与Onecare亲密接触
三、热恋篇
终于和可爱的“Onecare”MM“牵手”成功了。可是,刚一重启,她就给了我一个下马威。防火墙模块死活打不开。我尝试了关闭打开系统防火墙,尝试了关闭打开windows Defender,尝试了打开服务项里面很多关于网络的服务。防火墙模块仍然是关闭状态。目前,这个问题仍然没有解决。我怀疑是某些防火墙模块需要的驱动没有正确安装…………
打开任务管理器查看了一下,有5个进程(还缺少一个msfwsvc.exe,防火墙进程)。主要进程就是MsMpEng.exe,跟Forefront一样。其它进程应该只是提供弹出消息之类的功能。这个进程占用的资源也和Forefront一样,都是50M+的物理内存,60M+的虚拟内存(扫描或者发现病毒的时候,占用会上升,尤其是虚拟内存)。流畅性方面,微软自己的东西,表现还是不错的。清除威胁的时候,虽然耗时较长,但是不卡机(个别瞬时有CPU飙升,但是不至于100%,主观感觉不到卡)。清除时间真不是一般的长,跟Norton有一拼。Norton清除威胁的时候就非常彻底,从样本进入的系统缓存到释放的文件,修改的注册表都会被清除。估计微软应该也差不多(不然怎么会那么久呢,不过这里没做过测试,纯属猜测)。不过Onecare清除威胁的时候,图标没有变化,不像Forefront,清除威胁的时候,图标会变成一个灰色的圆圈不停地转动。
到样本区找了一个样本帖(http://bbs.kafan.cn/thread-373170-1-1.html),下载样本包。结果发现,Onecare不监控压缩文件。跟Forefront下载到99%(文件传输完成,从IE缓存转存到下载目录的时候)报警不同,Onecare对压缩包完全没反映。比较好的就是Onecare提供了右键扫描,在压缩包上点击右键,Onecare会提示发现威胁,选择clear all,整个包就没了。尝试解压缩了一个包,反应速度和表现可以说跟Forefront完全相同。检出率方面非常不错,在前面提供的样本帖里面,我回帖说明了。结合这段时间Forefront的测试结果,可以估计Onecare的检出率至少在90%以上,而且有启发(基因码)。
继续测试。在样本区找到一个毒网(http://bbs.kafan.cn/thread-371567-1-1.html),点击进去以后,不出所料,跟Forefront的报警相同。
接触久了,渐渐发现,这位MM也不是想象的那么可爱。首先,我看到设置里面似乎有自动处理的选项“Onecare takes automatic actions against potentially unwanted software rated high and severe”。但是,貌似测试中的都是弹窗,然后用户需要点击clear all才能清除威胁。其次,报警窗口不像Forefront那样,会用红色来标示。Onecare的报警窗口是蓝色和银灰色的。不容易让用户产生危险的感觉。另外,Onecare的报警并没有Forefront那么细致。它只是报出了病毒名字和危险等级,即使点击报警前面的箭头,也只能查看到很简单的信息,并不会看到文件所在的路径和文件名(当然这个并不是很重要了)。
测试进行到这里,出现了一个小插曲。我的一个朋友来找我,说他的优盘里面染了毒,让我帮他杀毒。插上U盘以后,Onecare报警,当时我没有点击清除,而是忽略了。因为我不清楚他的文件到底有没有用。用资源管理器进入优盘目录,发现了一些明显的病毒。还有两个原本就存在但是修改时间是今天的exe。我先关掉了Onecare的监控,将可疑的文件都复制到另外一个目录并且打包备份以后,然后重新打开监控。这期间我没有运行过任何可疑文件。不过再次打开监控以后,Onecare不停的对优盘路径下面得一个可疑exe报警,每次都是这个文件。点击清除,优盘下面会有一个“被报警文件的文件名.exe.一串随机数字”的文件。因为之前这个exe就存在,怀疑报毒是因为它被感染了。那么这个文件名加随机数字的文件有可能是Onecare在尝试修复。不过一直报警,而且报警以后还出现了清除成功,要求我扫描电脑的对话框。我当时以为有毒运行了,可是将U盘弹出以后,什么事都没了,Onecare的报警也停止了。
因为是工作机实机安装,所以主防(行为分析)部分没法测试了。但是防病毒和间谍软件模块的设置里面有对应的选项“Also look for virus-like behavior”。应该是能够识别一些高危行为和明显的病毒行为的。
网友评论