031,闪退复现率100%

我针对一些多次闪退前怀疑的相关项目,试着去扫描了64位客户端《坦克世界》(约3300+个文件,约53.7GB)
——闪退
遂将“坦克世界”排除,再进行全盘扫描
——闪退
这意味着C盘至少有两个导致闪退的点位,第二个我确实是没心情去定位了,我也不是时刻盯着电脑的,是吧?
可能我不知道具体的原因,但是,
作为一个正式开卖的杀毒软件,这是我最不能接受的问题




【关于清除能力】
关于清除能力,一是指将威胁从一个受感染的文件中剔除,使文件恢复正常的功能;二是指将威胁从一个受感染的系统中杀灭,使系统恢复正常的功能。
这里栏目评论的是前者。

须注意的是,这里只测试清除功能的有无,而不测试强弱。
这里使用经典家族:老病毒Win32/Parite

Remove.png
这里奇安信进行了较为强烈的提示,请求用户选择进阶清除模式以彻底清除威胁。
因为我没有运行威胁,所以选择拒绝,试图进行普通的杀除。


Remove2.png

结果表明,奇安信个人版拥有可用的,对受感染文件进行威胁剔除、恢复功能的能力。
另外,由手动扫描接触到高危威胁家族时,奇安信将触发警报机制,请求用户选择进阶清除模式以彻底清除威胁。

问题:由监控发现威胁时,奇安信不会对威胁进行清除,而会直接删除。




【关于通知/逻辑】

总体来说,奇安信还是奉行了除安全告警外不弹窗的承诺
·部分告警形式参照上一栏目

先上两幅图,这是我点击退出某版本ACDSee时的一个可疑行为拦截
主防拦截.png
我记得我曾点击过“信任”啊?

我不由得检查了一下白名单
白名单.PNG
这我该怎么理解?
是主防和白名单,以及和跳脱出白名单的单步拦截之间的割裂感……?
抱歉,无法准确描述这种现象。



·在设置关闭“主动防御”即可关闭防病毒监控,此时无明显通知,如果不主动检查主界面或手机APP,无法察觉防护已关闭

防护关闭无明显通知.PNG


·手动退出整个奇安信,Windows安全中心无推送
退出无通知.png
直至手动启动奇安信,才姗姗来迟地往安全中心推送消息
只要把做安全告警的干掉,就不会有安全告警是吧?

总体来说,奇安信还是奉行了除安全告警外不弹窗的承诺(



【总结】

奇安信在个人级市场吹了那么大一个牛皮,
诸如让冬奥工作人员、运动员等完全免费使用,
至少支持汉英法三种语言,
而且对于普通用户,会以商业杀毒软件的档次进行收费等
不知道是不是我对冬奥太过期待,还是将“冬奥之于奇安信新品”这一环解读得太重,但确实,我对奇安信这个作品的心理预期将会非常高

但现在是什么情况呢?
造势四五个月
官宣正式上市也一月有余
至发帖日时,
如果单指一个新品而不考虑其他问题,那么,我个人本身的感觉还行,未来可期,我是持肯定的评价
但是,请瞧这问题种种,望那形势仲仲,我虽然没有分量,但欲向我讨要一句“差强人意”的评价,没辙


最后,我直接把话撂这:

小至一款产品,大至一场盛会,无论怎么做,缺憾难以避免

期待搞得多多的,遗憾搞得少少的,是人们的共同愿景

我只是不想,奇安信这个新品届时在冬奥折戟沉沙、留下遗憾罢了


评分

参与人数 5人气 +13 收起 理由
尘梦幽然 + 1
桑德尔 + 3 版区有你更精彩: )
偷电狂魔 + 3 牛批……我都懒得看完……
heavencc + 3 版区有你更精彩: )
YECGAA + 3 赞一个!

查看全部评分

sevenday
发表于 2021-9-26 21:23:53 | 显示全部楼层
UI是真好看,从360分出来,感觉业务做的也是有声有色的
846472713
发表于 2021-9-27 17:20:54 | 显示全部楼层
老大的文章写的很有深度啊,拜读!下一款杀软写哪个??
PanzerVIIIMaus
 楼主| 发表于 2021-9-27 21:54:11 | 显示全部楼层
846472713 发表于 2021-9-27 17:20
老大的文章写的很有深度啊,拜读!下一款杀软写哪个??

这不是任务式、机械式地去写,
等什么时候当我很想分享的时候或许就会有下一篇了
auniel
发表于 2021-10-13 18:19:21 | 显示全部楼层
Thanks for your share! Actually the situation that software will be broken when scanning happened on my PC, and also 100% reappeared!!
nonn
发表于 2021-10-17 14:37:01 | 显示全部楼层
感謝分享,請問有繁體中文介面嗎?謝謝!
PanzerVIIIMaus
 楼主| 发表于 2021-10-17 14:49:45 | 显示全部楼层
nonn 发表于 2021-10-17 14:37
感謝分享,請問有繁體中文介面嗎?謝謝!

没有繁体中文,你可以在点击并私信@奇安信安全防护反馈这个问题

决定式~定义
发表于 2021-10-19 21:17:21 | 显示全部楼层
从夏奥的微点到冬奥的奇安信,感觉没有进步甚至还。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-1-28 12:46 , Processed in 0.141699 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表