转贴.neCare 2.0在Vista系统下的试用

ss5324269

Windows Live OneCare（一站式计算机维护服务）是微软出品的安全套装，最早于2006年初发布，并于去年6月份开始2.0版本的公开测试。OneCare刚发布的时候，给人感觉像个“鸡肋软件”，参加各类安全软件的评测结果均惨不忍睹，但是这半年来却发展迅猛，不但通过了VB100%测试，而且在AV-Test测试中的检出率超越了Panda、McAfee、Nod32。这些足以让人对现在的OneCare兴趣大增，既然有兴趣，就试用一下看看。

1 下载安装免费使用90天的OneCare 2.0
      OneCare2.0要求安装系统为英文版，刚好我使用的是英文版Vista，满足这个要求，登录http://onecare.live.com/standard/en-us/install/install.htm，会打开页面如下图1：



      选择Install Windows Live OneCare之后会下载一个有1.2MB大小的叫SetupOneCare.exe的OneCare在线安装下载器。点击SetupOneCare.exe，在线下载安装就开始了。安装过程无需多说，大约需要花费一两个小时的时间，不是OneCare容量大，而是下载速度太慢了……

2 OneCare 2.0的主界面
      软件安装成功之后需要重新启动系统，重启之后打开OneCare的主界面，让人产生得第一感觉就是：清爽。见下图2：



      窗口左侧列出了用户最常用的功能或界面显示链接，现在我们看到的界面即用户的PC状态链接。
      第二项“Manage your OneCare circle（管理OneCare体系）”， 这是一个一站式多PC管理的功能，OneCare可以在家中三台PC上安装，为多PC用户提供了方便。通过一站式管理，使得家中或小商业网络中一组受OneCare保护的PC的相关功能现在可以作为一个圈访问。
      第三项是查看月度报告的快捷链接，因为安装不到一个月，故查看报告选项是灰色不可用的。
      第四项的“Change setting（设置）”，不用多说，后面的介绍中会频繁提到。
      第五项“Get help with OneCare（获得帮助）”，OneCare用户可以通过这里在线获得有关OneCare的疑难解答。
      窗口右侧最上方显示了当前的软件状态，有害程序定义升级到最新版本了,故状态显示绿色。
      因为使用的是90天的测试版，在第二栏还会提示用户订阅延长服务时间，避免到期后软件无法保护计算机的安全。我用我的Live ID（用hotmail邮件箱账号代替）注册了一下，结果微软老是提示我“看来你需要新的订阅获取服务”所以还是只让我免费使用90天。
      窗口右侧下方列出了OneCare的三大模块功能：计算机防护（Protection Plus）、性能优化（Performance Plus）、备份和恢复（Backup and Restore）。并通过这三大模块的各子分项显示了OneCare软件当前的基本状态，如反病毒和反间谍监控启闭状态、定义的最后升级时间、最后一次备份时间等等。通过这些信息我们就可以对Onecare的状态有一些直观的了解，同时每一项状态的右侧也有相关的链接，用于执行和状态对应的操作。

3 OneCare 2.0的计算机防护功能
3.1 哪些防护模块整合了Vista自带的功能
      作为用户最关注的自然是计算机防护功能了，通过前一张截图我们可以看到，OneCare 集成了反病毒与反间谍软件功能、双向网络防火墙功能和反钓鱼功能。从“Protection Plus”可以看到，OneCare 2.0的反钓鱼功能应该是通过整合IE7.0实现的，如果是这样的话，XP系统的用户想得到OneCare 2.0的全面防护就必须将IE升级到7.0版本了。
      对于反间谍软件功能和双向网络防火墙功能，有人说在Vista下也是整合系统自带的defender和防火墙得以实现的，这并不正确，OneCare在Vista正式发布之前就已经自带了双向式网络防火墙和反间谍软件功能。
      在我有一次下载安装OneCare 2.0 的前一分钟，Windows Update刚好提示denfender有最新定义更新（2008年2月14日），我当时选择了安装OneCare 2.0之后再安装denfender的定义更新，结果升级中心给个提示“Unecessary update”。以下截图也可以说明OneCare 2.0 实际上已经独立附带了反间谍软件功能和双向式防火墙功能。图3:


      嗯嗯，已经扯远了，闲话少说，让我们接着看看“反病毒和反间谍软件”功能。

3.2 反病毒和反间谍软件功能及其设置
      病毒扫描功能，快速扫描、完全扫描和指定扫描三个选项的不同点无需我多说。图4:


      如果扫描到或由防火墙监控到有害程序，在跳出警告窗口之前，程序会对注册表、内存、缓存区和启动区等先进行额外扫描实现彻底清除有害程序。警告窗口见下图。窗口左下方管理员操作选项，只有安装在Vista系统下才会出现（在XP下直接就是管理员操作了），点击打开，会显示该有害程序所在的位置、危险级别等更详细的信息，并可以选择处理方式，有隔离、清除、移动等。图5:


      选择“Clean all”，这里我发现处理病毒的时间会比较长，往往处理一个需要30秒左右。处理完毕，原来是行为分析发现的可疑程序？还未被加入病毒库？上报……图6


      若扫描到已经感染了系统的且难以清除的有害程序，OneCare 2.0会提示用户重启机器进行清除。图7:


      我们知道了“反病毒与间谍软件”模块的运作，自然也想知道该怎么设置这个模块的功能了。见下图8：


      在这里，看看“Also look for virus-like behavior”选项——“打开类病毒行为监控”，令人激动的功能！早期版本的OneCare并没有这个功能，我在试用过程中扫描的第四个病毒样本就是行为监控引擎发现的！
      “Scheduled scans（计划扫描）”，默认就是每天晚上11点进行计划扫描，每天扫描……这不是要让我的硬盘早早OVER吗？非也，这个计划扫描其实只是一个快速扫描，我的160G硬盘，扫描时间只需3分钟。
      我们可以选择是否让OneCare对有害程序给予适度的风险定级。若打开风险定级功能，OneCare一定会给通过行为引擎查出来的程序给予high(高风险)或者severe(严重，属于OneCare定义的最高风险级别)。
      再下面的两个按键，“Quarantine……（隔离区）”和“Exclusions……（监控扫描排除区）”，这个就不需要详细介绍了，要注意的是对于排除区，既可以排除一个文件也可以排除一个文件夹。

3.3 网络防火墙功能及设置
      虽然XP有自带网络防火墙，但那只是一个单向防火墙；虽然Vista系统自带了双向网络防火墙，但其规则和出站设定必须在组策略里设置，操作方便性极差。所以OneCare2.0自带的双向是网络防火墙也是套装最为重要的模块之一。
      我们首先打开网络防火墙的设置界面图9：


      家庭或工作场所在公共场合连接网络时自动挂起这个功能对于笔记本电脑应该是一个很有用的功能选项，这样就可以避免了不小心泄漏存在本机里的机密信息。
      “Always ask me whenther to block or allow grograms”（总是询问我决定是否允许程序访问网络）在默认状态下是不被勾选的，如果这样，一般常见的正常程序如系统文件或行业软件等访问网络的时候防火墙都会自动放行。如果手工勾选上，那么，即使是系统文件访问网络也将会被询问选择是否放行。如果想要更好的控制程序对网络的访问，还是选上吧。对于第一次访问网络被询问的程序，询问界面如下，2.0版本在“Allow（允许）”或“Block（禁止）”选项的基础上增加了第三项选择——“Block for now and ask me again later（禁止一次，日后重新询问）”。图10:



      默认情况下对于已经列入拦截列表的程序访问网络再次被拦截时，会有气泡式提示。图11:



      重新回到网络防火墙的设置界面，“Configure firewall”实际上是显示网络服务各模块的状态。因为我的Vista系统在安装时进行域的选择点击了Public，所以涉及到家庭或工作场所的服务均被挂起。如果不是确实需要在家庭或小工作群里面组局域网和彼此共享对方的资源，建议为了最大的网络安全度还是选择Public为好。
      “Advanced settings”，高级设置，点击后界面如下图。 Programs，即访问网络的程序控制，前面已经说过，当一个程序第一次主动访问网络的时候，Onecare会询问我们是否允许访问，如果我们当时选择了允许或者禁止，而日后有需要更改设置，那么就可以在这里进行。默认情况下这里已经列出了所有我们设置过的程序，如果想要更改访问设置，只需要找到目标程序，然后选择“Allow(允许)”或者“Block(禁止)”选项即可。“Edit（编辑）”按钮，可以用来设置允许该程序访问互联网上的任何计算机，还是仅允许该程序访问本地子网。图12:



      “Port and protocols（端口与协议）”。为需要接受来自网络上其他计算机连接的程序启用特定的端口。比如图中的OneCare，在升级新定义的时候需要用到6331端口接受入站连接。图13:



      “Network connections（网络连接）”，前面曾提及，在安装Vista的时候网络需选择公共场合还是工作场所还是家庭场所，这里可以对原先的选择进行更改。图14:



3.4 性能优化功能及设置
      OneCare2.0的性能优化功能包括清理垃圾文件（可选功能）、磁盘碎片整理、有害程序查杀、备份检查、操作系统补丁检测、启动设置。
      “Performance Plus（性能优化）”下的“tune-up（调整）”是一个计划任务，默认4个星期自动运行一次，当然这一切是在后台运行的。第一项的“Remove unnecessary files（垃圾文件清除）”功能默认是关闭的，打开之后就会被列入“tune-up（调整）”的计划任务组中自动按计划运行。“tune-up（调整）”按计划自运行之后的报告界面如下。可以说，在Vista系统下OneCare2.0的性能优化大部分功能和系统自有功能重复了。图15:


      “tune-up”的设置界面，在这里可以打开“Change startup settings（启动设置）”，在启动设置里可以关闭一些不必要的启动加速PC并提升整个系统性能，当然，系统必须的自启动文件是无法被编辑关闭的。OneCare会监视在每次PC启动时自动运行的程序，并且会列出这些程序的上次使用时间和使用频繁度，OneCare2.0经过一段时间的“学习”后，会给用户提出启动时间建议。图16:


3.5 备份和恢复功能及设置
      Vista系统本身就已经具有备份和恢复功能，但是OneCare的备份功能更强大，2.0版本已经拥有照片在线备份功能，不过要实现在线备份就必须花59美金跟微软购买10G容量的在线储存，这59美元可不包括OneCare的订阅费用……看来微软早就看中了网络储存业务这块大蛋糕。
      当然，不去订阅微软的网络硬盘也可以用我们自己的移动硬盘作为备份存贮器。图17:


3.6 打印机共享功能
      正版的OneCare一套可以给三台计算机安装，这样可以给家庭或小型商业场所的几台计算机组成一个网络圈，如果OneCare圈中任何一台计算机上配置了打印机，这台打印机就会自动与圈中其他PC共享配置。因为这是自动运行的，就不详细介绍了。

3.7 报告和月度报告功能
      报告功能使用户能够看到备份、调整结果，软件保护状态、防火墙保护状态及用户操作结果（例如如病毒扫描结果）。并可以设置是否每个月自动显示月度报告。图18:



4 简单的反病毒测试
    目前，我只对OneCare2.0进行了一次病毒包测试，病毒包为论坛中“凝逸反毒”版主在样本区提供的“AVPClub Forum威胁样本测试区0012样本包”，该样本包内含711个档案，包含病毒和木马等不同类型的有害程序，并且保证了不是所谓的“化石包”，里面绝大部分样本为2007-2008年生成，少数部分为2003-2006年生成。http://61.185.81.124/read.php?tid-225128-fpage-2.html
      OneCare2.0升级到了当天的病毒定义2008年2月18日。好了，下载完病毒包，去掉压缩包密码，右键扫描，然后……度过了漫长的四个小时，几乎抓狂的我不得不说一句，微软在OneCare2.0中制造了一个和Vista操作系统的“Copy Bug”一样的低级错误！前文介绍反病毒和间谍软件功能中有提到“如果扫描到或由防火墙监控到有害程序，在跳出警告窗口之前，程序会对注册表、内存、缓存区和启动区等先进行额外扫描实现彻底清除有害程序”，这的确是很有用的功能，尤其是在需要清除已经感染和植入系统的恶意程序的时候。问题是，我现在只是对于一个压缩包内的程序进行扫描啊，OneCare2.0竟然不会鉴别出这一点依然一视同仁的进行着额外扫描，而且，看上去是每扫出一个有害程序就进行一次额外扫描……总之，四个小时过去了，OneCare2.0还没有完成对711个档案的测试包扫描！图19


      当时的心情是很想点击上面的暂停或取消。花费了将近7个小时的时间，终于出了结果。图20:


      显然，OneCare2.0支持压缩包扫描但不支持压缩包杀除病毒，欧美地区的大部分安全软件都是如此，这只是理念的问题而不是技术上做不到。
      统计了一下扫描结果，只查出248个，太少了吧……检测结果差得令人感到很意外。其实，这个结论下得太早了，接着我开始对压缩包执行了解压缩操作，解压缩过程中OneCare的警报窗提示发现病毒的数量开始不断的增多，解压缩完，并对监控到的有害程序处理完毕，察看隔离区，终于明白“248个”有害程序的含义了，原来很多样本因为属于同一类病毒，被OneCare归为一类了，所以这个248是指该病毒包有248个种类的病毒而已，至于扫描出的个数，肯定是超过了248个见下图21:


      查看解压缩开的文件夹，只剩下81个样本没被处理掉，没有被隔离或者被删除掉就当作是没被扫描出来吧。所以，病毒包检测结果为检测出了630个，和norton（检测出644个）、nod32（检测出628个）几个杀软成绩差不多。
      OneCare2.0已经具备了行为分析引擎，这查出来的630个有害样本，有几个是通过行为分析引擎查找到的呢？为了测试，关闭行为分析引擎，删除掉剩余的81个样本，重新对压缩包进行解压缩，最终结果是剩余了224个样本，打开行为分析引擎，对这224个样本进行扫描，最终得出的结果，显示找出并阻止了27个潜在威胁，应该称为“27”类，因为实际发现的样本个数可能不止27个，只不过OneCare2.0把有些样本同归为“1”类，图22：


      再看解压缩开的文件夹，也是一模一样的只剩下81个样本。224个有害程序中，OneCare2.0通过行为分析引擎扫描到了143个（即27类），行为分析引擎的检测成功率为63.839%，还算不错的成绩！
      以上的测试包括了扫描压缩包和直接把病毒样本压缩包解压缩测试，从某种意义上来说不单单是在测试扫描引擎，也是在测试监控引擎。
      看一个安全软件是否优秀，不能单单靠几个病毒包测试了事，还应该看看其稳定性、兼容性及对未知威胁的防御能力等等。本次的测试方法不算严谨，先勉强作为参考。

冷冷

1. 发帖基本原则：

1  发表主题必须是针对两款或以上安全相关的软件的横向测试
（对于特定的一款软件的测试结果请发表到它对应的专区）

很抱歉 你的贴需要转移

458506

还是不错的哈。。。改天不用AVK时就用用。。

sexing

早就想安装了试一试,可惜是e文版本的,,哎,,,,,,,,,,,,看来真的和我无缘了