圖解Panda Internet Security 2009 Beta 3

英仔

圖解Panda Internet Security 2009 Beta 3轉自AVP CLUB    "ha503cm"
PIS2009beta3下載：http://updates.pandasoftware.com/beta/pis2009/pis2009beta3.exe

Pavp2009beta下載：http://updates.pandasoftware.com/beta/pavp2009/pavp2009beta.exe

Panda是西班牙殺軟，始創是英籍華人。用了我們的國寶作商標！

Panda的產品從桌面反病毒到跨國企業硬牆、網關一應俱全。就產品線來看，Panda無疑是歐洲一線電腦安全大廠！

官方主頁：http://www.pandasecurity.com/

中文主頁：http://www.pandasoftware.com.tw/

Panda的TruPrevent™行為分析（以下簡稱TP）
是Panda引以為傲的技術（大概是虛擬機運行+黑、白名單+內建的組策略），與微點相似。微點自稱全球首創，事實在PIS2006中已出現TruPrevent行為分析！
在Panda2009beta中，以把TP和掃瞄引擎整合在一起運行。能偵測、清除正在下載中的壓縮文件，內的威脅！



TruPrevent™的官方宣傳Flash

http://www.pandasoftware.com/vir ... p;NRCACHEHINT=Guest

Panda的Collective Intelligence（以後簡稱CI）。 引用:

CI的理念比較符合目前計算機發展趨勢，將每台Computer中大量繁重的計算，交給一台高性能的計算機網絡服務器來進行計算，然後分發給所有客戶端，這樣的方式，優化了效率，減少了重複工作量，當然這樣的技術對我們的聯網質量有一定的要求。有一定的要求並不是說要求很高，對於現在普及了1MB ADSL的中國來說，已經完全具備了這樣的條件。

現在每天都有成千上萬到新惡意軟件誕生，這裡面，絕大多數都是所謂的「變種」，大多數還都是通過修改部分樣本的代碼、殼特徵等方式對惡意軟件進行「改頭換面」，如果2008年的安全軟件還是像2005年之前那樣，僅僅將每個樣本的特徵碼提取出來，加入病毒庫，那病毒庫中將充斥滿垃圾代碼，而且會以幾何級的倍數增長。面對這樣的情況，先知先覺的安全廠商就著手對這些「改頭換面」而來的新樣本進行重點突擊。研究者發現，這些威脅有共有的特徵，他們要麼是有很奇怪的殼保護在真實程序之外，要麼就是有共同的「動作」特徵。
隨後研究者開發出來了各種對付這些威脅的方法，比如對可疑加殼方式的偵測，或採用虛擬機的方法模擬程序運行，通過程序的「動作」判斷程序是否是威脅。
當採用這些新方法之後，安全廠商發現安全軟件對惡意威脅的檢測率是有一定程度的提高，但這些方法都並非基於準確的唯一特徵定位法，會對一些「無毒」文件產生一些誤報，導致不良的後果。

對於用戶來講，檢測率的提高可以很大程度提高系統安全度，每當安全軟件提醒用戶發現「可疑文件」的時候，這些文件很可能就是新威脅，用戶一般都會聽從軟件的建議對「可疑文件」進行處理。這個過程當中，會產生新的問題。

當安全軟件將一個「乾淨」的文件判斷成可疑文件的時候，用戶一旦按照提示操作，有可能安全軟件就將此文件刪除，或者移動到隔離區中。誤判會對系統或相應軟件的正常運作產生影響。如果這個時候，用戶可以與安全軟件廠商立刻聯繫分析可疑文件，在幾分鐘之內就解決這個問題，誤報對用戶造成的損失可以降低到很小的程度。

常規的方法，需要用戶將被誤報的文件提取後，加密壓縮，並發送到安全廠商相應的郵箱內，等待廠商分析，然後發佈新病毒庫，用戶更新病毒庫解決誤報。這個流程，短則2、3個小時，長則可能1個多星期甚至更久。

頗為麻煩的流程，讓軟件使用者煩惱不已，而安全廠商也開始另闢蹊徑。

Collective Intelligence就是在這樣的情況下誕生。CI是一個網絡，這個網絡覆蓋了Panda病毒分析實驗室的服務器和所有使用Panda的用戶的機器，這些機器可以隨時通過Panda的安全軟件進行通訊。

Panda的服務器是「上位機」，所有的用戶的機器是「下位機」，上位機和下位機之間是雙向通訊的，下位機之間不可以直接通訊。

現在來模擬一下CI的工作方式：
用戶user1的機器上，Panda報告發現「可疑文件」，用戶根據提示，發現文件已經被Panda放入隔離區內。然後Panda根據用戶的設置，自動上報可疑文件（或者用戶在隔離區內，單擊5次鼠標就可以完成一次完整的自動上報），文件會在幾秒鐘內上報到CI服務器，文件當即就在CI服務器上被自動分析，然後在1、2秒鐘之內，CI服務器會給用戶的Panda反饋一個消息，這個消息有2種情況：
情況一：當這個文件不是首次上傳，而是之前有其他用戶上傳過
由於之前有其他用戶上傳過，所以CI只需要將之前分析的結果反饋給user1的Panda，user1的電腦中的Panda軟件的隔離區的「狀態」一項中會立刻顯示這個文件是真正的「威脅」，或者是「乾淨」的文件。
情況二：user1上傳到文件CI還未曾分析過
CI處理完user1的文件之後，這個可疑文件就已經被CI「記錄在案」。當user2的機器也發現同樣的文件，被Panda隔離起來，user2也自動上報CI分析是否是威脅，CI就可以在1、2秒之內立刻告訴use2，這個是「威脅」！或者是「乾淨」的！

您可以仔細想想，Panda的引擎檢測出的「可疑文件」中，誤報的幾率有多少，其實是相當少的。所以上報給CI的「可疑文件」大多數都是真正的威脅，user3、user4……等等用戶機器中的Panda發現了」可疑文件」，通過內嵌的自動上報系統，可以非常迅速的知道哪些是威脅，哪些不是威脅。再多轉幾圈腦筋，實際上用戶只需要從所有「可疑文件」中還原出「乾淨」的文件，並不需要費力的確定每個「可疑文件」具體是什麼病毒或木馬，叫什麼病毒名，有什麼特性，這些對大多數用戶都毫無意義，而如果是傳統的安全軟件，會把所有的「可疑文件」都分析後，加入病毒庫，那病毒庫何時是個盡頭？特別是在用戶的機器上的病毒庫會不斷變大，直到臃腫不堪，那安全軟件行業就算走到盡頭了。
Panda研發CI的目的，就是要將這些新威脅（特別是木馬變種）通過用戶機器的一個具有「啟髮式」掃瞄引擎的Panda安全軟件掃瞄出來，然後在所有的「可疑軟件」中只將「乾淨」的文件過濾出來，其他一切「可疑文件」都無需知道具體什麼名字，只要知道他是威脅，通通給隔離起來就好了。防止了用戶機器上的安全軟件的病毒庫的無限擴大。


CI的任務不僅如此。按照Panda Security公司的設計，從2009版本開始，Panda的單機版的病毒庫，將分為2部分：「客戶端部分」和「CI服務器部分」。

用戶機器上安裝的Panda安全軟件的病毒庫，只需要保留「惡意Rootkit」、「In the wild」的特徵碼，以及「感染性的病毒」樣本的特徵碼，以備系統被病毒感染後需要本地病毒庫來修復被感染的文件所需。可以想像用戶機器裡面的病毒庫會縮減多少，安全軟件對系統影響會降低到一個很可觀的程度。

而CI上面的病毒庫，將是一個「巨型」病毒庫，這個病毒庫收集所有的「木馬」、「不可修復病毒」、「殭屍病毒」，包括了所有的通過用戶機器上的panda上報上來的「可疑文件」的分析結果。

總結。Collective Intelligence的實踐是安全軟件企業走向成熟後的大膽嘗試，這樣的嘗試會將「越來越看不到希望的」安全軟件帶入到一個新的境界，希望Panda等嘗鮮者，一路走好。

轉自Prollblog http://www.prollblog.cn

Panda ActiveScan 2.0 （線上掃瞄）



無需安裝，只要自動下載一個ActiveX應用程序
同時能找出活躍中(Active)與潛伏中(Latent)的病毒

http://www.pandasecurity.com/activescan/index/

線上掃瞄和能是將來反病毒的一個方向！——高性能的服務器，可裝載更龐大的病毒庫，彙集更多的數據，更高的運算速度。。。這都是桌面PC不可比的！

Panda Internet Security 2009 Beta 2截圖：







這是掃瞄設置







這是IE防護——表現平庸！





這是防禦未知威脅，要開啟TruPrevent才能體現優勢！



這個開了，會卡網頁瀏覽。典型是依賴黑名單，開了會無法瀏覽部份歐、美、日貼圖網站！









panda提供了詳細的日誌記錄。





Panda默認是沒有開啟髮式的，要聯網才能激活啟髮式，不聯網則無法激活啟髮式！！！





Panda的開機啟動速度本身就很快，把非系統盤排除，就更快！



隔離區無特殊最好不要放太多文件！因為Panda會在後台，嘗試修復感染，並向Panda發送隔離文件！
解毒一直是熊貓的王牌，但對個人用戶實用意義不大。對企業則很有用，因為你不可能隨便刪除電腦內，或客戶發來的文件——那怕是已經
感染了病毒！



panda的內置軟件防火牆絕對是個雞肋，多年來變化甚少，記不住規則等老問題依舊。但勝在與掃毒引擎連成一氣，阻斷可疑程序外聯下載。而且智能化非常高，用戶幾乎無需設置！













*******************************************************************

關於Panda卡下載工具的問題：

由於本人用的是IDM+uTorrent+Xtreme+Share,都是外國下載工具。無出現卡和不穩定的問題——關閉自動分配權限，會記不住規則！

用迅雷的可試以下方法：
1：把下載目錄和下載文件臨時目錄分開，並把下載文件臨時目錄排除監控。
2：防火牆設一條迅雷規則，完全允許迅雷使用所有端口上、下載，和作服務器
3：把威脅名稱：Spyware programs排除！

由於迅雷運行中會不停讀取AD/Flash文件，不停跳端口，不斷往system32/裡讀寫cid_store.dat、configure.ini.....一些不注重中國用戶的安全軟件都可能卡迅雷！

*************************************************************************

關於Panda卡代理的問題：

經常爬牆，真不知道Panda卡那種代理？實用中並沒發現Panda卡SSL 、VPN。而且是一直沒有把那三款繞GWF的代理報毒，也沒發現卡多重代理！

**************************************************************************

Panda的不足：

1：Panda占內存巨大，不足1G內存會導致TruPrevent無法運行。但如有足夠的內存是很流暢的，特別是Pavp2009beta——感覺象裸奔一樣地暢順。
使用中要退出Panda保護，是很方便的。但進程不會隨之退出，依舊待在那裡白吃白喝！

2:已知威脅掃瞄引擎，雖然加強了啟反式，並有雲端技術作後盾減小誤報！但偵查率仍不能讓人滿意，對大量新樣本仍然飄過。Panda的確需要加大病毒的搜集與處理速度！

3：TruPrevent對付未知威脅的確很優秀。但對於一些，已被大多數殺軟偵測到的國產樣本，居然無視！更讓人失望的是，Panda處理上報威脅速度異常緩慢——至少要等上2周才入庫。少數樣本更是多次上報，卻一直不見入庫，無奈！——Panda說你不是病毒，就不是病毒，你不服也得服！

4：Panda的誤報是很低的，包括不報已損壞無法運行的病毒。但TruPrevent對付未知威脅更多是直接刪除，甚至包括正在下載中的壓縮文件！用戶不能選擇處理方式，不能排除，也別指望上報會加入白名單！——是否病毒，Panda說了算！

5：對付病毒Panda追求的是，精確刪除，放行沒威脅部份。實用起來卻是吃力不討好！威脅雖被阻止，但屍體或殘肢依舊會半死不活躺在系統裡。更讓人不放心是，Panda貌似不敢刪除冒充MS簽名的文件——警告與日誌卻記錄已清除！
這方面Panda應改進，只要不在白名單內，一律報未知可疑木馬！是否病毒，是否應該刪除讓用戶自己搞定！（從而獲得高偵測率）



**************************************************************************************
panda的優勢：

沒有一個安全軟件是沒有缺點的！panda總體來說是很優秀的，其TruPrevent與Collective Intelligence絕對是業界領先！
Pis2009更提供了一整套的安全解決方案，是真正智能化的，全自動的。毋須用戶判斷，甚至連點一下鼠標都不需要！

特徵碼判斷與白名單核對，最後虛擬機驗證放行。雙引擎同時工作，一氣呵成！並且PIS2009的主防已具備了偵查壓縮檔的能力。經過2個多月的實彈測試，能過TP的病毒的確很小，即使過了TP，稍有可疑活動依舊樣TP幹掉！

三年多潛心研發的TruPrevent，一直被受質疑！到了現在的2009beta，panda總算樣用戶放心與滿意了！

wyqtc1988

等中文正式版出来了
尝试下

wyqtc1988

熊猫在大陆的代理是不是倒闭了还是不干了
官网快1年上不去了

kevin9718

一直等熊猫..诺顿和趋势科技的这三个的2009中文版...万恶的英文...

458506

熊猫在国内，是方正代理。。作的相当不怎么样。。

可惜了。，。

SW-27

方正为什么不OEM熊猫？

小邪邪

看起来Panda的CI跟mcafee的Artenis基本差不多的样子

文件會在幾秒鐘內上報到CI服務器，文件當即就在CI服務器上被自動分析，然後在1、2秒鐘之內，CI服務器會給用戶的Panda反饋一個消息

不过这里又跟mcafee似有不同之处（或者是上面说得不够清楚？）

mcafee的Artemis不会上传用户的文件，而是提取文件的特征码而已（通常都只有几个字节大小）
这近似于提取某可疑者的指纹去远端的超级计算机上做检验
（或者说剪下他的一小截头发拿去验基因），然后即时反应出来

当然这就不会涉及泄露个人信息，因为只是检验可疑文件的特征码而已（不是上传整个文件）
对带宽的影响也微乎其微，几可忽略（正常去打开一个普通网页所传输的数据量或许都比这大许多）

[ 本帖最后由 小邪邪 于 2008-8-7 16:56 编辑 ]

PlayWill

谁说哪个漏洞扫描没有作用

NobleT

查杀率没有这么差吧～～·跟上次阿贝的评测贴有点区别.....
PS：一个完整套装被说成这样..........而且还是最新beta版

嘁。不稀罕~

查杀率不能看一次的扫描结果，熊猫的样本收集一直是问题...
其实熊猫每年都标榜自己使用的技术是最先进的，业界领先的，可惜这并没有让他的产品成为最好的。。。原因是后续的支持的力度不够。。。