供稿种子COMODO Internet Security和其他防火墙抗泄漏(Leak Test)成绩 更新!
还记得之前说的那个新的打包成一坨的Leak Test程序么?满分340分…不知道大家测试了自己的防火墙之后感觉如何?都是多少分呢?
今天去COMODO的论坛转了一圈,有了个号召大家贴出来各种防火墙成绩的帖子,现在来看有这么些:
Product Result
Comodo Internet Security ——————->340/340
Agnitum Outpost Firewall Pro —————>250/340
ZoneAlarm Pro Firewall ———————>220/340
ZoneAlarm Free Firewall ———————>40/340
Kaspersky Internet Security ————>230-290/340
Online Armor Personal Firewall ———>290-340/340
Online Armor Free ———————>290-340/340
你觉得杀毒软件厂商的所在地是否影响它对新病毒的反应和处理速度?
我记得很久很久以前,可能是8到10年前吧,电脑杂志上经常出现各种杀毒软件的广告(大多数是国产的,比如VRV,Kill,还有某三,当然,一开始是某二),其中有相当一部分标榜的是它的技术有多么先进(这是废话…),多么”广谱”,多么查杀未知病毒以及很重要的一点:本土杀软对本土病毒的处理以及反应速度绝非其他厂商可比。
在当年甚至更早前的环境中来看,可能确实是这样。我们在机房或是家里能够遇上或是造成传染的病毒可能用不着屈指都数得过来,至少我在2000年以前也没怎么见过什么是病毒。有印象的只有CIH,还是在杂志上看到的。传播途径主要是什么呢?软盘?盗版的且很不专业的游戏?其他也就没什么了。在传播方式如此有限的情况下,我想,我们的土病毒确实在洋杀软那里可能真的会通行无阻,为何?因为没见过。
但是后来就不一样了。自从互联网普及了之后(我感觉普及就是那一瞬间的事儿…我在用那龟速的猫从教育网这边挣扎了无数次申请到的QQ号,想跟我的同学们交流交流,貌似没什么反响。当时大家还都关注于讨论某个单机的游戏),这乱七八糟的东西也就慢慢多了起来。从OICQ到QQ,它的号码位数的不断飙升,随之而来的就是国人对号码的特殊癖好导致的盗号的流行。然后这世界就变得”丰富多彩”了…
其实我有一点对某几个杀软非常不满,就是在实时监控方面的落后。我记得在某个厂商(好象是VRV?记不清了…)提出实时监控病毒防火墙之类的概念的时候,某二好像还醉心于扫描啊扫描….再后来,到了不用实时监控都不行的时候,才推出了类似的功能,唉~还有就是,在实现实时监控了之后,对通过浏览器进行的病毒传播和破坏根本无视(还有人记得万花谷这个东西么,当年因为它我也重装了两次系统- -|||)…
我觉得,在杀毒软件这部分盗版率还是挺低的,或者说曾经挺低的,至少我是买了好几个版本的正版的”精品”们…品质?反正”一个杀毒软件不可能对所有的病毒都能查杀”,怨也没地方怨啊…=。=
由于网络的发展,各种有害程序的快速传播也给杀毒软件厂商们的样本处理反应速度有了更高的要求。同时,也由于网络的发展,使得所谓有害程序的地域性越来越淡化了。外国的病毒们也会很快传播到我们这里,我们的东西也能去外面”开花”…有害程序的地域性没了,对于杀毒软件厂商(特别是大厂们),还有所谓的地域性么?对一个杀毒软件厂商而言,它要做的就是通过它的渠道收集有害程序(呵呵,突然想起某”全球监测网”之类的东西),处理用户上报的病毒等等。比如卡巴斯基,我上报一个样本的时候都是给Kaspersky.com的那个上报邮箱发送的,俄罗斯多远啊,这得多慢啊,一般都得用”高达”24小时内的时间来答复我。还有一些以服务取胜的厂商,比如熊猫,如果你上报的病毒是新病毒,为了及时解决用户的问题,它还会给用户专门的解决方案以及病毒库等等…你要做的只是汇报你的问题。地域性?对于一个大的厂商来说,哪儿的有害程序不是有害程序?与之相对照的,有些厂商对用户上传的样本就能做到由于是本地用户上报就优先解决并快速处理么?据我自己的经验来说,好像不是这么回事儿。所以,还是甭拿所谓本地化和厂商的所在地说事儿。就算它公司在你电脑旁边,处理不了的还是处理不了,本来能处理的你去了南北极它照样还是能处理。
为什么说这些呢?貌似这两天又热闹起来了…技术啊技术,拜托了,关注技术吧….
Anti-Malware Test Lab 2007-2008 俄罗斯反病毒市场分析
Anti-Malware Test Lab自上次发布多态病毒测试以来,好几个月都没有新的消息。今天去逛逛发现了一份07-08年的俄罗斯反病毒市场分析,在这和大家分享。
07年俄罗斯的反病毒软件市场规模是131,000,000美元,和06年相比增长94%。
Anti-Malware Test Lab 07年9月杀软自我保护测试
当今在对付有害程序的过程中,我们会发现越来越多的有害程序都将目标瞄准了我们的安全软件们,不管是杀毒
软件还是防火墙还是别的什么。它们采用各种手段试图终止/禁用/修改/劫持我们的安全软件们,试图让它们失去作用…这个时候,杀软除了要清除病毒外,更要保护自身组件和功能的完整性。这次测试就是对各杀软这项能力的考验。
参与测试产品/厂商:
- Avast! Professional Edition 4. 7
- Avira Premium Security Suite 7.0
- BitDefender Internet Security 10
- DrWeb 4.44
- ESET Smart Security 3.0
- F-Secure Internet Security 2007
- Kaspersky Internet Security 7.0
- McAfee Internet Security 2007
- Microsoft Windows Live OneCare 1.6
- Panda Internet Security 2007
- Sophos Anti-Virus 6.0
- Symantec Internet Security 2007
- Trend Micro PC-Cillin 2007
- VBA32 Antivirus 3.11
- ZoneAlarm Internet Security 7.0
测试平台:
Windows XP SP2
测试下列类型攻击:
- 修改文件/注册表键值访问权限
- 修改/移除组件
- 删除杀毒软件病毒库
- 修改/删除关键注册表键值
- 进程终止
- 修改进程/代码
- 卸载驱动
Anti-Malware Test Lab 07年10月活动感染处理测试
呵呵,这个有点意思…现在的杀毒软件们越来越注意防护了,为了防止机器被病毒感染,采用了各种各样的新技术,主动防御,启发等等…但是,当系统已经被病毒感染后,各个杀软对病毒的清除能力又有多强呢?哪个杀软能在不依赖其他工具的情况下将用户的受感染文件恢复呢?
这次测试的是:当有害程序已经执行且安装到电脑上,而且可能已经采取了各种方式来阻止杀毒软件探测和清除。这个时候,各个杀软如何应对这样的情况?
参与测试产品/厂商:
- Avast! Professional Edition 4.7.1029
- AVG Anti-Virus 7.5.476
- Avira AntiVir PE Premium 7.0
- BitDefender Antivirus 10
- Dr.Web Anti-Virus 4.33.3
- Dr.Web Anti-Virus 4.44.0.8030 beta
- Eset NOD32 Antivirus 2.70.39
- F-Secure Anti-Virus 2007 7.02.395
- Kaspersky Anti-Virus 7.0.0.125
- McAfee VirusScan 2007
- Panda Antivirus 2008
- Sophos Anti-Virus 6.5.7 R2
- Symantec Norton AntiVirus 2007
- Trend Micro Internet Security 2007
- VBA32 Antivirus 3.12.2.2
其中大多数我们估计都多少用过试过见过听说过吧?呵呵…
Anti-Malware Test Lab 2008年3月多态病毒测试
今天在卡巴斯基官方网站上发现了一个它参与的评测成绩页面,由此,继续顺藤摸瓜。今天介绍的是曾经在我的另一篇文章里提到过的Anti-Malware Test Lab测试。时间所限,今天先看最新的多态病毒部分。
关于多态病毒的知识,大家可以参考下又一篇文章。
如之前文章提到的,多态病毒可以算是最难检测的一类病毒了,因为它在每次感染电脑时都会改变它的”形态”,也就是会生成不同的样本。在面对多态病毒时,传统意义上的针对某特定病毒的杀毒软件特征码很容易因为病毒自身代码的改变而无法检出,由此也带来了严重的安全问题。所以对多态病毒的检测能力也反映了一个杀软开发者的技术实力,一般而言对于一个系列的多态病毒都会专门开发针对它的检测算法…当然,这年头,好像多态病毒并不多见了,”与其炫耀技术不如搞点钱”…
参与测试厂商:
- Agnitum Outpost Security Suite Pro 2008 (VirusBuster)
- Avast Professional Edition 4.7
- AVG Anti-Virus Professional Edition 7.5
- Avira Antivir Personal Edition Classic 7.06
- BitDefender Anti-Virus 2008
- DrWeb 4.44
- Eset Nod32 Antivirus 3.0
- F-Secure Anti-Virus 2008
- Kaspersky Anti-Virus 7.0
- McAfee VirusScan 2008
- Microsoft Windows Live OneCare 2.0 Pre-Release
- Panda Antivirus 2008
- Sophos Anti-Virus 7.0
- Symantec Anti-Virus 2008
- Trend Micro Antivirus plus Antispyware 2008
- VBA32 Workstation 3.12.6
AV-Comparatives 2008年2月测试结果的事儿…
本次测试是广大群众们最喜欢的On-Demand检出率测试,所有杀软病毒升级到2008年2月4日特征码且将杀软设置到最好的检出状态。
关于AV-Comparatives测试中各项术语解释及如何正确查看测试的结果,请点击我以前的这篇文章。
以下是参与本次测试的杀软厂商产品及版本:
avast! Professional Edition 4.7
AVG Anti-Malware 7.5
AVIRA AntiVir Personal Edition Premium 7.06
BitDefender Professional Plus 2008 11.0
eScan Anti-Virus 9.0
ESET NOD32 Anti-Virus 3.0
F-Secure Anti-Virus 2008 8.0
G DATA AntiVirusKit (AVK) 2008 18.0
Kaspersky Anti-Virus 7.0.1
McAfee VirusScan Plus 2008 12.0
Microsoft OneCare 2.0
Norman SS Antivirus & Anti-Spyware 7.0
Sophos Anti-Virus 7.0
Symantec Norton Anti-Virus 2008 15.0
TrustPort Antivirus Workstation 2.8.0
VBA32 Scanner for Windows 3.12.6
Myth about Kaspersky 这不是误报!如何正确理解主动防御的提示(5)
这是本系列文章的最终篇,稍早前的文章可以点击下面的链接访问:
Myth about Kaspersky 这不是误报!如何正确理解主动防御的提示(1)
Myth about Kaspersky 这不是误报!如何正确理解主动防御的提示(2)
Myth about Kaspersky 这不是误报!如何正确理解主动防御的提示(3)
Myth about Kaspersky 这不是误报!如何正确理解主动防御的提示(4)
Trojan.generic和Trojan.cryptor
Trojan.generic
1)我为什么会收到这条提示?
Trojan.generic是一个你在日常使用中经常看到的提示,特别是在安装软件的过程中。
这个行为探测是非常简单的,如果一个程序在另一个地方创建了一份它的副本然后将之注册为一个自动启动项,那么它会被识别为Trojan.generic。
大量的有害程序通过这个方法来将它们”安装”到电脑上。一些应用程序也有这样的行为,其中大多数是程序安装文件和可执行文件是同一个文件时。当然卸载动作也会导致这个提示出现,因为有些时候需要创建一个临时的可执行文件来在下次系统启动时移除某些部分。
2)我应该做什么?
可用的选项包括:
隔离:该进程会被终止,此文件会被移动到隔离区中。之后,一个回滚弹出提示会出现(回滚=。=也许说”恢复”好些…),点击”回滚”,那个应用程序做出的更改会被恢复。
终止:该进程会被终止,但是进程对应的可执行文件会还在原地待着^^
允许:放行该动作。
添加到信任区域:将该可执行文件添加到信任区域,下次这个提示就不会出现了。
一些分辨出现这个提示是否是正常的技巧:
如果出现这个提示的时候你正在安装/卸载应用程序,或者点击了软件中的”开机自动启动”(很多程序都有这个选项吧,大家应该很常见),那么十有八九这个提示是由这些动作导致的,你可以认为这个程序是安全的(当然,凡事皆有例外…)。点击”详细”链接,点击里面的”历史”选项卡会显示这个程序目前做出的其他动作以供你判断分析。
如果你确定这个程序是安全的,你可以将它添加到信任区域中,但如果那是个安装程序的话,你只会看到这个提示一到两次,所以选择”跳过”更合适些。
如果你不知道那个进程是什么,请从”历史”面板中找找,你可能会找到创建该进程的文件,并且它和安装的程序一致。如果你认为它是个有害程序,或者你不确定的话,将该文件隔离并按此帖指示上报分析。
Trojan.cryptor
1)我为什么会收到这条提示?
Trojan.cryptor是另一个常见的信息提示,但不如Trojan.generic那么容易重现。当一个程序试图加密某些数据时,该弹出窗口提示会出现。比如这样:
由于有有害程序会加密用户数据并勒索用户交钱才能提供解密密码,所以这个检测是非常重要的。
2)我应该做些什么?
可用的选项包括:
隔离:该进程会被终止,此文件会被移动到隔离区中。之后,一个回滚弹出提示会出现(回滚=。=也许说”恢复”好些…),点击”回滚”,那个应用程序做出的更改会被恢复。
终止:该进程会被终止,但是进程对应的可执行文件会还在原地待着^^
允许:放行该动作。
添加到信任区域:将该可执行文件添加到信任区域,下次这个提示就不会出现了。
在这里说个我们日常中常见的Trojan.cryptor提示,也是一个经常被当作所谓”误报”的提示:在我们首次启动QQ时(比如刚刚安装完成卡巴的时候),卡巴会对QQ报Trojan.cryptor,这说明QQ是有加密某些数据的动作,并非是说QQ就是”木马”,这点大家要注意哦~
这个行为机制非常复杂所以它的出现很难被重现(重现是分析问题的很关键步骤啊~呵呵)。也由于它的复杂,所以优化是可能的,比如在主动防御识别方式优化排除某些特定行为后曾经经常出现的某些弹出窗口不再出现。
不管是哪类的主动防御提示,如果你知道那个应用程序是可信的都可以添加到信任区域中来排除它,如果你不确定或是怀疑它是有害程序,可以按照此帖的指示上报分析。
截止到这里,全部内容结束了,以后还会写一些有关常用的杀软的使用方面的文章,希望大家多多关注哦。希望这些内容能够帮到你~
Myth about Kaspersky 这不是误报!如何正确理解主动防御的提示(4)
Invader和Invader(loader)
1)这什么东西?
从卡巴斯基6开始反病毒和互联网安全套装都装备了主动防御模块,它可以通过分析一个程序的行为来探测可疑的动作。Invader,是指对一个进程试图向另一个进程进行代码注入,那么它就是个Invader。它和PDM的程序行为分析中的”入侵到进程”选项相对应。Invader(loader)尽管和Invader名字差不多,但是它们的行为是不同的。它是试图将一个模块插入到另一个进程中(DLL注入)。这个和程序行为分析中的”Windows挂钩”选项相对应。
当这样的行为出现时,你会收到这样的弹出窗口提示:
Invader:
你可以做出的选择包括:
终止:阻止注入动作,有这个想法的进程会被终止^^
阻止:阻止注入动作,有这个想法的进程还继续运行
跳过:允许注入动作
添加到信任区域:将该程序添加到信任区域,以后就不会再对这个程序进行”invader”探测了
Invader(loader):
你可以做出的选择包括:
终止:阻止注入动作,有这个想法的进程会被终止^^
允许:允许注入动作
阻止:阻止注入动作,有这个想法的进程还继续运行
添加到信任区域:将该程序添加到信任区域,以后就不会再对这个程序进行”invader(loader)”探测了
2)那么我应该做些什么?
有Invader和Invader(loader)行为的程序是非常有限的,所以可以非常容易的识别出它。所以你可以通过搜索论坛或是搜索引擎来获得这个进程的详细信息。如果你发现这个程序是安全的,你可以添加它到信任区域中。
如果你怀疑它并不是安全的,你可以发送样本到newvirus@kaspersky.com或根据这个帖子的指导直接从卡巴斯基程序内进行上报。
3)几乎所有我用的应用程序都会导致这个提示出现
如果这种情况出现,肯定是哪儿有问题=。=比如程序冲突或是有有害程序存在。
以下是已知会导致这种情况出现的应用程序:
Windows美化程序比如Windows Blinds
遇到此类情况你可以禁用PDM中的选项或是卸载导致该问题出现的程序。在一些情况下这并不会造成你的安全性降低(比如COMODO防火墙也有注入行为监控)。
如果你实在搞不清楚,可以到支持论坛开个新帖求助。
PS:最后补充个大家可能会常见的出现Invader提示的时候,就是使用各种词典类程序,启动后或是试图取词时…呵呵…允许即可。
| 
最新评论