十年磨一剑---瑞星2011版测试总结

马上就要三十而立的TOM2000倾情奉献


“从正面看,是伟大的神(God);从反面看,是卑鄙小人(dog)。其实,人们所犯的罪恶(evil),反过来,正是为了活着(live)。”——换个角度很多事情便不一样。




我对瑞星2011版(一下简称2011)不乏赞美之词,毕竟瑞星能放下身段坐下来认真的倾听用户的建议并把这些建议呈现在产品中去。比如用户对2011版的界面褒贬不一,界面是否好看我们不去管它,毕竟没有多少人打开计算机就点开安全软件界面欣赏一番,但是2011版的界面易用性绝对是目前所有瑞星版本最好的,我曾经说过好东西不一定易用,但是易用的东西绝对是最普及的东西;同样最好用的安全软件只能是用户会用的安全软件。瑞星2011版的界面设计正是并称这个主旨设计的。


再说说杀毒工具条的复辟,这个在瑞星某个版本出现东西不知什么原因仅仅出在某个版本出现一次后就悄然消失了。但是说实话这个是一个非常棒的设计,因为用户通常右键查杀时都需要快速检测某个文件夹或文件包的安全性,这时安全软件耗费大量的资源重新调用安全软件主界面根本就没有必要,毕竟用户只需要直到查杀进度个查杀结果这些基本信息即可。而因为查杀工具条的设计即节约宝贵(现在可能高性能计算机不太关心了)系统资源,又能“言简意赅”的呈现用户关心的信息。非常欣喜的是在我们测试用户强烈建议下瑞星在2011版终于重新启用并增强查杀工具条。希望在瑞星2011正式发行的时候大家能喜欢的这个设置!


当然还有很多设计并没有实现,比如放弃方形/长方形界面启用不规则界面(比如卡通狮爪形),再比如将动画卡卡与瑞星查杀关联起来,通过对动画卡卡巧妙设计在卡卡上就可以执行查杀操作……这在现阶段都没有实现,但是不排除将来不会出现在瑞星新一代产品上,但是说实话我对2011版带有“天生”的好感,毕竟它溶入瑞星公司和瑞星用户双方的设计理念,而且在测试版上说是我接触瑞星近10个测试版本中完整程度是最高的,其BUG也是最少的一个版本。所以在测试群中2011版的测试跟以往相比测试要显得平淡冷清的多,但是就我个人认为这个未尝不是一件好事:)


一晃已经快十年了,TOM已经从一个不识愁滋味的翩翩少年,变成开始要考虑房子,车子,票子,老婆,孩子(虽然很多目前还毋须烦心)的俗人了。再说我本人也并非计算机安全专业中圈内人,我开始希望渐渐淡出,渐渐结束2011版测试的时候,发生一件事情让我重新审视我自认已经很完美的瑞星2011版了,所以就有了开头那句话。


昨天我发现一台用于测试的机器感染Trojan.DL.VBS.Agent.h


先说一下测试机器,使用windows XP SP3系统


安装瑞星全功能2011版,新版账号保险箱,卡卡助手6.2


说实话这个病毒是瑞星在06版就能查杀老病毒,但是就是这款老掉牙的脚本木马即反映出了国内最新的病毒动向又通过木桶理论检验出了瑞星“木桶中最短那块短板”


我们首先说说病毒目前最新的发展趋势,其实病毒/木马制作者的心理经历几个阶段,展示自己技术-窥探,好奇-盗号(一条龙运作)-直到目前最新的我称之为完全商业化,金钱化


如果说前几个还在技术层面的化,那后2个已经是完全以获得金钱为目的了。但目前全新的木马已经越来越少,不被安全软件发现的老木马修改技术也越来越困难,所以病毒制作者已经不得不寻找新的思路。它们开始寻找那些老木马,并使用最新的网页劫持和其它技术来“增强”这些老木马。这些被“二次”加工的老木马,面对少数无防护的计算机时使用者自然会中招为木马使用者提供盗号的机会,但是目前多数计算机已经普及安全软件老木马在面对这些机器是就逃不掉被“秒杀”的下场,但是我说过这就是被二次加工木马高明的地方,它们虽然被安全软件查杀病毒主体,但是却也劫持浏览器使浏览器首页设置成特定网址,普通用户通过常规的做法是无法改回被劫持首页。而这些网址指向网站通常都和木马使用者达成一定的协议,达到一定点击量就会给木马使用者相应金钱奖励,这样这些被二次加工的木马,木马本体无论是否感染系统,只要浏览器被成功劫持木马使用者就会得到金钱,这种收益甚至要大于常规不能被安全软件识别的木马的。


这是目前病毒/木马最新敛财手段,也是最新的发展趋势。但是这确是目前瑞星2011版的短板。2011版其实可以阻止对浏览器的劫持,但是在默认安全级别2011是放过对IE默认页面的修改的,其实现实中用户很少会经常修改默认首页,所以我希望2011版默认就设置成修改浏览器默认首页就必须弹出交互对话框提示用户是否允许修改!


我们回头说被Trojan.DL.VBS.Agent.h感染的系统,在2011版的保护下病毒本体被查杀,系统除了IE首页被劫持,以及登陆画面由原来打.NET补丁的样式,还原回原版XP登陆页面外其它没有什么变化,多数常用功能都正常只是用IE看视频没有声音了。可以说系统80%都在瑞星2011保护下得以幸存。但是当你使用启动项管理工具后就会发现系统启动项尤其是驱动部分已经被木马修改的惨不忍睹。


我说过Trojan.DL.VBS.Agent.h用木桶理论检验瑞星短板,那就是瑞星前期对木马处理确是不好以至于目前瑞星仍被这个问题困扰。木马问题一直纠结于瑞星多年,这里并不是说瑞星对无法查杀木马相反瑞星可以快速查杀木马本体。但是瑞星对木马衍生文件的查杀确是存在短板,我们还是以Trojan.DL.VBS.Agent.h为例,木马明显往windows/system32目录下写入多个文件是非常典型需要重点关注的行为,但是瑞星对衍生文件确熟视无睹。如果说这些衍生文件只是“病毒死尸”本身已经没有毒性的话,那木马防御以提示并拦截WSCIRPT意图通过GroupPolicy文件夹还原被查杀病毒本体,但是瑞星无论快速查杀还是全盘查杀对这个文件即文件夹都放过就显然说不过去。出来混,迟早要还的。所以如果瑞星不下决心解决木马处理以前欠下的债,这个问题将永远困扰着瑞星现在,将来,乃至以后所有版本。


新版账号保险柜,在感染中没有得道检验。因为还没有等它发挥作用2011版就干掉病毒本体,但是我确实很喜欢新版保险柜的设计。


卡卡助手6.2。非常遗憾上帝做不到,天使也做不到。这句《和空姐同居日子》的台词用到卡卡助手身上也同样适用,2011版做不到卡卡也同样做不到,Trojan.DL.VBS.Agent.h对系统作出修改卡卡助手都无法检测……我一直纳闷作为最早免费安全工具为什么卡卡助手一直没有火起来。今天我终于意识到了,卡卡和瑞星都出自同一个设计团队它们太像,有瑞星安全软件这个大哥卡卡助手一直就走不出瑞星的阴影,一个连自己都无法战胜的软件,谈何和其它免费安全工具竞争!当卡卡有了“干掉瑞星安全软件的勇气时”就是卡卡崛起之日。所以我希望将卡卡助手,保险箱这些安全工具全部交给一个新成立的,独立研发团队,针对瑞星本身不足去研发卡卡,才是卡卡凤凰涅槃的机会。也就是当两个或多个团队竞争才能激发更多的灵感,否则卡卡助手永远都瑞星安全软件附属品没有自己地位!


前面是无限的溢美之词,后面就是大放厥词!但是我很纯粹,纯粹喜欢瑞星,否则我坚持不了这么多年。我肯定一切瑞星进步,同时我也批判瑞星一切缺点,我还是那句话用户做到我这份上最大的愿望就是成为瑞星和使用者沟通的桥梁!所以不论你喜欢还是讨厌瑞星,2011版绝对值得你去尝试,但是也并不代表它完美,可没有完美才能进步!




用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C)
最后编辑tom2000 最后编辑于 2010-09-29 11:52:43
TOM2000的城堡

任何人任何软件都无法让你达到绝对安全,我们所做的只是最大限度的使你趋近于这个目标!