平庸的中庸——趋势科技防毒墙网络版V10客户端试用感受

jpzy

写在前面：一直以来，JP都对趋势抱有一定的好感。虽然JP用趋势的次数极少，也基本不会推荐朋友安装。这种好感可能来自于——趋势是JP最早购买的正版软件吧（没有之一）。不过好感归好感，为数不多的几次试用经历，趋势给JP留下的印象都很一般。今天看到pctool发出的防毒墙网络版客户端，JP还是忍不住装上把玩了一下。写点自己的感受吧。声明一下，JP不禁止别人转载，不过，请转载的人尊重一下JP的劳动，转帖请注明“卡饭首发原创”和“作者JPZY”的字样。

OK，进入正题，大家随我来体验一下趋势科技防毒墙网络版V10吧。

安装就不多说了，因为是封装好的安装包，安装过程并没有什么交互。安装包本身有数字签名，难道服务器端有制作安装包的工具。呵呵

装好以后，先看看进程数和资源占用吧。



作为企业版的客户端，趋势的资源占用还算是合理的。安装后171M的PF，跟avast!，EAV等轻量级个人版安软相比，高了不少，但是跟Symantec，McAfee这些知名的安软的企业版相比，还算是略低。算是中庸吧。

6个进程也不算多。比较有趣的是NTRtscan，没记错的话，Symantec企业版有个进程叫Rtvscan…………呵呵，真实的意思应该是Real-time scan，实时扫描。也就是监控~~~

托盘有两种状态。



这是平常状态。显示为(脱机)



这是联机状态。出现的几次都是实时监控发现样本的时候，不知道是不是联网验证的意思。有丝丝“云安全”的感觉哦……呵呵……



更新的界面。平时看不到。手动更新的时候才能看到这个界面。

先来认识一下整个的OSCE吧。



直接双击托盘图标，则跟McAfee的企业版客户端一样，打开的是实时监控的统计界面。



在托盘图标上点击右键，可以看到比较完善的右键菜单。选择“防毒墙网络版控制台”，则打开控制台界面。（这里跟McAfee也很像……）



控制台界面非常的简洁清楚。每个子项卡对应一个功能。值得一提的是右上角的“插件管理器”按钮，点击它跟点击右键菜单的“插件管理器”都同样能够打开插件管理界面。



目前没有插件被应用。这里看起来跟McAfee也很像，McAfee的Viruscan Enterprise本身也是企业版其它组件的一个基础，称为CMA。据我所知，趋势至少有一个防火墙模块是以插件的形式存在的。其它的插件，目前还不清楚。

回到控制台主界面，第一个子项卡是手动扫描。手动扫描可以指定到具体文件夹。遗憾的是，企业版的防毒墙并没有右键扫描功能。

选择好要扫描的路径以后，界面右下角的“扫描”按钮会从灰色不可点击状态变成可点击的状态。点击扫描，就会出现扫描界面。



这是扫描界面。





这是扫描结束的提示。没有发现安全风险的提示框点击确定以后，会留在手动扫描的界面上。而发现安全风险的提示框点击确定以后，会自动转到手动扫描结果的界面。



第二个子项卡是手动扫描结果界面。



在安全风险列表里面，点击安全风险，则可以看到关于此风险的具体信息。点击旁边的“信息”按钮，会打开一个网页，页面上是关于此安全风险的具体介绍（不过是英文的）

第三个子项卡是防火墙模块！



默认只是启用了防火墙。并没有启用IDS。并且也没有选中“发生防火墙违例时通知我”。IDS不用说是入侵防护系统。而发生防火墙违例时通知我如果选中，则当有进程被防火墙拦截（违例的意思应该是，无规则可以匹配或者被阻止的情况）时，会弹出一个信息框提示用户。



这就是选中“发生防火墙违例时通知我”后，趋势防毒墙弹出的信息框。之所以叫信息框而不叫对话框是因为，大家可以看到，在这个窗体上，并没有创建规则或者允许，阻止的选项。仅仅是通知用户，xx的网络行为被拦截了。（顺便说一句：图中的Flashget.exe其实是个病毒样本……囧……）

防火墙子项卡右下角有个编辑按钮，是编辑防火墙规则用的。点击后打开编辑界面。



防火墙内置三种规则。“阻止全部”，“允许入站，阻止出站”，“全部允许”。默认是“全部允许”。这里JP不是很理解。如果按照这样的设置，再加上并没有开启IDS，则防毒墙网络版的防火墙相当于未开启。

下面的例外规则列表是允许用户自己编写网络规则的部分。JP对防火墙一向很感兴趣。所以特意打开来看了一下。



查看的结果非常失望。当前，除了个别应用于服务器的防火墙以外，大部分的防火墙都是将程序控制和网络规则联系在一起。可以从上面的例外规则创建窗口可以看出，这里只是创建纯粹的网络规则，一点都不涉及具体程序。这样做的缺点很明显，如果是网络规则跟程序相互联系，则很容易控制木马的外联。而单纯的网络规则则不具备这个能力。打个比方，本地的1024-5000端口通过TCP规则连接远程的80端口，这是使用任何浏览器都必须创建的规则。如果网络规则跟程序相互联系，则我可以指定IE（或者其它浏览器）具备使用1024-5000端口连接远程80端口的能力。而其他进程不具备。这样当上图的Flashget.exe试图使用本地的1024-5000端口连接远程的80端口的时候，规则就会阻挡它的连接。而趋势防毒墙的防火墙模块，只能制定规则，允许本地1024-5000端口连接远程的80端口，如果不创建这样的规则，则本地浏览器无法使用。而如果创建了这样的例外规则，则当Flashget.exe试图连接远程的80端口时，规则会自动放行。安全性降低不是一点半点啊！

第四个模块是邮件监控模块。



这里似乎需要单独安装邮件监控的插件。JP没有安装，不做更多介绍了。

第五个模块是行为监控模块。这里是JP比较感兴趣的。



表面上看起来，似乎并没有传说中的行为监控那么细致啊。

点击“允许的程序”。



原来就是个允许和阻止程序的列表。最最简单的AD功能…………失望…………

试验一下吧。将一个程序添加到了阻止列表中……



双击后，提示没有权限访问。个人认为，这个功能相当鸡肋。对于需要运行的程序，应该不用添加到列表就可以正常运行。所以允许运行列表应该是多余的。除非趋势具备更多的行为拦截和控制能力。至于阻止列表。一般人需要阻止程序运行么？很少…………

最后一个模块是日志。



贴个图，日志功能比较简单。不用多说了。

了解完控制台主界面，再看看防毒墙网络版的设置功能吧。

设置功能在控制台界面上方的菜单处。



点击设置，可以看到设置菜单的几个项目。





扫描的几个项目都整合在一个界面上了，在菜单上点击任何项目，就进入对应的子项卡。

针对病毒和间谍，趋势防毒墙网络版进行了不同的设置。



实时扫描的设置跟手动扫描基本一致。只是多了一个显示通知的功能。默认为未选中~~~，强烈建议选中显示通知。不然什么东西被干掉了都不知道。



这就是通知窗口。

上面图中的“启用扫描例外”也就是常说的排除列表了。点击后面的“编辑”按钮，可以对排除列表进行编辑。



排除分为路径，文件和扩展名三种排除方式。还是非常强大的。

对于病毒和恶意软件，趋势防毒墙网络版还有细致的处理措施定制功能。点击“定制处理措施”后面的“编辑”按钮，就可以打开处理措施定制界面。



默认设置是所有威胁采用相同的处理措施。而处理措施分为两步，默认条件下第一步是清除，第二步是删除。即如果清除失败即删除。强烈建议将第二步处理措施改成“隔离”，避免损失。这里不得不说一句，不知道是不是这个安装包在打包前由打包者进行了相应设置，这里的设置跟一般的企业版真的不同。一般企业版都是隔离为主，很少有设置删除的。

设置菜单的最后一个项目“客户端代理服务器设置”不用多说了。



一般企业环境下，可能需要设置。个人使用应该用不着。

转了一圈下来，对趋势的客户端有了大致的了解。趋势的客户端跟Symantec和McAfee相比，比铁壳多了一点能够自定义的行为监控，却缺少Symantec企业版客户端那样完善的防火墙功能（没有基本的程序联网控制和程序网络规则创建）。比咖啡多了网络防火墙（咖啡的Viruscan Enterprise只有简单的端口控制，防火墙需要另外安装HIP），却没有咖啡细致的规则保护，行为监控模块太鸡肋了。综合看来，只能算是中庸~~~

对趋势防毒墙网络版认识完以后，我们来看看效果吧。

JP没有特意的进行样本包的扫描。只是找了一些早就存在机器里的样本来测试。前面的图里面能够看到，趋势默认是监控压缩包的。所以，当JP从共享文件夹拷贝样本压缩包到虚拟机的时候，虚拟机卡死了。后来JP进行过相同操作，虚拟机再次卡死。也就是说，复制样本压缩包是导致虚拟机卡死的原因。而引起卡死的，自然是趋势的监控了。

检出率一般般。趋势本来在检出率方面的表现就不抢眼，JP也没有抱太大希望。几个高威胁的样本都杀掉了。不过也漏过了一部分老毒。这里要提醒想尝试趋势防毒墙网络版的饭友，最好将监控对压缩包的扫描去掉。并不是因为监控压缩包会占用资源，而是如果发现了压缩包里有病毒，则趋势会尝试删除样本，压缩包会因此而损坏。如果压缩包里面有需要的东西，那么就囧了……



被破坏的压缩包。。。。

误报方面，很少被杀的两个文件被趋势防毒墙干掉了。



常在铁壳区逛的人应该知道这个是什么。是Norton的循环试用工具。



另外，3DMAX的注册机被当做间谍软件干掉了。

这两个工具虽然是注册机类型的，但是很少有安软报。。。

行为监控方面。之前pctool说新版本的防毒墙具备了个人版的行为监控，让我颇有期待。可是结果很让人沮丧……运行了不少样本，有些有行为，有些看不出明显行为。但是结果都一样，从没有看到过趋势防毒墙网络版报警…………



这是运行了某两个样本后的任务管理器截图。其中conn.exe是ppstv.exe创造的。期间任务管理器里面不断有进程跳动。Flashget.exe是另外的一个样本。

趋势非常的沉默。。。（此时我并没有打开通知功能，不知道是不是有拦截了但是我不知道）

前几天试用过趋势电子眼。对趋势的网页防护能力，我也比较赞赏。既然是测试，自然要贴近现实。逛逛毒网，看看效果如何……

逛了一会儿，发现没有打开通知功能。看日志发现有了拦截日志了。不过，看日志反映的，应该是实时监控的功劳。



已经有exe文件到达本地了。看来趋势防毒墙没有网页防护。



打开了通知功能后，浏览毒网的报警。报了不少frame~~~看具体信息都是些htm文件。不过应该也是特征码报的~~~

最让人揪心的情况到底发生了。



浏览某个毒网的瞬间，忽然出现了无效指令的提示。虽然趋势防毒墙有报警，但是看任务管理器里面已经有cmd被调用了。也就是说，网页内部的恶意代码已经运行了，只是可能我机器上并没有相关的漏洞，所以提示无效指令。。。寒心啊~~~~

[ 本帖最后由 jpzy 于 2009-11-23 21:54 编辑 ]

jpzy

总结：

前面的一系列测试和体验，已经让我们可以得出结论了。也就是我的标题所示：平庸的中庸。从里到外的研究了一番趋势防毒墙网络版V10可以发现，趋势在各个方面都不能让人眼前一亮，可是又不能说它不好，因为各方面也算中规中矩，所以，只能说他中庸，平庸的中庸。

从前面的使用感受可以明显看出，趋势防毒墙网络版不适合个人用户使用，原因有如下几点：

第一，从趋势防毒墙网络版的客户端来看，趋势的客户端可以自定义的地方非常多。如果是企业级的应用，那么网络规则，行为规则（猜测）都可以由企业的网络管理员来制定和分发，客户端使用起来，安全性应该不错。可是，对于个人用户来说，不可能人人具备制定规则的能力，而客户端有限的自定义部分也限制了用户的发挥。并且，个人用户的水平和使用环境千差万别，不像企业内部那样还具备防病毒硬件等条件，安全性又降低了一个层次。

第二，趋势的检出率不够理想，而行为监控从我测试的体验来看，更像是一个摆设。而趋势比较能够体现“云安全”的网页防护，在这次的防毒墙网络版里面完全不见踪影。于是，从入口到本地特征码到行为防护这三层防护体系都存在明显的漏洞。个人使用起来安全性自然不高。

第三，趋势防毒墙网络版的日常使用还是比较流畅的，资源占用也在合理的范围内。但是，在发现样本的时候，尤其是在监控压缩包的情况下，趋势会占用大量的CPU资源，导致系统卡死。（这可能跟我的虚拟机硬件资源比较弱有关）虽然可能跟虚拟机有一定关系，但是跟趋势引擎的效率也不无关系。

趋势防毒墙网络版的优点都是在企业应用方面。看来这东西跟个人应用还是有距离的。

[ 本帖最后由 jpzy 于 2009-11-23 21:38 编辑 ]

耍花剑的猫

SF居然自己坐。。。

站个位参观吧，看完写感想。

耍花剑的猫

。。。看完了，也觉得它的防火墙是不是很。。。

假如那三个等级相当于全局规则的作用话。

在下面规则里添加白名单控制联网倒也不是坏事

不知道这个墙对系统程序联网是不是有默认规则

PS：企业用的和家用的差别实在太大了

kevin9718

...还是用个人版吧..虽然一直对趋势很关注...

爱邂逅★明哥

占用不是很高的说。。。。。

xiaochi12

http://u.115.com/?ctl=pickcode&a ... 2321a5f&own=yes我刚想说分流来了。。

fengtaks

防毒墙直观上变化不大…学校有客户端下的，我也去试试~

jpzy

下面写得很清楚了。防火墙的规则只能创建端口，协议这种类型的规则。

那个地方我特意写的很清楚，没有跟程序联系的网络规则，对个人用户而言，很危险~~~

xiaochi12

这是SP1么，我的链接是SP1的