LV. 3
GP 36

【心得】介紹數款冷門防毒軟體 (2018.1.10 更新四筆)

樓主 桌上有海豚 OGS4427
GP57 BP-

作者標示-非商業性

本授權條款允許使用者重製、散布、傳輸以及修改著作,但不得為商業目的之使用。使用時必須按照著作人指定的方式表彰其姓名。

個人一時興起的分享文,內容如有不足之處還待補充。有關產品使用主觀評價等僅供參考。

文中產品偵測/誤判率,及防護能力會依用戶設定及系統情況有所差異,故不深入探討。

操作環境: Win7的64位元系統,4g記憶體

臺灣市場最常聽到的防毒大多就歐系二A (Avast, 紅傘)、前段班卡巴比特,以及國產趨勢跟美帝諾頓等。這些國際品牌除了是測試常客,各自也具備技術優勢與廣大愛用者。

其他不那麼知名的防毒哩? 接下來介紹的廠商你不一定聽過,但也不是省油的燈!

======分隔線======

Webroot SecureAnywhere : 簡稱WSA,一款基於雲的防毒軟體。附加HIPS、防火牆、身份防護、應用行為控制等功能,安裝前記得去官網申請試用金鑰,輸入後就有15天期限。



這傢伙有繁中版,覺得試用期太少的朋友可多留意官方不時舉辦的免費活動(一年授權)。



WSA常駐期間幾乎感覺不到存在。設定方面可調整啟發分析(Heuristic)層級,無特別需要者建議預設值就好:



他們在2010年11月收購了另一家知名雲端掃描器Prevx,目前WSA即是整合Prevx跟Webroot自家的技術Webroot® Intelligence Network如同卡巴的KSN,某台客戶端遭遇全新威脅時立即同步資料庫,其他電腦即可一併防堵。



網頁防護方面除了流量掃描,WSA還會安裝搜尋燈號評級的工具欄。需要注意的是被拉黑的網頁無法略過警告,若遭遇誤判請至設定排除


Webroot在檔案排除上相當聰明。如果你常用一些容易被誤判的妙妙工具,或擔心檔案被誤刪,加到排除後檔案會直接信任(包含略過掃描),要改變權限狀態也無腦簡單:


上圖均是用2602033098198832.exe這個樣本測試,可以看到改變權限的差異。綜合來說WSA適合不折騰黨,即使發生誤報也能快速排除,至於自帶的更多功能就留給有心人探索嚕。

======分隔線======

Ikarus: 體會奧地利的剽悍~以希臘神話中伊卡洛斯命名的中二防毒,曾經的HitmanPro 四天王(G-Data, Emsisoft, Ikarus, Bitdefender)掃描核心之一。



Ikarus本身也被網友戲稱妖刀,原因在於高偵測率下的大量誤判。據說2013前的版本(有待考究)集BD的deepscan、VBA的malwarescope和卡巴的not-a-virus等報法於一身,堪稱怪物...

官網可得知Ikarus主要客群是企業,旗下也有提供防毒引擎跟垃圾郵件過濾的OEM服務,我們只針對家庭版申請試用金鑰。



安裝時系統需要NET.Framework,完畢後便會跳出更新&掃描提醒。初次更新特徵庫挺久的,後續更新還算頻繁。(強迫症很難忍受他的圖標阿QAQ)



常駐時有約4個guardX行程在後台待命,偏低配的電腦執行掃描時可明顯感受延遲,而新版妖刀同樣延續傳統: 掃瞄速度緩慢



可調整貝葉斯過濾等級的反垃圾郵件設定...這在一般防毒裡鮮少看過,如果你不常收到垃圾郵件應該用不到。

令人意外的是,身為付費防毒的Ikarus卻沒有防火牆、網頁防護等功能...(蛤?),因此大部分防堵手段就落到RTP(即時防護)的身上。身負妖刀之名下載監控自然沒在跟你543。



Ikarus一直以來的誤報率相當感人,因此官方採取將排除往前挪的"事先隔離"措施,私心認為此舉值得讚賞。(跟被收購前的AVG很像)

一般防毒偵測到威脅時會: 立即刪除物件 - 備份至隔離區,妖刀則是: 不更動檔案並封鎖存取 - 提醒用戶處理。就算某個正常程式的組件被誤判成威脅,用戶操作前檔案也不會因隔離而改變位置。你可以選擇忽略、刪除或備份檔案後刪除,相當彈性。

鑑於本身的特殊體質,這把西方妖刀不推薦一般用戶使用。然而就像雅量說的:「無論怎樣的商品自然有人喜歡,所以不怕賣不出去。」或許能駕馭妖刀的勇者就4你也說不定!?

======分隔線======

Vipre: ThreatTrack公司出品的美帝防毒,這間公司以開發安全工具為主。例如CounterSpy反間諜軟體,iHateSpam郵件過濾和CWSandbox (現在的ThreatAnalyzer) 自動沙箱。

網友常稱呼Vipre為蝰蛇,一來是Vipre和Viper (毒蛇)拼寫很相似,二來其過去的Logo是一條蛇。(以毒攻毒的概念??) 2017年起,旗下的家用Antivirus 及 Internet Security Pro 已整合成擁有完整保護功能的 Advanced Security。


能換界面顏色的Metro風格介面,時間線跟組件狀態一目了然,功能分成防毒、防火牆、電子郵件及隱私四大類。雖然安裝包只有6mb,但主程式安裝過程久得天荒地老...



常駐占用不高,但掃描時CPU有些吃重,此外舊版本網頁防護卡網的問題已顯著改善。
內建的AAP(進階活動控制)來自OEM廠商比特的AVC主防~ (鬼畜ATC前身)

防火牆還包含一個自訂HIPS模組,規則集沿用開源軟體Snort的入侵簽名,用戶可依需求訂閱/變更設定。需注意的是預設情況下HIPS只會阻擋高優先級威脅,建議可將中低優先級從允許改為阻擋並提示!


新版Vipre偵測到威脅時大多是Virus.Generic(病毒事件),然而背後的報毒法可謂相當多元...例如隔離區物件名稱可看出使用BD的病毒庫。

個人本著吃飽太閒的精神,整理了一些Vipre曾出現報法:



1. Gen.Suspicious.Cloud.1雲報法 - 新版加入BitDefender的OEM引擎
2. 病毒名 (fs) - 針對PUP的特定檢測 ,有時會加上 not malicious
3. 病毒名.Win32.Generic!BT - 通用風險,涵蓋基於簽名,啟發式或行為檢測的報法
4. Remote-Access.Win32.病毒名 - 潛在隱私違規 (例如遠端存取)
5. 病毒名.Win32.變種字母-代號  - 針對流行病毒的廣譜,例如5105d86f對應ZvuZona,29358fef則是BrowseFox (CYREN的Eldorado引擎)

Vipre透過阻止危險URL來防止約八成的惡意軟體,雖然仍有少數經修改樣本(雙後綴+空填充刷新MD5) 能躲過第一關下載,但其他防護模組很快地在隨後攔下。 (在想是否與僅掃描特定副檔名有關,有待路過大神補充)


Vipre這次把所有技術整合在單一產品,脫離分級銷售的制度下提供更便宜的價格,種種舉動不難看出搶食家用市場的決心。儘管整體防護能力不賴,但在漏洞防禦方面還有待進一步評估。(如有更好的測試方法煩請賜教,甘溫)

======分隔線======

Huorong: 火絨安全軟體來自北京。由瑞星 (沒錯就是那隻獅子)前CTO劉剛成立於2011年9月,旗下實驗室為其他廠商提供威脅情報和OEM等服務。它也是本篇中唯一的免費,少數具備自訂HIPS配置瑞士刀

除了佔用資源極少外,火絨最為人稱道的即是管理程序操作/執行的規則集。詳細編寫方法可以參考這裡官方論壇,懶人先用卡飯舊圖頂個~


其看家本領依藉規則阻止特定程式存取重要文件、登錄等來起到保護作用。針對以下三點:

1. 檔案(包括文件夾)不被更動(建立、讀取、寫入、刪除)
2. 阻止登錄檔編輯
3. 阻止指定程序啟動 (如上圖文件保護中,全家桶流氓的鏈式啟動)


執行控制裡也提供預設的BB(行為攔截)選項,符合規則者均視為非法操作並提醒阻止。下圖測試中以cmd.exe(命令提示字元)添加一個新的用戶帳號,成功觸發規則。



RTP方面可調整檔案掃描時機,另外自新版開始加入勒索陷阱功能。(類似CyberReason 的RansomFree,透過建立隱藏隨機檔名文件來探測勒索活動),有待進一步測試。


與其他對岸防毒不同的是,火絨沒有任何OEM或"華麗酷炫"的雲端分析。

這傢伙靠自家的Cobra引擎跟HVM來坦,例如下方的Locky樣本報毒即是HVM的偵測結果,官人白皮書中將它定義成行為沙盒?? (不時會與虛擬機衝突,有待考證)。


身為卡飯常客,火絨勢必以內地特殊的威脅環境為生 (MBR邏輯鎖、吸費木馬及流氓等),對於全球主流威脅的偵測率尚嫌不足。


軟體自帶的小工具可依需求下載。其中火絨劍是款類似PCHunter的安全工具,在手工清除較頑固的病毒時相當有用。


總結: 目前火絨仍屬起步階段,在對岸個人防毒市占率(奇虎/金山/騰訊) 壟斷的情況下除了另闢徒徑,與主流營銷(廣告投放&全家桶)背道而馳理念下勢必淪為小眾市場



臃腫軟體當道的現今,用戶常被強行安裝自己不想要的軟體(PUP)。趕上趨勢的免費軟體為了打平收益只好轉而投放廣告,甚至暗中出賣個人資料牟利,而火絨的出現恰好與娛樂化發展/臃腫化的安全廠商形成強烈對比

**感謝你的閱讀,首次長文就獻給巴哈電應拉,看想到啥再補充**


57
-
未登入的勇者,要加入討論嗎?
板務人員:

1318 筆精華,06/25 更新
一個月內新增 1
歡迎加入共同維護。


face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】