【趋势云安全】美丽云端下的失望与希望

jpzy

写在前面：这个帖子得来实属不易。JP一直不是很关注趋势区。这几天工作事忙，连活动也不知道。昨天无意中跑去主站上，发现了jcy写的云端2.0的评测，大是意动，于是跑来趋势区，结果居然发现有活动。于是下载了云安全2.0，准备测试一下，一则满足自己的好奇心，二则给活动添添柴。可是测试的结果让JP实在很失望，甚至一度想放弃了。可是既然测了，JP还是耐着性子测完了，来跟大家念叨念叨吧。

PS：还记得阿贝在国外大区的介绍云计算的帖子么：漫步云端的美丽与哀愁，颇符合JP测试趋势云安全2.0的心情。可惜，阿贝既然用过了，我也只好换个标题。

测试环境：VBOX3.0.6 Final 操作系统为联想XP OEM SP3版，关闭了自动更新，分配了512M内存。未安装其它防护工具。

初识云安全篇：
下载，安装，软件各界面的介绍这些都有人做过了，我就不再多费口舌了。说说我对云安全的第一印象吧。

安装的界面让我想起了Norton。主界面则颇有几分Panda的CloudAnitvirus的感觉。而主界面左上角那个大大的绿色圆圈让我不禁又想到了FS9.0。当然了，界面还是很美丽的，黑色的主色调，很凝重，也颇有质感。

不得不说趋势的云安全2.0做的太简单了。寥寥的几个功能安排在主界面上。设置里面也基本没有什么可更改的。值得一提的是其中的云安全智能防护网络。



选中这个项目就会将威胁信息提交给趋势。此处是否有泄露隐私的嫌疑，虽然不在本文探讨范围之内，但是JP还是提醒一下大家。

趋势云安全2.0固然简单。却反而给用户带来了不方便。

首先，没有任何的更新提示。包括更新按钮，更新界面，更新进度等等。从主界面完全看不到。

第一次安装完成后，根据jcy的帖子，我在关于里面找到了版本信息，却看不到最后更新时间，而虚拟机的网络连接显示始终在通讯。等了很久才发现已经更新结束了。


程序版本从2.0.1222更新为2.0.1223



从组件信息里面可以看到，跟趋势个人版的组件差不多。行为监控也有。可见，35M的安装包还是很厚道的。



这是特征码的信息。可见，本地特征码依然存在。趋势并不是纯粹的云安全。呵呵

其次，趋势的云安全2.0，并没有右键扫描，主界面上只有立即扫描的功能，可以选择扫描系统关键区域和完整扫描。这点多少给用惯了扫描的我们带来一点不便。

JP点评：
看来趋势的云安全2.0主要是面向企业用户的。没有更新提示，没有扫描功能，更加适合企业部署。客户端的使用者根本不需要操心防护的问题，也就不需要扫描和查看更新。

实战篇一——病毒样本测试

既然是安全防护软件，那么自然要使用样本来测试一下了。

使用kafanlist 09.08样本包（之前测试Norton下载的，JP懒得找新包了），直接解压缩，看看监控的反映



毫无疑问的验证了本地特征码的存在。报警窗还是挺好看的。点击查看详细信息，可以看到比较详细的信息



在详细信息窗口内还可以将文件恢复到原始位置。

解压缩完成后，监控查杀完毕，查看了一下解压缩路径，还剩下14个，趋势此时仍然没有升级完成。我就当它是老的特征码版本吧。30个样本的包，查杀了不到16，检出率50%多一点，的确不算高。过了很久，升级结束，又检出了两个（大概40分钟，中间这段时间我在看片，看完以后打开样本路径报的）。过了20分钟，再次检出3个！后面这三个是全部报的是PAK_Generic.001，看起来是启发报的。就是不知道是不是报壳。

总的检出率21/30=70%。我所使用的是10天前的样本包，如此的检出率，真的很难让人信服。

JP点评：趋势的特征码检出率真的不算高。并且在监控查杀上并没有看到云安全的影子。测试到此，JP也颇有点无奈啊。

实战篇二——样本运行测试

细心的朋友应该注意到了，我在前面的组件图里面将行为监控引擎框了出来。虽然根据个人版的经验，行为监控并不是趋势的强项，但是既然是基于云安全的产品，我想在终端这里应该有高级的病毒甄别方式才是。

测试是在特征码检出结束以后进行的。我随机在剩余的样本里面运行了几个。

运行的第一个样本，运行后将样本本体删除了，趋势并没有任何报警。最终是我手动利用任务管理器结束样本进程的。

后续运行的几个样本，趋势云安全2.0，均无任何反映。运行到某个样本的时候（090908-1-5，大概是，不是很确定），样本一开始运行，任务管理器立刻被结束。接着，趋势弹出了阻止病毒写入的提示，还删除了一个sys文件。桌面弹出了一个网页，是xx挂机赚钱工具的页面，不过页面在本地的document and settings文件夹下。



这就是被阻止写入的病毒文件。此时病毒已经开始运行。这个应该是下载物。

鉴于趋势云安全2.0有云安全在。所以我一直开着机连着网，想看看是否这个已经运行的样本会被上报给趋势，或者在趋势的云安全网络中被检出进而杀掉。可惜，开了一晚上机，并没有任何的进展。等我今天早上查看虚拟机的时候，桌面上的IE打开了无数的子项卡，都是那个xx网赚的页面。同时，查看趋势的日志，发现，qq[1].exe和PCIDump.sys被阻止了很多次。



这是晚上我睡觉前的时刻，前面其实还有被阻止的信息。



这是早上查看的结果。

可以看出，每半个小时，下载物会被下载一次，驱动也会被释放一次，并且打开一个页面。

值得一提的是，趋势的云安全2.0并不在这个样本的屏蔽之列。该样本添加了大量的IFEO来阻止安全软件。所以，重启以后，趋势的云安全2.0还是生龙活虎的。是否有点讽刺呢？因为病毒也生龙活虎。。。

这就是传说中的云安全么？在整个测试的过程中，我并没有察觉到趋势有任何的连接云服务器对可疑程序进行检查。甚至也没有上传样本到云服务器进行分析的行为（这个也许有，只是咱们看不见，因为云安全2.0的主界面太简单了！）相比很多大牌厂商将自动上传样本炒作为云安全，趋势更加让我不解。

JP点评：特征码检出率不高。而行为监控引擎虽然存在，却让人完全无法感觉到它有作用。云安全到底在哪里呢？？测试到这里，JP对趋势的信心已经完全崩溃了……

实战篇三——网络防护测试

其实样本运行测试完，JP已经没有兴趣继续测试了。准备放弃的时候，JP打开了趋势区的活动宣传帖，又从活动宣传帖看到趋势的云安全宣传页面：http://wmwebpro.cn/edm/trendmicro/spn/index.html，在这个页面上查看了趋势的云安全的三大技术介绍：三种信誉技术，多协议关联分析和智能型反馈系统。JP发现，这几个技术主要都集中在对web威胁，邮件威胁等来自网络的威胁方面。难道这才是趋势云安全的真谛？

既然测了，那就干脆测完了。于是JP开始寻找毒网进行测试。

测试的初始阶段，可以说让JP非常的失望。JP访问了几个网站以后，发现网络威胁统计里面多了一项。于是兴冲冲的打开来看……



前一阵子很多安软，包括Norton都报了这个。虽然不知道是不是误报。可是只报这个让JP很不爽。

继续逛可能有毒的网页，终于在某个页面看到了这个提示：



（页面来自毒网分析区）

这个报警给我的感觉是，这是趋势已经加入了网址黑名单库的报警。

我的主机上安装的是MSE。有些页面我在虚拟机和主机同时打开，MSE会报警，而趋势似乎没什么反映~~~囧~~~~

最崩溃的是这个提示



汗~~连微软都报了，趋势居然~~~~~

访问了不知道多少页面以后，终于看到了趋势的报警



阻止了某个页面的下载



同样是阻止了html文件。

就在我查看报警的时候我才发现问题出在哪~~~



此时主界面上已经显示拦截了83次网络威胁。

打开日志仔细查看，原来很多js都被阻止了。而阻止js却没有报警~~~



原来趋势的网络威胁防护并不是没有用的。它只是低调罢了。呵呵，惊喜啊惊喜，原来在这里~~~~

JP在浏览了接近一个小时，几十个可能染毒的网址的条件下，虚拟机系统一切正常。看来趋势的网络防护的确还不错。

JP点评：本次测试最大的亮点就出现在网络防护上。原本JP已经对趋势云安全彻底失望了，测试完网络防护以后，总算又给了JP一点点希望。不过，在整个的网络防护的测试过程中，JP仍然没有感觉到云的存在。有些明显是本地黑名单库的报警，而黑名单库报警并且阻止的网址，我在主机上打开的时候，MSE并没有报警，虽然不能就此认定此页面安全，但是毫无疑问，网址黑名单在应对网络威胁的时候是存在一定的滞后性的，时效性很差。而阻止js等恶意脚本，趋势并没有提示，JP也无从判断此时到底是趋势通过云服务器进行了判断，还是本地具备恶意脚本的分析功能。要知道，其实本地做恶意脚本拦截的话，也不会耗费很多资源的。网盾，巡警，Linkscanner都是其中的佼佼者。这个需要云么？我觉得不需要。。。

总评：
总的来说，这次测试云安全2.0是失望大于希望的。趋势的云安全，并没有在事实上给用户带来更安全的防护。也许是目前仍然在测试，端点比较少，难以发挥云威力的关系。也许是云安全2.0本来就是面向企业部署，不适合个人用户。无论怎么说，客户端病毒拦截率的低下是不争的事实。趋势的网络威胁防护是本次测试最大的亮点，网络威胁防护是基于防护入口的理念。限于时间，能力和篇幅，JP无法做移动设备和局域网攻击的测试，如果移动设备和局域网攻击也能够比较好的防护，那么对企业用户来说，入口就基本无虞了。而对于企业用户来说，运行外来文件的可能性很小。一般企业都会限制员工在电脑上自行安装软件的。
不过话说回来，既然是主要的防护方式仍然是基于特征码的，那么如何提升特征码的检出率我认为是比较重要的一点。即使入口防护的再好，一旦病毒绕过入口，那么就会是灾难。而作为终端用户的最后屏障，云安全2.0的检出率毫无疑问无法让人放心。
最后，在整个的测试过程中，JP并没有感受到云的存在。或者说虽然云存在，但是用户感受不到它的威力。虽然云安全的主要技术介绍集中在网络防护方面，但是据我所知，趋势早就在恶意网址检测方面做的很好了。如果这就是云，那么JP要不客气的说一句：趋势在炒作概念，在忽悠！当然了，JP是相信趋势的云存在的，只是希望趋势能够尽快的完善它，让它更好的发挥威力。

[ 本帖最后由 jpzy 于 2009-9-18 12:04 编辑 ]

alexchen2008

图文并茂，很详细，技术含量高！支持活动！

这是特征码的信息。可见，本地特征码依然存在。趋势并不是纯粹的云安全。呵呵
毫无疑问的验证了本地特征码的存在。

云安全，要是断网了呢？特征码存在很正常

本次测试最大的亮点就出现在网络防护上。

云安全，拦截在云。

[ 本帖最后由 alexchen2008 于 2009-9-18 12:26 编辑 ]

moreo

原来这就是云安全啊

jpzy

拦截在云？云在哪？
怎么云的？

alexchen2008

首先要肯定你的实战测试

我说的“云安全，拦截在云。”
——着重web防护

只是肯定你说的亮点而已。

趋势科技云安全有多云我不作评论

[ 本帖最后由 alexchen2008 于 2009-9-18 15:15 编辑 ]

爱上云的海

1楼有张图是“统计”的嘛

嘁。不稀罕~

JP，趋势的url拦截库在云端，哇！咔咔！这就是，那个，呃，反正建议使用TIS，而非各家厂商的所谓网本版安全软件。

jpzy

嗯，可能是昨天安装的时候被这个“云安全2.0”给迷惑了，寄予了太大的希望。结果…………

嘁。不稀罕~

云安全2.0是趋势对自己技术升级的一个代号，这个技术会用在趋势所有产品中，并非独立一个产品出来采用这种技术，按照趋势的说法，2.0扩展了之前只针对web的保护。

jpzy

从web扩展到哪了？？