毒眼詳細評測，為各位飯友解迷。(活動準備中)

英仔

前言：剛回家就看到卡飯有人討論毒眼，其實我很早就想做個評測和推廣一下。但是鑑於是毒眼當時還是有不少問題，所以一直沒有做，到現在３。４版了。很多問題都解決和完善起來，加上卡飯的朋友對毒眼也不太了解，便立即做了個評測。連明天考英文都不理了！


占用資源

毒眼沒有主界面,
采用了类似UNIX风格的积木式构架(界面較山寨問題請看最下,官人有說)
下圖是托盤右鍵



毒眼安全檢測(應該是透明,因為檢測太快就完成了，截不了圖)

完成。這個是檢測危險文件，不一定是病毒.請用戶看清楚是否安全程序。

备份文件還原系統(被毒眼清除了的病毒或被病毒删除了的文件都可以在這裏恢復,毒眼是沿途备份的)。

文件保險柜



展開


規則

害虫監獄在下面病毒測試就會看到。
可信文件列表



察看安全事件(自动分析出可能隐藏在系统中的“内奸”，包括“奇异驱动”、“奇异模块”和“可疑程序”)。

升級


到查看警告信息

點查看

在線交流

幫助


到大家比較待的病毒測試，使用了
过主防的IE劫持病毒http://bbs.kafan.cn/thread-594741-1-1.html
(就看看能否過毒眼的主防)
fake av1X 过主流 高质量http://bbs.kafan.cn/thread-594106-1-1.html###zoom


先看过主防的IE劫持病毒，解壓後有兩個。

點擊運行，報了。

我們來看看害虫監獄，看監禁了這什麼。



到下一個，運行沒反應，系統也沒出現卡現象。

我們來使用"毒眼分析"分析一下



好，把它們一併監禁起來。






再來看看害虫監獄，成功。


到fake av1X 过主流 高质量
點擊又報了

繼續看看害虫監獄。

但是畫面變成這样了。

重啓電腦看看。
呵呵，回復了。


感想：用了毒眼都有一年多了，由1點幾版本開始到現在3.4版,其中也經歷了很多變化，從誤報非常多到現在大大減少。
亦解決防不住感染文件病毒問題，亦由從前的不敢單奔毒眼到現在拿毒眼做先頭部隊，這次的病毒測試都是實機測試的，因為我對毒眼滿信心。
毒眼都是一直慢慢的成長起來。當然現在毒眼還存在些BUG，這些是需要我們一直去發現去幫助去支持的，讓國産能夠在國際展露光芒。

關於序列號：真的有朋友想要序列號，我可以向毒眼官方溝通一下，弄一些活動，放些一年序列號。有需要的回一下帖，看看人數決定。






------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------


下面是整理了一些官方的解答：
３。４版：
安装了毒眼(3.4以上)以后，最近3个月内的几乎任何文件的来历都可以分析出来。

但是用户拷贝的文件如果不运行，就不会记入历史，任何程序暗中（未经用户明确知晓）创建、运行的任何文件，其历史纪录均保存3个月再淘汰。这样，通过对文件作“毒眼分析”就会具有更大的实际意义。

3。4以后，“毒眼分析”的后台数据将会达到较大的规模（设计极限尺寸为300M,正常用户在100M以内），借助这些历史轨迹，可以分析出更多的东西。

界面问题：
一直放在较低的level上，因为毒眼一直想“以质取胜”，故采用了类似UNIX风格的积木式构架（毒眼的多数程序可以通过命令行脚本方式调用，方便用户的二次开发和合作开发），有意没有实现一个“综合界面”。   不过，既然用户需要，我们已经计划增加一个综合界面了。

欢迎朋友们提出建议————毒眼将会在新界面上用适当的方式障显和感谢一路走来对我们帮助和指正的朋友们（具体细节还在设计中，同样欢迎朋友们提出建议）。虽然我们不知道彼此“面长面短”，但是我们都有一个相同的脊梁，相同的心。我们希望毒眼是所有正直而自信的中国人共同的作品。



如果用户添加错误，是一个有害的程序，毒眼还会报警吗？
在“严重”危害情况下仍然会报警
在设为可信的情况下，程序的一般性危险行为将被视为合法。但是，如果发现出现“严重”行为（比如篡改重要控制文件，存在漏洞并遭到远程攻击等），仍然会被制止。



关于“主动防御"
毒眼不研究别人，但是我们对待新概念和新知识的态度是认真的。

我们不反对别人提“主动防御”或者其他什么概念，但是如果把我们也算在里面，那我们确实希望知道这个概念的准确定义。否则不敢随便苟同————这就是我们的认真态度。

但是很遗憾，不知道“主动防御”是谁提的，到底是个什么定义？“主动防御之父”是谁？ 难道没有义务说清楚吗？

在小人看来，概念是思想的基石，如果这个基石本身含糊不清，那后面的理念也很可能是一个梦幻。

这就好比“仙女”，实际没有精确的概念描述，仅存在于每个人心中的某种模糊的想象或特征，导致了如下的结局：听说人类已经有300多人在太空进行了漫步，没听他们谁说见过“仙女“，倒是地面上有不少人却相信自己分明见到过仙女————我都见到过的，真的。

如果是文学或者童话中，仙女当然应该是非常受欢迎的；如果是在进行科学研究，那仙女还是不提为好阿————个人论调，不代表公司立场。



毒眼需要做什么
毒眼不研究别人，也无心评价别人的优劣是非，我们专心修正自己的问题，耐心分析客户的意见。

另一方面，由于毒眼创造了全新的安全理念,"纵深防御、集成防御、预设防御、事件恢复"，我们有义务精确描述、论证和实证它。所以我们不得不进行了 N 次说明，有些朋友看作“无聊的口水”，其实是没有认真考虑新思想的价值————哈哈，这个也不能勉强。

拿破仑说过，“统治世界的是想象力”。以在下看来，思想是推动世界前进的动力。任何新的思想都值得大家来讨论PK,如果是真的，那一定经得起实践的检验，经得起众人的责难和推敲。而一个真正的新思想，总是带给世界一个进步————这正是毒眼的本质追求，而不是金钱和客户。

所以，毒眼要做的就是，一边进行产品的完善和补充，一边宣传和理清"纵深防御、集成防御、预设防御、事件恢复"新理念。




毒眼是杀毒软件吗?
第一,毒眼不是杀毒软件,理由是,设计思路、功能和效果都跟杀软大大的不同，阁下如果有其他的理解，欢迎阁下赐教。

第二，“可毒眼装机后,右下角依然提示检测不到杀软的安装,老有一个红色的盾牌”，
     不错，毒眼有意不接受微软的“霸权”，他说安全不一定安全，他说不安全，也未必不安全。毒眼以最真诚自信的中国人面目出现，不愿意接受的注册，求得他们的“庇护”————阁下是否已经明白？

这个问题不用解决，要解决好像需要毒眼跟微软办一个什么“手续”（大致如此，不很清楚，我们也没有兴趣知道这个手续，因为我们压根不想这么做）。


毒眼的自动备份和淘汰
毒眼并不只备份监禁的文件.

毒眼的自动备份是预设防御思路的具体实现之一. 备份所有被修改或删除的程序文件,脚本文件等"执行性文件".这样,保证病毒破坏(包括篡改和删除)的文件能够自动恢复.

备份的淘汰是空间淘汰策略.当备份目录过大时,自动淘汰5日前的备份.




[ 本帖最后由 英仔 于 2009-11-18 23:27 编辑 ]

英仔

官方特點介紹

毒眼集成安全系统功能综述

（1）后门监控
全方位监控整个系统的运行轨迹，对后门动作明察秋毫。

（2）智能分析
    根据系统的运行轨迹，对系统的运行状态作集成分析，智能识别出来自害虫、木马和黑客的攻击，包括来自内部的攻击和危害；

（3）智能恢复
    根据害虫（木马、黑客等破坏）的运行轨迹，自动恢复害虫破坏的文件、注册表等，使系统恢复到原来的状态。

（4）快刀
    突破害虫的层层保护，多层次联合行动，干净地杀掉害虫文件。

（5）除奸
    迅速而全面地检测整个系统内核的“角角落落”，自动分析出可能隐藏在系统中的“内奸”，包括“奇异驱动”、“奇异模块”和“可疑程序”，并列举出他们的关联进程，以便进行分析、“监禁”或删除。使可能隐藏在系统中的“奸细”原形毕露。

（6）文件保险柜
    对用户定义的文件进行安全保护，使它不会被木马窃取或篡改。

（7）害虫监狱
    将怀疑的文件监禁起来，使之失去运行的可能，有效地阻止害虫文件的运行；同时不破坏文件本身以备他用。

（8）综合分析
    控制中心可以自动对全网的机器进行统一的集成分析，可靠的分析出各种害虫。

（9）害虫传播分析
    自动分析害虫在全网中传播轨迹，并生成害虫的传播图。

（10）智能文件分析
    对害虫文件的来历进行分析追踪和解释，使用户获得“发病原因”的清晰证据。

（11）.辅助分析
    提供用户进行手动分析的辅助工具，并按照用户要求的条件进行查询等操作。

（12）.跨平台支持
    支持WINDOWS(NT以上平台)、LINUX等多种操作系统异构网络。






毒眼集成安全系统工作原理


   毒眼集成安全系统以一种全新的思想来解决安全问题。毒眼集成安全系统基于系统运行轨迹分析来识别和防御各种安全事件,并根据运行轨迹进行攻击追踪和恢复。
    具体地说,就是通过对用户计算机系统运行轨迹的描述和综合分析,来识别、防御可能遭受的害虫、木马、蠕虫或黑客攻击;并沿着攻击的发生轨迹进行追踪;同时在受到攻击时自动产生的“沿途备份”，以便进行精确的事件恢复,使用户的系统始终自动处于一种稳定的运行状态。

    集成安全系统是由若干个控制中心和多个客户端有机组织起来的自动防御、分析和恢复体系。同时每个客户端也可以作为单机版独立运行。其设计思想是：在用户的每个机器上安装客户端软件，负责对本机进行日志、分析、预警和恢复，同时将相关信息上报到控制中心，控制中心将进行综合分析，并将分析结论进一步上报到更高级控制中心，如此形成一个多级联动的自动防御体系，可以有效地保障用户整个网络的安全。

    集成安全系统的基本思想是对系统的运行轨迹进行精确的描述和记录（日志系统），在此基础上对日志系统进行智能分析，自动分析出系统中暗藏的木马等安全威胁；根据用户要求的预警方式报警，并通过独创的事件恢复技术使系统恢复到安全危害事件发生前的状态。它包括四个子系统：

（1）日志系统：全面精确地描述系统的运行轨迹；

（2）分析系统：智能分析日志数据，自动分析出系统中出现过的安全威胁；

（3）预警系统：根据分析系统的结论，以适当的方式（短信，E-mail等）进行预警；（注：短信和E-mail报警只提供给高级用户，且需要另外收费）

（4）恢复系统：根据运行日志和自动进行的关键备份，进行恢复，以删除有害代码，恢复被修改的文件。从而使系统回退到安全状态；

为完整地保障用户的系统安全，集成安全系统独创了以下技术：

（1）“文件保险柜”技术：考虑到机密文件一旦泄密的不可恢复性，集成安全系统增加了“文件保险柜”系统，以便实现对用户定义的关键文件的安全控制，确保这些文件的安全。、

（2）“害虫监狱”技术：考虑到很多的木马等“害虫”程序具有自我保护功能，尤其是采用了驱动进行多方面保护的情况下，很难有什么办法能够保证将它们完全删除干净。本产品采用独创的“害虫监狱”技术，无须删除这些害虫文件，但将它们“监禁”起来，使之失去活动的能力（无法被打开，也不可能被修改、升级，当然也就不可能运行），能够有效地制止害虫程序的活动。

（3）文件关联分析技术：考虑到害虫程序一般都是“协同作战”、“集体犯罪”，分析它们之间的创生、启动和安装关系，才能保证将它们彻底制服，没有漏网之鱼。本产品独创的“毒眼分析”技术，不仅用在智能分析中，而且提供了用户使用界面和接口，用户可以直接使用，也可以验证。（详见“毒眼分析”）

（4）“快刀”技术：为彻底杀灭“害虫”程序文件，本产品采用了独创的“快刀”技术，能够层层制服害虫文件的“保护伞”，将它们一起拿下。

（5）内核分析技术：通过扫描操作系统的内核关键系统调用，分析出当前系统中可能暗藏的“奸细”，比如一些奇异的驱动程序，一些注入线程的模块，以及可疑进程等。并枚举它们的关联进程。这就使当前系统中可能存在的“奸细”无处藏身（详见“毒眼安全检测” ）。

（6）事件恢复技术：系统中发生的诸如害虫攻击，程序安装，或者害虫被杀灭等统称为“事件”。借助完整的日志系统，本产品可以针对事件进行恢复，比如针对一次害虫的危害事件进行恢复，就是删除害虫创建的文件，恢复害虫修改的系统参数和文件，使系统恢复到本事件发生前的状态（这个过程通常被称为“清除”害虫），同时，事件被清除后，如果后悔，还可以还原，还原过程就是清除过程的逆过程，也就是“针对恢复的恢复”；被恢复后还可以再次进行清除，如此可以进行多次的清除/还原。（详见“系统恢复”功能）

（7）跨平台的综合分析技术：本产品的控制中心（一台独立的设备）可以自动收集所有客户端（windows/linux）的日志，并进行跨平台的综合分析，分析出害虫在整个网络上的传播路径，来源等。



什么是集成安全系统？


“集成安全系统”是一项最新发明的计算机安全防御、预警和恢复技术。

    现有的计算机安全产品（防火墙、杀毒软件、IDS等）几乎都是基于某种代码特征进行匹配，从而实现其识别和过滤的功能；另外现有的安全产品基本上是分门别类、“单打一”的，多数杀毒软件主要针对文件进行匹配，而防火墙、IDS则主要针对网络数据包进行过滤和分析。没有一种产品是完全站在系统全局的立场上进行防御的，特别是没有一种安全产品是完全基于智能分析而不是根据事先收集的已知特征进行防御和过滤的.

    这种传统防治模式存在严重缺陷：其一是安全防御必然滞后于外部攻击，也就是一定要先有用户受害，再进行“对症下药”的防御方式；其二是，名目繁多的安全产品“各干各的”，由于没有统一的集成防御和分析思路，从多个侧面进行防御，看似天衣无缝，实则漏洞百出，用户的安全没有得到有力的保障。假定用户同时安装有杀毒软件、防火墙（即使每种都同时安装了多个产品），用户进行了升级，安全性依然非常脆弱，比如，用户的机密文件完全有可能被偷偷的拷贝走，用户的电脑上完全有可能被暗中安装了木马等监视软件，除非是已知的木马，否则杀毒软件或防火墙根本不知道，也不会提供任何蛛丝马迹供用户分析；这样用户的安全有什么保障呢？同时,杀毒软件、防火墙等都需要用户频繁升级，稍微耽误升级就可能导致失效。另外杀毒软件、防火墙因为必须不断进行特征匹配会带来的系统运行效率的显著下降。

    有没有一种真正给用户带来安全的安全产品呢？它具有什么样的工作原理和特点呢？看看“集成安全系统”的工作原理，答案是不言而喻的：
    集成安全系统是基于系统运行轨迹的分析，预警，恢复和追踪系统。它的基本思想是对系统的运行轨迹进行精确的描述和记录（日志系统），在此基础上对日志系统进行智能分析，自动分析出系统中暗藏的木马等安全威胁；根据用户要求的预警方式报警，并通过独创的事件恢复技术使系统恢复到安全危害事件发生前的状态。它包括四个子系统：
（1）.日志系统：全面精确地描述系统的运行轨迹；
（2）.分析系统：智能分析日志数据，自动分析出系统中出现过的安全威胁；
（3）.预警系统：根据分析系统的结论，以适当的方式（短信，E-mail等）进行预警；（注：短信和E-mail报警只提供给专业用户，且需要另外收费）
（4）.恢复系统：根据运行日志和自动进行的关键备份，进行恢复，以删除有害代码，恢复被修改的文件。从而使系统回退到安全状态。


毒眼集成安全系统的特点


积木式结构，自由搭建。客户端软件本身就具备完整的单机安全防护功能，脱离控制中心也能够独立运行，保障所在主机的安全。控制中心使用高端硬件，具有强大计算能力、海量数据存储和高效网络性能，可以同时管理上百个客户端。用户可以根据自己的网络情况，通过合理配置客户端和控制中心，自由搭建自己的集成安全系统。
操作方便，界面统一。控制中心和客户端软件均通过WEB方式访问界面，风格统一，方便用户使用。
集中与分布并行的管理方式。本产品可以进行集中式管理，同时又支持进行分布式管理。在控制中心，管理员能够直接对该中心所辖的客户端进行集中管理；同时管理员又可以从任意一台客户端上登陆到其他任意客户端上进行分布式管理。
树状分层结构，大小任意扩充。用户可以将多个控制中心配置成多个层级，形成一个树状结构。每个控制中心控制部分客户端，并接受其上级管理中心的管理，而管理员只需通过最上层的控制中心，就可以控制下辖的所有低级控制中心及其客户端。如此可以任意扩充的开放式层级结构，能适应几乎任何组织、任意网络结构。
多平台支持。客户端软件支持Microsoft windows和Linux两种操作系统。后期将进一步实现对其他Unix系统的支持。
系统资源占用极低，开销很小。 Windows客户端CPU占用均值<1% ，非分页内存<400k，分页内存均值<10M；Linux客户端性能更加优越。
事件恢复和针对恢复的恢复。对系统中分析出来的安全事件进行恢复，使系统回退到安全事件发生前的状态，同时还允许对这个恢复事件本身进行“恢复”，使系统回退到恢复前的状态（还原），并允许多次恢复和还原。


安装了“毒眼集成安全系统”后我还需要担心什么?

过期问题。如果使用到期，没有续费时，毒眼集成安全系统将会失去分析功能，仅保留日志系统和文件保险柜、害虫监狱等功能。这时出现害虫攻击将不会预警和自动分析处理，但仍然保留完整的日志系统。此时您需要尽快续费，否则安全将会受到威胁；续费后，分析功能立即恢复;
操作问题。如果没有及时将需要保护的文件加入文件保险柜中，则文件有可能被非法访问，从而造成泄密等事故，文件内容一旦泄密，很难恢复（除非杀人灭口）,因此用户需要将自己认为需要保护的文件及时放入文件保险柜中。文件一旦进入保险柜中，将无法访问，除非用户为它指定了访问规则（即允许访问该文件的条件），这时文件将在访问规则允许的条件进行访问，其他情况下，本文件不可访问。
可能的误报、漏报问题。虽然发生的概率很小,但是我们仍然希望提醒您：毒眼集成安全系统是完全基于系统日志系统进行智能分析的，很难做到百分之百，存在一定程度的误报和漏报（我们的测试结论是：误报概率小于5%，漏报概率小于0.1%,期待您的结论）。误报通常发生在两种情况下：其一是某些特定的应用系统采用了类似木马的技术（如API hook等），这有可能被误认为是木马，选择“设为可信程序”即可，下次就不会再报了；其二是某些程序受到害虫感染后，变成了实际上的害虫程序，会进行害虫感染、传播害虫等，这时毒眼集成安全系统会进行清除，您如果需要使用该程序，最好重新安装一个干净的版本（原来的文件已经遭到害虫感染了）；事前如果安装了毒眼集成安全系统，则不用担心，害虫感染文件时，系统自动进行了备份，并且在发现害虫时，会自动进行恢复，所以您需要立即安装毒眼集成安全系统，越早越安全。由于毒眼集成安全系统完全是依靠害虫行为进行判断的，所以可能存在某种害虫程序由于不具备明显的特征而被漏报，但即使如此，该害虫的行为还是会被记录在案的。这种问题可以有两个途径解决：一是通过升级毒眼集成安全系统来解决；二是通过毒眼的“高级分析”功能，由技术人员根据手工分析来找出害虫。


“毒眼集成安全系统”需要用户做什么?

安装集成安全系统；
将自己认为需要保密（保护）的文件“拖入”文件保险柜中；
当系统提示发现恶意代码时，除非确信是合适的程序，这时选择“设为可信程序”；否则选择“清除”或者“监禁”；如果在50秒内您没有做出选择时，系统将自动安装缺省的处理方式处理（缺省的处理方式是“监禁”）。
按照使用期限支付使用费；
随时可以查看本机上的安全状况（运行“毒眼安全检测”），这个功能目的是检查当前系统中的各个“角落”，使可能存在的“奸细”无立锥之地。但检测出来的不一定就是“奸细”，专业用户可以对检测出来的危险文件进行“监禁”、“毒眼分析”或者“删除”等处理；一般用户可以不管，但不用担心，因为毒眼集成安全系统会通过实时分析识别和清除害虫，无需用户手工干预。
合适的时候进行升级（系统会自动检查有无新版本需要升级）。

"毒眼"产品与现有安全产品的比较

由于设计思想的不同，集成安全系统跟现有的安全产品有显著的差异。这里做一个简单的比较，以便更加清晰地说明集成安全系统的工作原理。 产品项目 集成安全系统 杀毒软件 防火墙 IDS 主要防御对象 整个系统 文件 网络数据 网络数据 识别危害的手段 智能日志分析 特征值 网络包特征 网络特征 处理危害的方式 事件恢复 手术式杀毒 阻止传输 阻止传输 预设防御方式 文件保险柜， 紧急备份 无 无 无 对恶意代码的处理 害虫监狱 快刀删除 删除 隔离 阻止 阻止 手工安全分析 全面支持 智能辅助分析 无 无 无 系统消耗 CPU占用均值<1%;内存占用：非分页内存<0.5M 中 中 中 与其它安全产品兼容性 很好，几乎不冲突 一般 一般 一般 升级依赖性 很低 很高 高 高 全网及多网段集成性能 集成，综合分析，详尽统计 统计功能，同步查杀毒 无 无 新危害代码识别 自动识别 几乎不能 几乎不能 较低

[ 本帖最后由 英仔 于 2009-11-18 19:25 编辑 ]

cdchhy

先占楼 啊，看完再评价

貌似还不错，如果能加上内存占用就更不错

[ 本帖最后由 cdchhy 于 2009-11-18 19:27 编辑 ]

浩宇瀚海

看楼主的测评，貌似还是不错的，有机会还是要尝试一下的

白羊座

让mj0011来看看

英仔

忘記放
現在放好了

sunshine2009

观望~

cdchhy

听说毒眼监测一个毒会加一个进程，有这情况？

启动了任务管理器看下，ms毒眼每次都要启动一个est02009的进程来监禁一个文件，结果就是：



申请得到的话，m我个序列号哦

[ 本帖最后由 cdchhy 于 2009-11-18 20:06 编辑 ]

57158505

看了楼主介绍很感兴趣啊...

tanlimo

先让官方去请个好一点美工再说吧。