雏鸟破壳试新啼——AIS5.0.252初探

jpzy

写在前面：今天看到avast!终于发布了带有防火墙的avast! Internet Security 5.0beta，做为一个苦等5.0的小a拥趸，自然要试试看。JP的测试非常的初步，而avast!的这个IS beta也非常的初级，还存在着很多不足。就好像一个雏鸟一般，相信在小a开发团队和fans们的努力下，小a 5.0早晚会羽翼丰满，遨游天际。JP原创，转载请注明“卡饭首发原创”和“作者JPZY”。废话不多说了，大家赶紧跟着JP去一探AIS的究竟吧。

（1楼主要是AIS各个模块的截图，不涉及具体技术细节。熟悉Avast!5.0版本的朋友可以直接跳过1楼，2，3楼是对于新模块的技术探讨，欢迎大家提出意见）

初步印象：

先说说JP的测试环境：虚拟机为VBOX 3.10，安装了MSDN版XP SP3，关闭了自动更新。分配给虚拟机512M内存。

先看看安装前的资源占用：



双击安装文件，进入安装界面：



avast!对待中国用户还是非常厚道的。提供了官方中文支持。旁边显示了avast! Internet Security的字样。



安装过程非常简单，选择了默认安装，自动安装了所有模块。跟Free版不同的是，IS版安装完后提示重启。在安装防火墙模块的时候，JP看到了安装驱动的过程。




不出所料。AIS在网络连接里面添加了一个NDIS过滤驱动，应该是用于防火墙模块的。很多安软都如此做。

重启回来，先看看资源占用（其实最先出现的是网络选择界面……）

   

对于avast!的资源占用，JP一向推崇有加。就在测试的过程中，资源占用图截了好几个。这里是其中两张。左面的一张图是windows自动更新进程还在运行的时候。此时小a已经稳定下来了。而且那个瞬间主进程AvastSvc的物理内存降低到惊人的1M+。右面一张图是重启稳定后的资源占用。跟Free版相比，多了一个afwServ.exe的进程和10M左右的开机PF占用。这个版本相比239版，AvastSvc主进程的开机物理内存占用下降了很多，稳定时间也大大缩短。239版开机后，能够看到AvastSvc主进程的CPU占用会在一段时间内不稳定的波动。而252版很快就稳定下来~~~流畅性也非常好。对了，开机速度方面因为有网络防火墙的关系，所以比Free版延长了很多（个人感觉应该是初始化网络占用时间比较长）

OK，回到主题上来。看看avast! Internet Security相比Free版有哪些变化吧。

第一次重启后，会出现网络环境选择



一般安软的IS版本和很多防火墙都具备此功能。



这就是avast! Internet Security的主界面。相比Free版，多了两个大的模块，分别是防火墙和反垃圾邮件拦截器。

下面是统计信息窗口：




扫描计算机模块







这里跟Free版完全相同。
不做更多解释了

实时防护模块：



相比Free版多了两个模块，脚本拦截和Process Vitualization（进程模拟）。











网络防护这里仍然没有设置。另外，看描述，它可以拦截对已知恶意网站的访问，那网页防护又是什么呢？！不解~~~



脚本拦截的说明写得很清楚，可以拦截本地和远程的脚本。没有设置，具体能力不明~~~



依然没有设置。看不出效果~~~



HOT！！！这个被大家揣测了很多的功能，曾经被人信誓旦旦的宣布是类似微点的行为分析的功能，目前看官方的说明，已经很明显了，是个沙盘！！哈哈~~~~这个模块和防火墙JP将会在后面做更详细的分析。请继续往下看……

防火墙模块：



防火墙模块的设置页面。上半部是选择网络区域的，如果想改变，可以在这里拖动滑动条。下面是个流量计……



这里是网络连接页面。里面显示了当前系统的所有连接。



应用程序规则界面。看到“自动判断”字样了没？！avast!的墙也是智能化的（JP不负责任的猜测，只要特征码，行为防护都不报警，那么自动判断模式下都会自动放行），哈哈……



网络工具页面。图形化跟踪貌似McAfee有类似的功能。不知道具体效果如何~~~下面的修复网络堆栈目前不知道具体用途。不知道跟windows修复网络连接的清除DNS缓存等功能是否类似~~~

反垃圾邮件拦截器模块：



这个功能对于企业用户和使用邮件客户端进行邮件收发的朋友非常有用。



在反垃圾邮件拦截器模块里面居然有个站点拦截。个人认为，这个功能应该放在网页防护里面去。不过可能官方不想让家庭用户使用此功能，故此放在了这里。

看到下面的“可以使用*和?通配符定义URL掩码”说明了么？JP猜测，这个功能应该可以实现反广告功能。如果能够实现，那么，对于很多人来说，这个功能非常实用。

维护模块：





这里跟Free版没什么不同！

至此，AIS的界面已经基本完全展示给大家了。可以看到AIS作为一个Internet Security的套装来说，还是非常合格的。提供了包括反病毒，反间谍，防火墙，网页防护，网络防护，反垃圾邮件，行为防护，沙盘在内的目前所有比较有效的防护功能。相比Free版，无疑强大了很多。看过了AIS的功能设置，不由得非常让人垂涎，免费的avast已经提供了足够强大的防护了，IS岂不是更…………

由于AIS的大部分功能跟Free版并无不同。界面和设置都完全一样。因此，JP的这个探寻帖主要将目光对准了Free版中未曾出现的功能。脚本拦截功能因为没有任何设置，也不是很容易测试和获得结论。因此JP将注意力完全放在了Process Virtualization和防火墙上。这也是JP非常感兴趣的功能。

[ 本帖最后由 jpzy 于 2009-11-28 21:31 编辑 ]

jpzy

Process Virtualization：

之前，在获知avast!将会具有Process Virtualization这个功能的时候，很多fans就对这个功能进行了猜测。直到它真的出现在我们面前，我们才知道，原来它是个沙盘。



官方的解释非常的清楚。avast!的进程模拟功能将允许用户在隔离的环境下运行任何程序，并且官方声称，此功能一般主要用作浏览器防护。

先来看看专家设置里面都有些什么吧。



这里是一个列表，只要将进程添加进此列表，以后此进程就将一直以虚拟方式运行。下面有个“自动检测安全位置并将其从虚拟中排除”。这里JP猜测，avast!在进程模拟功能内部定义了一些需要保护的路径，比如windows目录，当虚拟进程试图在这个目录下进行创建，修改文件等操作的时候，avast!会将这些操作转移到虚拟环境里面（即沙盘）去，从而保证真实路径的安全。但是，当程序试图在其它路径下创建文件的时候，比如在D:\Download里，avast!会放行这个行为。之所以说是猜测，因为我们没法证实这一点。



添加一个进程非常简单，点击添加，然后点击列表最上方对话框右侧的“浏览”按钮（个人觉得这里这个设置非常囧，平白多了一步无聊的操作，直接点击浏览多好~~），就会出现windows资源管理器的树形结构，我们在此选择路径和需要虚拟的文件即可。此处我将IE添加进了列表。既然是沙盘，先按官方的说法，试试浏览器~~~



添加完了，双击桌面的IE图标，在Process Virtualization页面的进程列表里面就出现了IE的进程！不过此时还看不到IE的窗口~~~



看到IE窗口外的红色边框了么？这就表示IE运行在虚拟模式下。不想看到这个边框，可以在上面的设置里面取消“在虚拟应用程序所建的窗口周围显示边界”前面的勾。

注意此时任务管理器里面的IE的资源：



史无前例的小！而AvastSvc这个avast!5.0的主进程的资源占用则飙升了很多。



此时打开AIS网络连接页面，能够看到，IE的连接只有本地的localhost而已，而AvastSvc则有了61.160.200.156这个连接。此时关闭IE，可以看到AvastSvc的61.160.200.156这个连接同时消失。可见，此时进行网络访问的是avast，IE的访问完全被接管了。这种虚拟方式还真是特别~~~
（至于这个IP么，当然是JP当时访问的网站的IP啦~~大家猜猜是哪个网站~~~ ）

不得不说的是，这个Process Virtualization肯定还未完成。因为，当将IE添加进虚拟列表以后，IE打开窗口和访问网络的速度极其慢，非常慢，无敌慢……平时回车就打开的百度主页，在沙盘环境下，一分钟了还没有打开~~~

下面的测试就比较有趣了。根据官方的说法，进程模拟功能可以在虚拟环境下运行任何程序，那我们就来试试吧。



添加一个程序到虚拟列表其实有非常简单的方法。在程序上点击右键，就会看到，除了扫描以外，AIS还另外添加了两个右键菜单。分别是“Run Virtualized”和“Move to Sandbox”。不知道是因为这两个是新功能，还是不容易做中文菜单，总之这里没有翻译。Run Virtualized的意思是，本次以虚拟方式运行此程序，而Move to Sandbox的意思就是，将此程序添加到虚拟列表，以后每次运行此程序，都将是虚拟方式。



选择“Move to Sandbox”的结果……



当某个程序已经被添加到虚拟列表了以后，在其上点击右键，出现的菜单项目就发生了变化，两个右键项目变成了“Run outside Sandbox”和“Move from Sandbox”。上面的项目意思是“本次运行将以实际方式运行”，下面项目的意思是“从虚拟列表中移除”。

运行一下……结果…………



先是弹出了这个窗口。颇有几分Run As的风采啊。难道avast!的Sandbox是利用了windows系统的用户权限（不熟悉这个的朋友请找用户权限或者组策略的资料来看看）？直接允许以Administrator用户运行。



结果程序提示某些文件无法创建……



原来这个安装包是个捆绑了垃圾的安装包，在windows路径下释放文件被阻止了。可是，如果是Sandbox，不是应该创建一个虚拟环境，让安装程序以为自己释放成功了，进而进行下一步的操作么？

既然添加一个不干净的安装包失败了。就试试干净的吧。JP选择了世界之窗浏览器的安装包。为什么要选它呢？因为JP想看看AIS的沙盘是否具有权限继承功能。安装完成后，选择运行世界之窗浏览器，那么安装程序就会调用TW，此时TW是安装程序的子进程，一般的沙盘都会将被调用的程序自动纳入沙盘。

可惜，事与愿违…………



安装失败！看来AIS的沙盘还远未成熟。起码一些应该虚拟化的东西，比如临时文件夹等都没有虚拟化。

无奈，找了TW的绿色版，手动添加进虚拟列表，然后运行一下…………



没有红框~~~不解~~~

JP又尝试将winrar加入虚拟列表。加入的结果是令人崩溃的！加入虚拟列表后，无论在任何路径下，winrar都没有创建文件的权限了。右键选择“添加到xx.rar”总是弹出文件拒绝创建的提示。

尝试在虚拟模式下访问了几个毒网，在非虚拟模式下，avast!可以报警，在虚拟模式下访问毒网，avast!并不报警。但是安全性我想应该不用担心。

JP目前将explorer加入了虚拟列表。不过因为explorer是已经在运行的进程了。所以它可能无法被avast捕获。我想待会儿等我重启虚拟机以后，再看看结果，目前看极有可能出错！！

重启回来，很有趣的事情发生了。系统并没有崩溃，因为explorer被添加到了虚拟列表中，so~~





整个的桌面环境都进入了虚拟状态，所有的程序，比如winrar，TW的安装文件等，都会因为explorer的关系而自动变成虚拟运行状态。由此可以证明：avast!的沙盘虽然还不够完善，但是沙盘最重要的基本功能——“继承”已经具备了。这是个让人满意的结果…………

点评一下：avast!的Process Virtualization目前只具备一个雏形，除了浏览器以外，现在其它的程序运行在虚拟模式下都无法正常工作。而浏览器虽然工作正常，但是会因为虚拟模式而导致浏览速度非常非常非常慢。但是，我相信，后续avast!官方会继续丰富和完善这个功能。沙盘的加入将会为avast!为用户带来什么，值得我们期待！

[ 本帖最后由 jpzy 于 2009-11-28 21:13 编辑 ]

jpzy

防火墙模块：

一直以来，防火墙都是JP非常感兴趣的部分。avast!首次发布了带防火墙的版本，JP自然不能放过一探究竟的机会。

先来看看设置里面的东西：



无规则的进程默认是自动判断的。下面的“总和检查”，JP实在不知道啥意思。也没法猜测…………



自动判断可以修改成“允许”，“拦截”和“询问”。允许状态只限于不想使用avast!防火墙的情况下，否则安全性无法得到保证。不过话说，avast!是可以自定义安装的，如果不用，恐怕也不会装吧。所以，允许还是尽量不要使用。拦截状态非常有用。如果用户已经将所有自己使用的程序的规则都创建完了，不妨选择拦截。这样，安全性将非常高。询问状态适合喜欢控制程序联网的用户和弹窗控……不放心avast的自动判断那就选择询问，自己做主吧。

囧~~~本来我想截个网络访问询问提示框的，结果发现，在我这里，“自动判断”怎么也改不成“询问”，待会儿重启再试试。



网络连接窗口，前面我们已经见识过了。窗口的右侧上部有三个选项，如果全部勾选，那么每个进程的所有详细连接信息都会显示出来。很清楚。不过这个一般用户用不着~~~



这就是应用程序规则列表了。程序的规则都可以在这里看到。选中一个规则，可以看到，这里能够指定程序具备什么样的访问权限。在下面还能指定端口~~



访问策略这里非常有趣。avast!将访问级别分为5级。分别是：“好友传出”、“好友传入/传出”、“因特网传出”、“好友传入和因特网传出”、“因特网传入/传出”。这个好友应该是个白名单吧。不过没看到在哪里指定…………调整起来非常方便，直接点击橙色的等级标示就可以了。





指定端口这里，没有具体的协议（比如TCP，UDP），我尝试了用1024-5000这样的端口段来写，但是看不出效果。不知道是否支持端口段。即使支持，对于迅雷，QQ这样使用多个端口的工具，不知道如何定义才能满足要求。这里看来，跟专业的防火墙相比，avast!的防火墙显得非常简陋。不过自动判断基本不需要用户交互，使用起来非常方便。



另外还有一个功能。就是页面底部的新组别。不过avast!的组别只是便于分类而已，并不具备组规则，跟jetico这样的专业防火墙差别真的很大。

新应用程序规则允许用户添加一个程序到网络列表中来，默认是第三级权限——“因特网传出”。这个基本没用。在打开自动判断的情况下，任何程序的联网都可以交给avast!自己来判断，不需要用户手动添加。在拦截模式下可能有点用！

点评一下：跟专业的防火墙相比，avast!防火墙的功能显得非常简陋和可怜。能够自定义的部分非常非常少，而且能够自定义的功能也非常简单。无法满足用户对联网程序细致控制的要求。但是换个角度来看，avast!的防火墙非常的简单，默认条件下并不需要用户参与就能够工作的很好，而且，目前有些功能似乎还没有完善。对于防火墙部分，我觉得大家也不用期待太高，毕竟这不是avast!的专长。锦上添花固然好，即使这个模块不尽如人意，我们也可以自己搭配其它更专业的防火墙（何况免费版根本没有这个模块）。

[ 本帖最后由 jpzy 于 2009-11-28 21:18 编辑 ]

jpzy

其它测试：

任务管理器结束进程测试：



三个进程都无法用任务管理器结束。后续如果需要，或者时间允许，我会继续使用其它工具测试一下。

监控测试（相当于扫描测试）：



解压某个毒包。很老~~~之所以选择它是因为后续的病毒测试包全都加了密码，而我懒得翻帖找密码。



剩余文件。个人认为这15个文件里面有几个是干净文件。因为很多安软都不报其中的几个。这是几个月以前的很老的毒包了，相信都有人上报过~~

（此处不代表avast的具体能力，请不要将测试的结果和能力联系在一起）



刚刚做沙盘内外访问同一毒网的测试的时候截取的脚本防护的报警。看来脚本防护还是工作的，并且不需要设置~~~

[ 本帖最后由 jpzy 于 2009-11-28 20:50 编辑 ]

jpzy

总结：

一晚上的测试，有惊喜，有失望。不过总的来说，JP觉得还算对得起自己花费的这些时间。就像我之前说过的，avast!5.0并不是4.8的简单升级，而是完全全新的架构。对比一下5.0和4.8就会发现，他们之间完全的不同。
作为5.0的完整版本，AIS beta版的发布，标志着avast!5.0的研发和测试进入了一个新的阶段。从测试中可以看出，之前Free版的所有组件，除了神秘的行为防护以外，都基本上稳定了，而新加入的几个模块：Process Virtualization，防火墙则显得还不够成熟。估计官方下一步的主要测试和研发工作将围绕这几个模块展开了。
AIS的这第一个beta版本，虽然在各个方面还远远达不到成熟的程度，仅仅是个雏形，但是它展示出来的前景却极为美好。反病毒，反间谍，防火墙，网页防护，网络防护，脚本防护，行为防护，沙盘，反垃圾邮件……这些模块组合在一起，将成为一个完善的防护体系。再加上小a原本非常优秀的引擎设计，不低的病毒检出率，avast!的明天将会非常的美好。现在，我们能做的，就是帮助avast!官方尽快的修复bug，增强功能，期待avast!5.0这个雏鸟，有一天能够振翅九天，一鸣惊人！

[ 本帖最后由 jpzy 于 2009-11-28 21:06 编辑 ]

jpzy

终于写完了。一边写一边测试~~~好累啊~~~

1楼大家可以随便看看。2，3楼才是主要内容所在！

王子带着刀

占楼慢慢看 等了好久了


不知为何小A在我电脑上 主进程物理总在35M以上

[ 本帖最后由 王子带着刀 于 2009-11-28 21:28 编辑 ]

andyparallel

你好快，第一个～～～我也来抢楼了 前排插入！！哈哈  等正式版出来了  回家给台机用上～～

Thummer

从那个帖子进来的

懒惰宅猫

坐下来慢慢看