邂逅篇
写在前面:先前我想用“痛并快乐着”来做标题了。不过思量再三,觉得不妥帖。因为我的试用过程中,充满了不如意。痛并快乐着,应该最终还是有快乐的。但是Onecare给我的感觉,却没有那么快乐!后来我又想用“盛名之下,其实难副”,但是Onecare一不算有名,二也不算没有本事……所以最后选择了,一半是海水,一半是火焰做副标题!
一、邂逅篇
可以说,跟Onecare的亲密接触,完全来自于一次意外的邂逅。woai_jolin的帖子( Windows Live OneCare v2.5.2900.20 Final )15号就发了,可惜我当时没有看到,错过了。今天看到了被从下面顶上来的帖子,一时心动。其实动心还有另外一个原因。上周我装了Microsoft Forefront Client,它的表现让我感觉非常的惊喜。面对“姐姐”有了这样好的体验,自然让我对这个“妹妹”颇为意动!
二、牵手篇
安装是个可怕的经历。woai_jolin的帖子里面提到了,vista下面是无法通过修改注册表,达到安装Onecare的目的的。我为了验证这一点,特意下载了SetupOnecare.exe来验证。修改注册表以后,运行安装包,提示“your language is not surported”。这里我尝试修改了多次注册表的相关键值(没有重启,严重怀疑是因为没有重启的缘故),每次都提示语言不支持。不过貌似修改前后,提示窗口里显示的代码有所不同。然后我到控制面板里面,打开区域和语言设置选项,将所有能修改的都修改成了英语(美国),依然不行。显示语言设置里面,因为安装的时候,只有中文(简体)语言包,所以无法修改。后来我一狠心,打开自动更新,手动选择了安装英语语言包,语言包有256.6M大,安装需要占用1.1G的空间。安装完成后,将显示语言设置成英文,在管理子项卡里面点击“复制到保留帐户”,在弹出的对话框里面选中系统帐户前面的钩。确定以后,系统提示重启。重启的时候就会发现,原本启动界面上的所有中文都已经不见踪影,再运行Onecare,就能够顺利通过语言验证了。
当初看到安装包的时候,我就感觉,Onecare的安装文件肯定只是个下载工具。因为大小只有1.41M。果然,安装开始,首先检查网络连接,网络通了以后,Onecare就开始下载。这里我又犯了一个错误。因为我没有看到Onecare提示说有冲突,所以我就没有卸载Forefront。结果……等了接近半个小时以后,Onecare提示,安装无法完成。这里不得不说,Onecare一个很不人性化的地方就是,提示非常不清楚。开始既没有环境监测,后面也没有提示是因为什么导致的安装失败。只是给了一个错误代码,下面有一个链接,可以连接到微软的网站查看错误代码的含义。
再次重启,之前的下载完全作废了。没有断点续传。一切从头开始。又是漫长的半个小时……拆掉了Forefront,Onecare终于安装完成了。重启以后,将语言环境修改回中文,并不影响已安装的Onecare的使用。(在修改环境为英文后,我尝试运行Nero,居然弹出对话框要求我注册,当时很担心,改回中文环境后,Onecare会失效……不过为什么改变语言环境会影响到已注册的软件,我还没搞清楚)
(安装的图,请看Windows Live OneCare v2.5试用小结。)
与Onecare亲密接触
三、热恋篇
终于和可爱的“Onecare”MM“牵手”成功了。可是,刚一重启,她就给了我一个下马威。防火墙模块死活打不开。我尝试了关闭打开系统防火墙,尝试了关闭打开windows Defender,尝试了打开服务项里面很多关于网络的服务。防火墙模块仍然是关闭状态。目前,这个问题仍然没有解决。我怀疑是某些防火墙模块需要的驱动没有正确安装…………
打开任务管理器查看了一下,有5个进程(还缺少一个msfwsvc.exe,防火墙进程)。主要进程就是MsMpEng.exe,跟Forefront一样。其它进程应该只是提供弹出消息之类的功能。这个进程占用的资源也和Forefront一样,都是50M+的物理内存,60M+的虚拟内存(扫描或者发现病毒的时候,占用会上升,尤其是虚拟内存)。流畅性方面,微软自己的东西,表现还是不错的。清除威胁的时候,虽然耗时较长,但是不卡机(个别瞬时有CPU飙升,但是不至于100%,主观感觉不到卡)。清除时间真不是一般的长,跟Norton有一拼。Norton清除威胁的时候就非常彻底,从样本进入的系统缓存到释放的文件,修改的注册表都会被清除。估计微软应该也差不多(不然怎么会那么久呢,不过这里没做过测试,纯属猜测)。不过Onecare清除威胁的时候,图标没有变化,不像Forefront,清除威胁的时候,图标会变成一个灰色的圆圈不停地转动。
到样本区找了一个样本帖(http://bbs.kafan.cn/thread-373170-1-1.html),下载样本包。结果发现,Onecare不监控压缩文件。跟Forefront下载到99%(文件传输完成,从IE缓存转存到下载目录的时候)报警不同,Onecare对压缩包完全没反映。比较好的就是Onecare提供了右键扫描,在压缩包上点击右键,Onecare会提示发现威胁,选择clear all,整个包就没了。尝试解压缩了一个包,反应速度和表现可以说跟Forefront完全相同。检出率方面非常不错,在前面提供的样本帖里面,我回帖说明了。结合这段时间Forefront的测试结果,可以估计Onecare的检出率至少在90%以上,而且有启发(基因码)。
继续测试。在样本区找到一个毒网(http://bbs.kafan.cn/thread-371567-1-1.html),点击进去以后,不出所料,跟Forefront的报警相同。
接触久了,渐渐发现,这位MM也不是想象的那么可爱。首先,我看到设置里面似乎有自动处理的选项“Onecare takes automatic actions against potentially unwanted software rated high and severe”。但是,貌似测试中的都是弹窗,然后用户需要点击clear all才能清除威胁。其次,报警窗口不像Forefront那样,会用红色来标示。Onecare的报警窗口是蓝色和银灰色的。不容易让用户产生危险的感觉。另外,Onecare的报警并没有Forefront那么细致。它只是报出了病毒名字和危险等级,即使点击报警前面的箭头,也只能查看到很简单的信息,并不会看到文件所在的路径和文件名(当然这个并不是很重要了)。
测试进行到这里,出现了一个小插曲。我的一个朋友来找我,说他的优盘里面染了毒,让我帮他杀毒。插上U盘以后,Onecare报警,当时我没有点击清除,而是忽略了。因为我不清楚他的文件到底有没有用。用资源管理器进入优盘目录,发现了一些明显的病毒。还有两个原本就存在但是修改时间是今天的exe。我先关掉了Onecare的监控,将可疑的文件都复制到另外一个目录并且打包备份以后,然后重新打开监控。这期间我没有运行过任何可疑文件。不过再次打开监控以后,Onecare不停的对优盘路径下面得一个可疑exe报警,每次都是这个文件。点击清除,优盘下面会有一个“被报警文件的文件名.exe.一串随机数字”的文件。因为之前这个exe就存在,怀疑报毒是因为它被感染了。那么这个文件名加随机数字的文件有可能是Onecare在尝试修复。不过一直报警,而且报警以后还出现了清除成功,要求我扫描电脑的对话框。我当时以为有毒运行了,可是将U盘弹出以后,什么事都没了,Onecare的报警也停止了。
因为是工作机实机安装,所以主防(行为分析)部分没法测试了。但是防病毒和间谍软件模块的设置里面有对应的选项“Also look for virus-like behavior”。应该是能够识别一些高危行为和明显的病毒行为的。
Onecare 优劣分析
增加一点内容:
刚才翻注册表的时候(为了解决防火墙模块Turn off的问题),发现原来Onecare的注册表项有很多设置。
这是Onecare Protection下面的Scan子项卡的内容。应该是扫描设置吧。注意到我框出来的键值了么?“AutomaticallyCleanAfterScan”——扫描后自动清除。这个值默认为0,应该是没有启用。“DisableArchiveScanning”——关闭压缩包扫描,键值默认为1,应该是启用了!其它子项里面也有一些设置。奇怪为什么微软不做个图形界面让用户选择设置呢?!另外,扫描设置排除了压缩包,不知道监控是在哪里排除的!
总结:
今天一下午的时间,就耗在了Onecare上。Onecare的几个表现颇让我满意。首先就是检出率,90%以上的检出率(当天样本),已经是非常优秀的表现了。而且监控很灵敏,上毒网会立刻有提示。解压缩的时候,也是马上就能看到提示,并且解压缩样本的同时,Onecare报警,但是并不影响rar的速度(其实还是有点影响,不过很小,不像有些安软,解压缩样本包的时候,rar会变得非常慢)!其次,资源占用还算是合理,在我可以接受的范围内。除了一个主进程占用50M物理内存外,其它几个进程的内存占用都非常小。在当前2G内存已经成为主流的前提下,这个资源占用还是可以接受的(两台测试机都是1G内存,不排除小内存下,Onecare的占用与我的测试存在差异的可能),并且无论是扫描,发现病毒,清除威胁,都不卡机。流畅性还不错。最后,它的防火墙还是做的可以的。我没有直接测试到,不过装了XP的那台机器,后来有人一直玩,QQ游戏联网,据说并没有弹窗提示。如果真的是自动放行了QQ游戏,那么Onecare的防火墙应该还是有一定智能性的。
说完了她的优点,再来数落数落她的缺点吧。首先是安装的问题,安装过程缺乏人性化。并没有详细的出错提示,也没有安装前的环境检查,下载过的文件也不能重复利用(不能打成包用,好歹也可以断点续传,或者检查一下下载文件是否存在啊,难道安装失败退出的时候,下载的文件也同时删除了?windows貌似没这么好吧!)。其次是自动处理的问题。不知道是我不会设置还是没有,总之我这里的使用结果跟Forefront一样,没有自动处理。最后是不监控压缩包的问题。这个也不排除是我的设置问题。因为Forefront默认是监控的。为什么到了Onecare这里,居然不监控了呢?因为用的时间不长,所以暂时就发现这些问题。不过,已经存在的这些问题,让我更倾向于用Forefront了。毕竟Forefront Client目前免费,而且各方面表现也跟Onecare差别不大。
网友评论