ㄚ一
2007-10-28, 07:48 PM
此篇報告原本其實在兩個禮拜前就可以出爐了
圖片之類的東西其實老早就完成了,但一直沒有時間好好坐下來寫評語
因為年關將至,最近都在一直忙著賺錢,所以耽誤了一點時間
過了年中後,各大廠商陸陸續續推出新一代的產品
07年F-Secure最新的2008版推出也好長一段時間了
介面上最大的變化除了支援簡/正體中文外,跟舊版幾乎一模一樣
從今年年初開始,F-Secure就開始在技術預覽版的測試中裡加入了中文支援
在這之前,要使用F-Secure的中文版只有遊戲橘子的線上安全達人這一個選擇
雖然是以前唯一的正式中文版,但一直沒有更新,用的是很老的2006版核心
後來F-Secure Client Security推出後,官方才真正的正式支援正/簡體中文
跟以前一樣,F-Secure還是多引擎的防毒軟體,但多了些變化
它有多重的緝毒核心引擎,從最早的雙緝毒引擎,到現在的2008增加為七個引擎
大部分的情況下偵測率會好過KAV一些,雖然引擎增加了
但是卻不會因此增加I/O的頻率,因為多出的引擎一般很少在作用
除非觸動到最底層的System Control,這樣它才會有反應!
下面就讓我從新說明一下F-Secure的引擎說明
F-Secure七武器:
1.AVP
這是來自於Kaspersky的緝毒引擎,F-Secure主要是以KAV的引擎為主其它引擎為輔
相較於其他廠商,F-Secure跟Kaspersky的關係向來要好過其它廠商,因為除了OEM的版本
其它使用AVP引擎的廠商只有F-Secure用的比較新,為6.0版本的引擎
例如AVK它也只用AVP 5.0的引擎而已
2.Libra
在以前這是來自於冰島防毒軟體公司F-Prot的引擎,現在名字不變,但其實已經改成自家的引擎與毒庫
3.Orion
這是F-Secure自行研發的啟發式引擎,與AVP引擎不同在於他擁有登陸擋掃瞄的能力
4.Draco
主要功用是在於Spyware的偵查,來自LAVASOFT公司,LAVASOFT的產品相信大家一定都用過,那就是AD-Aware
5.Pegasus
Norman的SandBox引擎,用來作為F-Secure DeepGuard技術的基底,只有在病毒運行時看的出效果
平常不作用,所以不會增加無謂的I/O浪費
6.Gemini
也是F-Secure的啟發式引擎,也是DeepGuard技術後盾之一
7.BlackLight
F-Secure自己的AntiRootkit引擎,用來偵測額外的Rootkit
有自己的一份特徵庫
主畫面
跟往常一樣,但開啟速度較2007版快
http://i126.photobucket.com/albums/p97/yanzilme/fis_main.png
還是跟往常以樣沒有什麼差別
http://i126.photobucket.com/albums/p97/yanzilme/fis_main_1.png
以前介紹的都是單純的"防毒軟體",這次的FIS 2008有包含一個網路防火牆,稍後有簡單的測試
http://i126.photobucket.com/albums/p97/yanzilme/fis_main_2.png
反垃圾郵件功能,對於Web Mail當道的現在需求沒以往那麼強烈了
http://i126.photobucket.com/albums/p97/yanzilme/fis_main_3.png
更新資訊,現在都改成中文了,可以更方便使用者查看
http://i126.photobucket.com/albums/p97/yanzilme/fis_main_4.png
System Control
這是F-Secure對付Zero Day Attack很有用的功能
跟Kaspersky的PDM一樣都是用來防範特徵庫以及傳統啟發無法偵測的病毒
也是保護你電腦安全的最後一道牆
http://i126.photobucket.com/albums/p97/yanzilme/17-459-3669_33-1.jpg
(以上圖片取材自F-Secure.com)
系統控制就是SystemControl
設定上"封鎖所有ActiveX的執行"一般建議不選取
因為雖然有些網頁利用ActiveX來攻擊你的電腦,但關閉ActiveX會使某些網頁無法順利執行
台灣某些銀行就有使用ActiveX技術,一旦禁用你將無法正常操作銀行提供的線上服務
再來就是"對系統修改嘗試執行的動作"
建議一般照預設既可,第一個選項"要求許可"是所謂的專家模式
"自動"這一項不建議使用,因為此模式嚴重缺乏智能,不如同類型Panda的Truprevent技術
http://i126.photobucket.com/albums/p97/yanzilme/fis_08_sc_set.png
簡單的操作示範
隨便執行一個病毒樣本,系統控制會警告你發現修改
http://i126.photobucket.com/albums/p97/yanzilme/fis_08_sc_1.png
按詳細資料,看看這個病毒對你的系統做了些什麼事情,並參考風險評分來幫助你做判斷
http://i126.photobucket.com/albums/p97/yanzilme/fis_08_sc_2.png
有些時候病毒的行為處碰到了DeepGuard的底線
它會自動幫你阻擋,然後在桌面的角落彈出氣泡告訴你攔截了某程式
http://i126.photobucket.com/albums/p97/yanzilme/fis_08_sc_3.png
當你按下氣泡訊息呈現藍色字體的"應用程式以拒絕..."就會開啟攔截說明
告訴你它是憑什麼自動攔截了這個程式
http://i126.photobucket.com/albums/p97/yanzilme/fis_08_sc_4.png
開啟應用程式清單後,你可以在這邊改變程式要放行還是攔截
http://i126.photobucket.com/albums/p97/yanzilme/fis_08_sc_5.png
測試
以下是AKLT的KeyLogger簡單測試,這個部分表現普通,fail項目共有三項
http://i126.photobucket.com/albums/p97/yanzilme/FIS_AKL_1.png
發現hook的行為
http://i126.photobucket.com/albums/p97/yanzilme/FIS_AKL_2.png
LeakTest
F-Secure的防火牆做的很簡單
但是卻很強悍,跟Comodo FW一樣不用太多預設規則就能夠兼顧防護以及程式相容性
http://i126.photobucket.com/albums/p97/yanzilme/fis_ru_1.png
先來個舊版2007就可以過的AWFT
此測試2008的表現跟舊版一樣,這項測試Pass依舊沒有問題
http://i126.photobucket.com/albums/p97/yanzilme/fis_lt_1.png
發現寫入記憶體,不過這部分跟LeakTest無關,我放行讓它繼續執行測試
http://i126.photobucket.com/albums/p97/yanzilme/fis_lt_2.png
得10分,滿分10分
http://i126.photobucket.com/albums/p97/yanzilme/fis_lt_3.png
Other Tests:
CPIL
PCFLAN
AWFT
RUNNER
Breakout2
OSfwbypass
AKLT:2/3
資源佔用調查:
F-Secure安裝前的記憶體佔用
http://i126.photobucket.com/albums/p97/yanzilme/fis_ins_b4.png
F-Secure安裝後的記憶體佔用
http://i126.photobucket.com/albums/p97/yanzilme/fis_08_ins_aft.png
全機掃瞄時的CPU使用情形(C2D E6300@3G)
http://i126.photobucket.com/albums/p97/yanzilme/fis_08_cpuser.png
記憶體佔用情形
http://i126.photobucket.com/albums/p97/yanzilme/fis_ramuser.png
進程資訊
http://i126.photobucket.com/albums/p97/yanzilme/fis_pe.png
結論:
F-Secure又有顯著的進步了,最明顯的地方在於資源方面的控制
又比舊版更高明了一些,開機速度程式反應跟病毒掃瞄的速度都明顯更快了
尤其是病毒掃瞄的速度遠遠超越了KAV!F-Secure的目前掃瞄速度算是稱得當一等一的快
喜歡常常掃瞄自己系統的人,或者是你硬碟資料有上百G的使用者可以來試試看
它的防火牆略比2007好上一點,因為2008版它在Breakout2這項Pass!
這是舊版過不了的一項測試,雖然進步不多,但F-Secure至少沒有原地踏步
還算是個值得高興的地方
在測試SystemControl的時候
在KeyLogger這項,全部共有五個測試
其中有一項測試SystemControl有跳警示
但實際上F-Secure沒有成功攔截,監控的API似乎還有增加的空間
使用F-Secure測試病毒樣本的時候如果你當場解壓縮成千上萬的樣本
這時候由於監控開啟的關係,你必須一直針對偵測到的樣本做動作的決定
無法套用設定至相同累行的樣本,所以這個地方我建議可以在設定的部分
將即時監控的預設處理方式由"詢問要做什麼"改成"自動殺毒"或"自動刪除"
這裡的"自動殺毒"意思就是一般我們口語化的"解毒"把被感染的檔案還原成為感染前的狀態
中文版的F-Secure的翻譯水準真的有待加強,話不通順言也不及意
HOOK一般中文比較常用"勾子"或"掛勾"表示,"勾點"這種中文的寫法
我第一次看到時我還看不懂它的意思是什麼,後來改灌回英文版才曉得原來它說的是HOOK...
奇怪至極的翻譯就有如翻譯軟體翻的一樣古怪
從以前到現在我最推崇的三套防毒軟體分別是F-Secure,Panda以及KAV
一般我都推薦Panda給完全不懂電腦的人,全部讓Panda自己處理
因為Panda它只會有氣泡提示,不需要使用者操作,免去了一般人對防毒軟體的恐懼
而且正版用戶都可以享有超快速的線上救援服務,幾個鐘頭內官方就可以幫你解決問題
KAV我則很少推薦人使用,因為要把KAV用的好你必須弄懂PDM以及FireWall的精隨
並且自訂規則,如果無法做到上述,那還是改用Panda我想會對你系統的保護會更完善
而我推薦F-Secure的理由很簡單,因為它的DeepGuard帶有簡單的智能判斷
不會像KAV的PDM一樣發現行為就警告,哪怕是合法的行為也讓很多人不知所措
現在有很多針對KAV的病毒產生,如果你制定的規則不嚴密,被突破是常有的事
換用F-Secure的話這類的困擾遇到的機會就很少了
整體來說F-Secure依舊是高水準的演出,因為它滿足了高階以及中低階層的用戶
尤其是System Control操作起來還蠻像SNS,只是智能化仍然不足
但如果配合風險評分我想應該可以幫助到不少人做判斷
優點:
1.系統資源佔用降低了
2.比舊版還不拖系統性能
3.防火牆略為增強
4.終於有了中文介面
缺點:
1.系統資源佔用還是不少
2.DeepGuard進步不明顯
3.病毒處裡方式還有待改進
4.中文介面翻譯詞彙非常古怪
下回預告:GDATA TotalCare 2008
GDATA 08年最新產品,不同於以往的AVKIS安全套裝,GDTC除了包括AVKIS的所有功能外
還加入了家長控制,以及備份等功能,是類似於Norton 360及McAfee Total Protection的新產品
在大陸售價1000RMB的GDATA TotalCare 2008到底有什麼獨到之處呢?
我將在下回分揭曉,敬請期待!
http://i126.photobucket.com/albums/p97/yanzilme/gdtc_info.png
贊助商連結
圖片之類的東西其實老早就完成了,但一直沒有時間好好坐下來寫評語
因為年關將至,最近都在一直忙著賺錢,所以耽誤了一點時間
過了年中後,各大廠商陸陸續續推出新一代的產品
07年F-Secure最新的2008版推出也好長一段時間了
介面上最大的變化除了支援簡/正體中文外,跟舊版幾乎一模一樣
從今年年初開始,F-Secure就開始在技術預覽版的測試中裡加入了中文支援
在這之前,要使用F-Secure的中文版只有遊戲橘子的線上安全達人這一個選擇
雖然是以前唯一的正式中文版,但一直沒有更新,用的是很老的2006版核心
後來F-Secure Client Security推出後,官方才真正的正式支援正/簡體中文
跟以前一樣,F-Secure還是多引擎的防毒軟體,但多了些變化
它有多重的緝毒核心引擎,從最早的雙緝毒引擎,到現在的2008增加為七個引擎
大部分的情況下偵測率會好過KAV一些,雖然引擎增加了
但是卻不會因此增加I/O的頻率,因為多出的引擎一般很少在作用
除非觸動到最底層的System Control,這樣它才會有反應!
下面就讓我從新說明一下F-Secure的引擎說明
F-Secure七武器:
1.AVP
這是來自於Kaspersky的緝毒引擎,F-Secure主要是以KAV的引擎為主其它引擎為輔
相較於其他廠商,F-Secure跟Kaspersky的關係向來要好過其它廠商,因為除了OEM的版本
其它使用AVP引擎的廠商只有F-Secure用的比較新,為6.0版本的引擎
例如AVK它也只用AVP 5.0的引擎而已
2.Libra
在以前這是來自於冰島防毒軟體公司F-Prot的引擎,現在名字不變,但其實已經改成自家的引擎與毒庫
3.Orion
這是F-Secure自行研發的啟發式引擎,與AVP引擎不同在於他擁有登陸擋掃瞄的能力
4.Draco
主要功用是在於Spyware的偵查,來自LAVASOFT公司,LAVASOFT的產品相信大家一定都用過,那就是AD-Aware
5.Pegasus
Norman的SandBox引擎,用來作為F-Secure DeepGuard技術的基底,只有在病毒運行時看的出效果
平常不作用,所以不會增加無謂的I/O浪費
6.Gemini
也是F-Secure的啟發式引擎,也是DeepGuard技術後盾之一
7.BlackLight
F-Secure自己的AntiRootkit引擎,用來偵測額外的Rootkit
有自己的一份特徵庫
主畫面
跟往常一樣,但開啟速度較2007版快
http://i126.photobucket.com/albums/p97/yanzilme/fis_main.png
還是跟往常以樣沒有什麼差別
http://i126.photobucket.com/albums/p97/yanzilme/fis_main_1.png
以前介紹的都是單純的"防毒軟體",這次的FIS 2008有包含一個網路防火牆,稍後有簡單的測試
http://i126.photobucket.com/albums/p97/yanzilme/fis_main_2.png
反垃圾郵件功能,對於Web Mail當道的現在需求沒以往那麼強烈了
http://i126.photobucket.com/albums/p97/yanzilme/fis_main_3.png
更新資訊,現在都改成中文了,可以更方便使用者查看
http://i126.photobucket.com/albums/p97/yanzilme/fis_main_4.png
System Control
這是F-Secure對付Zero Day Attack很有用的功能
跟Kaspersky的PDM一樣都是用來防範特徵庫以及傳統啟發無法偵測的病毒
也是保護你電腦安全的最後一道牆
http://i126.photobucket.com/albums/p97/yanzilme/17-459-3669_33-1.jpg
(以上圖片取材自F-Secure.com)
系統控制就是SystemControl
設定上"封鎖所有ActiveX的執行"一般建議不選取
因為雖然有些網頁利用ActiveX來攻擊你的電腦,但關閉ActiveX會使某些網頁無法順利執行
台灣某些銀行就有使用ActiveX技術,一旦禁用你將無法正常操作銀行提供的線上服務
再來就是"對系統修改嘗試執行的動作"
建議一般照預設既可,第一個選項"要求許可"是所謂的專家模式
"自動"這一項不建議使用,因為此模式嚴重缺乏智能,不如同類型Panda的Truprevent技術
http://i126.photobucket.com/albums/p97/yanzilme/fis_08_sc_set.png
簡單的操作示範
隨便執行一個病毒樣本,系統控制會警告你發現修改
http://i126.photobucket.com/albums/p97/yanzilme/fis_08_sc_1.png
按詳細資料,看看這個病毒對你的系統做了些什麼事情,並參考風險評分來幫助你做判斷
http://i126.photobucket.com/albums/p97/yanzilme/fis_08_sc_2.png
有些時候病毒的行為處碰到了DeepGuard的底線
它會自動幫你阻擋,然後在桌面的角落彈出氣泡告訴你攔截了某程式
http://i126.photobucket.com/albums/p97/yanzilme/fis_08_sc_3.png
當你按下氣泡訊息呈現藍色字體的"應用程式以拒絕..."就會開啟攔截說明
告訴你它是憑什麼自動攔截了這個程式
http://i126.photobucket.com/albums/p97/yanzilme/fis_08_sc_4.png
開啟應用程式清單後,你可以在這邊改變程式要放行還是攔截
http://i126.photobucket.com/albums/p97/yanzilme/fis_08_sc_5.png
測試
以下是AKLT的KeyLogger簡單測試,這個部分表現普通,fail項目共有三項
http://i126.photobucket.com/albums/p97/yanzilme/FIS_AKL_1.png
發現hook的行為
http://i126.photobucket.com/albums/p97/yanzilme/FIS_AKL_2.png
LeakTest
F-Secure的防火牆做的很簡單
但是卻很強悍,跟Comodo FW一樣不用太多預設規則就能夠兼顧防護以及程式相容性
http://i126.photobucket.com/albums/p97/yanzilme/fis_ru_1.png
先來個舊版2007就可以過的AWFT
此測試2008的表現跟舊版一樣,這項測試Pass依舊沒有問題
http://i126.photobucket.com/albums/p97/yanzilme/fis_lt_1.png
發現寫入記憶體,不過這部分跟LeakTest無關,我放行讓它繼續執行測試
http://i126.photobucket.com/albums/p97/yanzilme/fis_lt_2.png
得10分,滿分10分
http://i126.photobucket.com/albums/p97/yanzilme/fis_lt_3.png
Other Tests:
CPIL
PCFLAN
AWFT
RUNNER
Breakout2
OSfwbypass
AKLT:2/3
資源佔用調查:
F-Secure安裝前的記憶體佔用
http://i126.photobucket.com/albums/p97/yanzilme/fis_ins_b4.png
F-Secure安裝後的記憶體佔用
http://i126.photobucket.com/albums/p97/yanzilme/fis_08_ins_aft.png
全機掃瞄時的CPU使用情形(C2D E6300@3G)
http://i126.photobucket.com/albums/p97/yanzilme/fis_08_cpuser.png
記憶體佔用情形
http://i126.photobucket.com/albums/p97/yanzilme/fis_ramuser.png
進程資訊
http://i126.photobucket.com/albums/p97/yanzilme/fis_pe.png
結論:
F-Secure又有顯著的進步了,最明顯的地方在於資源方面的控制
又比舊版更高明了一些,開機速度程式反應跟病毒掃瞄的速度都明顯更快了
尤其是病毒掃瞄的速度遠遠超越了KAV!F-Secure的目前掃瞄速度算是稱得當一等一的快
喜歡常常掃瞄自己系統的人,或者是你硬碟資料有上百G的使用者可以來試試看
它的防火牆略比2007好上一點,因為2008版它在Breakout2這項Pass!
這是舊版過不了的一項測試,雖然進步不多,但F-Secure至少沒有原地踏步
還算是個值得高興的地方
在測試SystemControl的時候
在KeyLogger這項,全部共有五個測試
其中有一項測試SystemControl有跳警示
但實際上F-Secure沒有成功攔截,監控的API似乎還有增加的空間
使用F-Secure測試病毒樣本的時候如果你當場解壓縮成千上萬的樣本
這時候由於監控開啟的關係,你必須一直針對偵測到的樣本做動作的決定
無法套用設定至相同累行的樣本,所以這個地方我建議可以在設定的部分
將即時監控的預設處理方式由"詢問要做什麼"改成"自動殺毒"或"自動刪除"
這裡的"自動殺毒"意思就是一般我們口語化的"解毒"把被感染的檔案還原成為感染前的狀態
中文版的F-Secure的翻譯水準真的有待加強,話不通順言也不及意
HOOK一般中文比較常用"勾子"或"掛勾"表示,"勾點"這種中文的寫法
我第一次看到時我還看不懂它的意思是什麼,後來改灌回英文版才曉得原來它說的是HOOK...
奇怪至極的翻譯就有如翻譯軟體翻的一樣古怪
從以前到現在我最推崇的三套防毒軟體分別是F-Secure,Panda以及KAV
一般我都推薦Panda給完全不懂電腦的人,全部讓Panda自己處理
因為Panda它只會有氣泡提示,不需要使用者操作,免去了一般人對防毒軟體的恐懼
而且正版用戶都可以享有超快速的線上救援服務,幾個鐘頭內官方就可以幫你解決問題
KAV我則很少推薦人使用,因為要把KAV用的好你必須弄懂PDM以及FireWall的精隨
並且自訂規則,如果無法做到上述,那還是改用Panda我想會對你系統的保護會更完善
而我推薦F-Secure的理由很簡單,因為它的DeepGuard帶有簡單的智能判斷
不會像KAV的PDM一樣發現行為就警告,哪怕是合法的行為也讓很多人不知所措
現在有很多針對KAV的病毒產生,如果你制定的規則不嚴密,被突破是常有的事
換用F-Secure的話這類的困擾遇到的機會就很少了
整體來說F-Secure依舊是高水準的演出,因為它滿足了高階以及中低階層的用戶
尤其是System Control操作起來還蠻像SNS,只是智能化仍然不足
但如果配合風險評分我想應該可以幫助到不少人做判斷
優點:
1.系統資源佔用降低了
2.比舊版還不拖系統性能
3.防火牆略為增強
4.終於有了中文介面
缺點:
1.系統資源佔用還是不少
2.DeepGuard進步不明顯
3.病毒處裡方式還有待改進
4.中文介面翻譯詞彙非常古怪
下回預告:GDATA TotalCare 2008
GDATA 08年最新產品,不同於以往的AVKIS安全套裝,GDTC除了包括AVKIS的所有功能外
還加入了家長控制,以及備份等功能,是類似於Norton 360及McAfee Total Protection的新產品
在大陸售價1000RMB的GDATA TotalCare 2008到底有什麼獨到之處呢?
我將在下回分揭曉,敬請期待!
http://i126.photobucket.com/albums/p97/yanzilme/gdtc_info.png
贊助商連結