在Arch上安裝AntiVir很容易！

還記得以前在Ubuntu上要安裝AntiVir不是一件容易的事情
因為除了AV本身的安裝外，我們還要另外安裝Dazuko這個虛擬裝置
幫助kernel可以讓AntiVir在Linux上實現即時監控等重要的相關功能



最早時Dazuko我們需要自己將Dazuko編譯進kernel
後來比較好，還有deb可以用，但是由於Dazuko更新時常跟不上潮流
所以在以前要把Dazuko編譯進核心要靠一些運氣，加上煩瑣的安裝步驟
很多人都改用avast，而無法正常使用AntiVir


可是在ArchLinux上卻是相容安裝！
因為那些煩瑣的步驟，別人都幫你處理好了
只需要移到命令，然後等待一段時間後就自動安裝完成了

yaourt -S antivir

安裝完再將你的帳號加入群組確保有使用權

sudo gpasswd -a 你的帳號名稱 antivir

察看命令

$ ls /usr/bin |grep antivir
antivir
antivir-gui

使用圖形操作大致上就跟windows版差不多，就連設定方面也是一樣的方式
另外安裝avast也只需要一道指令就可以安裝，不過avast的安裝在Ubuntu上
本來就不難，但avast並不像AntiVir也提供即時監控就是了，如果你有此需求avast較為不適合

yaourt -S avast

(繼續閱讀...)

破繭而出羽化升天 AVIRA Premium Security Suite評測

最近會陸續搬一些自己在別論壇的文章回blog
希望這些文章能夠幫助一些人瞭解防毒軟體的特性！

千呼萬喚始出來！AVIRA兩年以來最重大的更新
終於在昨天(14號)正式推出了，這次的8.0相較於7.0更新了操作介面、引擎、並增加備份功能
引擎方面對於性能AVIRA在8.0上做了優化，掃瞄同樣的檔案，8.0的掃瞄速度將會比7.0快！

這邊我簡單的測試了掃瞄速度的改進程度
測試使用平常作業使用的系統，而非VMWare之類的虛擬機器
配備為：E6300@3G RAM:2048mb HD:WD Raptor 740ADFD
掃瞄Windows資料夾，比較兩者花了多少時間！

7.0版掃瞄速度


8.0掃瞄速度


可以看出8.0比7.0版要稍快一些，如果掃瞄的檔案數越多，差距將會拉的更大

除了掃瞄的速度變快了，跟舊版比較起來原本的Premium版，在原本的基礎上加入了Web Guard
這原本是Premium Security Suite(網路安全套裝版)才有的功能，現在Premium也有了
下面就正式開始介紹這次的主角Avira Premium Security Suite



主畫面


事件


掃瞄器


網頁監控


防火牆


備份



設定
設定內容大致與7.0版的時候一樣，可以沿用以前的設定方式，或是照我的是設定
右鍵掃瞄建議選擇掃瞄所有檔案，優先全我選擇"最低"


啟發我設為高，相對的誤報也會隨級數提高而增加


監控
照預設既可，建議不要選擇監控壓縮檔，因為會造成不必要的性能浪費


網頁監控
一樣按照預設既可


額外風險類型
這裡建議照預設既可，全勾並不會偵測到更多樣的威脅，只會增加自己的麻煩而已


安裝前的記憶體使用量


安裝後的記憶體使用量


進程資訊


詳細記憶體佔用情形




測試：
這裡使用Matousec的測試程式，來檢驗它的自我保護以及反滲透能力

應用程式如果有連網要求，會出現提示詢問是否放行


Product score:16% Level reached:2

* Level 1 –Score 67%
Breakout2, Coat, ECHOtest, Kill1, Kill2, Leaktest, Tooleaky, Wallbreaker1, Yalta

* Level 2 – Score 44%
AWFT1, DNStest, Ghost, Jumper, Kill3, Kill3b, Kill6, Wallbreaker3, Wallbreaker4

* Level 3 – Score 67%
AWFT3, AWFT4, DNStester,Kill3f, Kill4, Kill7, SSS2, Suspend1, Thermite

* Level 4 – Score 75%
CopyCat, CPIL, CPILSuite1, Kill3e, Kill8, Kill9, SSS, Suspend2

* Level 5 – Score 50%
Breakout1, CPILSuite2, Crash1, Crash2, Crash3, Kill3c, Kill3d, VBStest

* Level 6 – Score 50%
CPILSuite3, DDEtest, ECHOtest2, FireHole, Flank, Kill10, Kill11, Runner

* Level 7 – Score 40%
BITStest, OSfwbypass, Runner2, Schedtest, SSS3

* Level 8 – Score 25%
Kill5, NewClass, Schedtest2, SSS4

* Level 9 – Driver Verifier

* Level 10 – Score 100%
BSODhook



Kernel hook

複製內容到剪貼板

代碼:

上午 05:04:29: Probing 5 function(s) started.
上午 05:04:29: Probing function NtCreateThread(DDODDDDD) ...
上午 05:12:35: Function NtCreateThread passed the tests.
上午 05:12:35: Probing function NtOpenProcess(DDOD) ...
上午 05:17:06: Function NtOpenProcess passed the tests.
上午 05:17:06: Probing function NtOpenThread(DDOD) ...
上午 05:21:33: Function NtOpenThread passed the tests.
上午 05:21:33: Probing function NtTerminateProcess(PD) ...
上午 05:22:55: Function NtTerminateProcess passed the tests.
上午 05:22:55: Probing function NtWriteVirtualMemory(PDDDB) ...
上午 05:25:27: Function NtWriteVirtualMemory passed the tests.
上午 05:25:27: Probing complete.

滲透測試成功攔截截圖：

Yalta


AWFT3


Thermite


CopyCat




優點：
1.掃瞄速度較舊版迅速
2.自我保護能力較舊版進步
3.介面華麗美觀

缺點：
1.反滲透能力仍待加強
2.網頁監控性能雖較舊版有些許提昇，但還不夠
3.佔用資源較舊版龐大


結論：

短時間的使用其實還無法深刻的感覺與舊版上的變化
真的要說改變的話，Web Guard(網頁監控)效率增加感覺很明顯
可惜的是增加的程度還是不夠，關閉Web Guard後可以明顯感覺網頁開啟的速度變快了
雖然說是只要有Web Scan的AV都會有這個問題，但AVIRA的算效率比較差的一個
希望後續的版本能夠大幅改進這個性能問題

從測試中可以看到8.0改進了以往差勁的自我保護，不過一樣還是有能夠進步的空間
跟自我保護能力一樣，反滲透能力雖也比以往進步了，但可惜僅在Level 2就敗陣下來
雖然Level 2之後的級別有些表現的還不錯，但相較於7.0這一點的改進似乎還不夠
關於Premium Security Suite 7.0的反滲透測試可以參閱下面這個網址，也是我做的測試
http://tinyurl.com/3ndp8h

目前的最佳選擇，仍然是Premium版，不考慮Premium能夠長時間持續免費使用的情況下
Premium Security Suite與Premium版價差將近一倍！卻沒有提昇等值的防護效果
這點實在是很可惜，雖然AVIRA的AV很不錯，但是它的防火牆並沒有那麼高的價值
所以我還是建議一般用戶使用Premium版然後搭配系統防火牆、或是其它免費防火牆
由於AVIRA策略的關係，原本已經使用7.0版本的人現在應該都順利更新到8.0了
如果原先使用Premium版的人升級成8.0後，記得要透過控制台裡新增移除功能
重新安裝Web Guard，否則剛升級好的Premium版是沒有Web Guard的，請大家注意一下！ (繼續閱讀...)

（續）不得不公佈！現在還有大廠在使用檔案大小判毒！

前幾天我發現的這一個現象，目前事情已經告一個段落了！
事情的真相就是AVIRA跟BD在引擎方面都有問題！

之前我只發現AVIRA跟BD會誤報這個檔案
但後來測了其他的AV，發現有類似問題的數量還不少！以下就是同樣也會誤報的AV：

Asquared :Trojan.Generic
Ikarus:Trojan.Generic
Norman:Trojan Smalltroj.BSXG
Norton:Trojan Horse
QuickHeal:TrojanDownloader.Agent.efy
TheHacker:Trojan/Downloader.Agent.efy
VBA32:infected Trojan-Downloader.Win32.Agent.efy
VirusBuster:Trojan.Agent.DZIW

連Norton都誤報了！
BD的回應是啟發式偵測誤報！
AVIRA則是回應靜態偵測有問題
但只修正誤報，引擎短時間內似乎不會修改！

這是個擁有怪異結構的可執行檔案，某些AV（例如BD）會出現無法UNPack的現象
而AVIRA可以UnPack，但是卻因為靜態分析問題，誤報了自解壓縮檔本身！
這是一個非常很微小的特徵，只要有一叮點不同，AVIRA就不會報了！
只要檔頭或是檔尾加入幾Byte的垃圾資料，就抹去了這個特徵！
因為如此簡單就把特徵給抹去了，讓我誤以為AVIRA跟BD用檔案大小報毒
但事實是AVIRA用檔案大小作首個分析樣本的特徵定義名！
不過也因為這件事情讓我發現，AVIRA對於用戶的上報處裡很差勁！
AVIRA大量啟用機器人處理用戶大量上報的樣本，使得有一些家族性病毒
無法有效的偵測，必須一一上報才可以一個樣本就讓所有的家族一網打盡！
我相信因為這種方式被誤報或者是沒報的樣本不在少數！
雖然AVIRA偵測率高，但它的誤報還有不報的問題也是需要好好探討一下！

對於不喜歡高誤報的朋友，我個人會推薦給你ESET,McAfee,Norton
這三家廠商都有極低的誤報，而且樣本的處裡幾乎全部都由人工分析
降低了因為機器分析而引起的大量誤報問題！ (繼續閱讀...)

不得不公佈！現在還有大廠在使用檔案大小判毒！

又有兩家廠商偷機被我抓包了！這兩家大廠居然用檔案大小的方式判斷病毒！
防毒軟體依據技術能力的不同，有技術有資金的廠商，會試著把解殼引擎、啟發引擎等加強
但是這兩個部分的加強不是說加強就可以馬上加強，如果程式設計師沒有具有一定的程度
是沒有辦法設計出一個有效的解決方案！

所以有些時候會出現一些沒什麼技術成分，卻又不恰當的偵測方式
例如檔案名稱以及雜湊值判斷！檔案名稱故名思意就是根據檔案名稱判斷
像一直以來都很猖獗的機器狗病毒，假設機器狗所有變種都會產生一個abc.sys的檔案．．

並且做為它的中心驅動，那有些廠商如果無法從技術上做抵禦的方法
可能就會開始走一些偏門，例如只要在windows\system32下產生的abc.sys一律報毒的這種做法！

或者是用雜測值偵測的方式，雜測值是一種資訊摘要演算法，兩個不同的檔案
是不可能得到相同的雜湊值，不過MD5已被破解，但這個不在這次的討論範圍內！
所謂的雜湊直就是利用SHA-1或者是MD5檢測檔案是否符合
只要一符合或又同時達成其它必要條件（例如檔案位置所在）既會報毒！

上述兩種方法一直都存在，像我在去年曾經踢報過金山毒霸利用檔案名報毒



當時就覺得太誇張了，但是到了今天更讓我驚訝的是現在居然有廠商用檔案大小來報毒！而且兩家都不是沒有技術跟資金的小廠商．．

這兩家廠商分別是在最新一次AV-TEST獲得非常優異成績的BitDefender以及AVIRA兩家知名大廠

他們私底下就我所知應該無任何技術交流，但是他們卻都用了同一種方式報毒
這種方式也不像樣本交換所導致出來的問題，因為它是經過引擎判斷結構
還有檔案大小後才做出來的判斷！

首先是BitDefender它報Trojan.Generic.74723
在以前有些人曾經猜測過，有些AV的定義名尾段這些奇怪的數字是什麼？
有些人覺得是某段的特徵長度，或者是由機器判斷的編號，也有人說是基因編號，也有人說是隨機產生不代表任何意義！

以上猜測我個人不予以否認，但是今天發生的事情讓我相信檔案大小偵測還確有其事！



不過只看BitDefender看不出個所以然來！AVIRA報的就清楚多了！
AVIRA把這個樣本報做TR/Agent.271995



請注意最後那段奇怪的數字271995，它居然跟樣本的檔案大小一致！



我把樣本解壓縮後再用BitDefender還有AVIRA再掃瞄一遍，居然沒有報了！
然後我又直接對樣本壓縮檔刪去或是增加檔案，讓檔案大小改變
最後確定檔案大小只要不是271995byte，它們就都不報了．．
也由於BitDefender的關係，導致GDATA也有這個問題



直接使得AVK 2009的高偵測率受到了多少質疑，因為我自己已經開始思考．．
這兩家AV究竟靠這類的方式，不一定是檔案大小這樣的方式！
而是類似這種靠檔案大小判斷的投機方式
到底額外獲得了多少偵測率？這真是一個有趣的問題！

高偵測率的背後究竟還有多少不為人知的問題？
就一般人而言，他們只重視偵測率，認為偵測率高就是最好
但是評判一個AV好或壞，偵測率絕對不是唯一或是最重要指標
但是又有多少人能夠看輕這一點呢？ (繼續閱讀...)

AVIRA 8 Release Note

Avira最新的AntiVir公測已經差不多了，早在幾天之前
Avira已經公告了這次Ver.8的新特性
下面我就簡單的翻譯一下新特性內容：

我們更新了部分產品的名稱為
Avira AntiVir PersonalEdition Classic -> Avira AntiVir Personal - Free Antivirus
Avira AntiVir PersonalEdition Premium -> Avira AntiVir Premium


Avira AntiVir Personal - Free Antivirus, Avira AntiVir Premium und Avira Premium Security Suite
新的圖形介面
新的引擎
新的更新功能-可以選擇更新程式本身或是特徵碼
支援Windows Vista SP1


Avira AntiVir Premium und Avira Premium Security Suite
現在郵件防護會檢查SMTP對外資料流
郵件防護現在增加BOT偵測
加入下載救援CD功能
增加兩個新的更新伺服器


Avira AntiVir Premium
新的模組:網頁防護


Avira Premium Security Suite
新的模組:備份功能
防火牆添加規則編輯 (繼續閱讀...)

AVIRA AntiVir Engine Update 7.6.0.15

紅傘引擎跟新!
引擎版本更新為7.6.0.15

更新項目
更新:基因與啟發式偵測
修正:啟發誤報 (繼續閱讀...)

AVIRA又開始提供半年使用金鑰

有興趣的趕快去申請，這麼一來就可以將Premium版用到明年 (繼續閱讀...)

AVIRA用戶數量達到3000萬大關!!

終於突破3000萬了,快要可以跟BitDefender比肩了
目前BitDefender用戶數量約4000多萬,不過以小紅傘最近幾年竄起的速度來看
超越BitDefender將指日可待 (繼續閱讀...)

ESET以及AVIRA免費贈送90天試用授權

ESET以及AVIRA不約而同的推出90天試用申請
有需要比較兩款AV的朋友這兩套都可以用用看 (繼續閱讀...)