COMODO Internet Security 5.0 正式推出

Comodo今天不久前正式釋出了COMODO Internet Security 5.0
除了改進以往既有的功能，它還加入了時下最流行的雲端技術
不但使用了雲端掃瞄、雲端行為分析、應用程式白名單
還有了新的用戶操作介面跟越來越流行的"遊戲模式"！



新的CIS帶來了諸多特性
Comodo似乎有意要把CIS這樣的專業變得很簡單易用
像現在很多廠商都已經有了的"遊戲模式"也包含了
似乎有想大小通吃的感覺，因為實際上
規則設定完成，遊戲時根本是不會跳框影響用戶遊戲的！
實用性其實不高，對初階用戶來說比較有用得到的機會


安裝時會詢問是否使用Secure DNS，如果你有偏好的DNS Server
或是在路由之下，請選擇不使用Secure DNS



使用上建議把Comodo Message Center關掉，以免跳框頻繁增加困擾



建議使用Clean PC Mode，並勾選Create rule for safe app跟Block all unknown request....



防火牆的部份同上，也是建議勾選Create rule for safe app



以往我們在制定規則時，需要在不同的窗口來回切換，現在5.0一次把它通通擺放在這裡



緝毒引擎可以手動開啟雲端掃瞄



Comodo的緝毒引擎一向都不好，5.0其實也沒有什麼改進
只開低啟發就會報殼，看來它還有好長的一段路要走
在現在這個到處都在OEM引擎，賣引擎使用權的現在
Comodo還願意自己開發，其實是該值得鼓勵
但可惜這個緝毒引擎現在依然不建議使用




官方論壇更新說明

重點提示一下！
4.x版的用戶可以直接下載5.0安裝程式進行更新
為了避免其它未知的重大錯誤影響穩定性
自動更新將會在兩個星期後才會正式啟動


而目前正在使用3.x的用戶你將無法透過自動更新
或直接用5.0安裝程式進行更新，必須先將其移除


而3.x的用戶還有一點需要注意的事！
官方將在今年11月1號停止特徵碼的更新服務
所以建議目前依然死守在3.x的用戶趁勢更新到5.0吧！ (繼續閱讀...)

Microsoft Security Essentials Final is Out！

微軟自從OneCare失敗後
捲土重來，把酒重新包裝，並換了個新瓶子
將自家防毒改個名，架構還是承襲自以前
這樣的結果倒是挺受歡迎的



到了現在MSE已經離開測試階段
正式走入正式版了，並對外開放免費下載

幾年前OneCare剛出的時候，我曾寫過評測
相較於以前，MSE確實進步不少

新的評測還請大家轉移陣地
到大陸PC Home瀏覽由PCSL為MSE所做的個別評測 (繼續閱讀...)

Panda釋出相容於Win 7的防毒軟體

Windows 7已代碼鎖定將近一個月的時間了
離正式發售的日也越來越近了
現在市面上的主流防毒軟體
目前版本中還有一些無法正式支援WIndows 7

Panda早在今天初的Panda 2009 series
就已經對WIndows 7做出支援了



而現在Panda也針對Windows 7
推出了Panda Gobal Protection 2010 Beta

主要特性：

• Antivirus with detection engine.IMPROVED!
• Proactive protection technology. IMPROVED!
• Antispyware/Antiadware.
• Antiphishing.
• Antirootkits. IMPROVED!
• Personal Firewall. IMPROVED!
• New Antispam Engine.
• Identity Protection.
• Parental Control. IMPROVED!
• Local and online backup.
• PC Optimizer (Tune-up).

Panda加強了啟發式引擎，包括基於特徵碼的基因偵測也有所提升！
而Panda對抗未知病毒最強悍的TruPrevent，如今也有所提升！
想嘗試最新測試版Panda可以按我直接下載！ (繼續閱讀...)

有人為Clam Win設計了即時監控

Clam AV是一款以GPL授權條款發佈源碼的開源防毒軟體
在MAC、Windows、Unix-Like的系統上都有其對應的版本
不過Clam AV一直以來缺乏一個及時監控的功能
這使得Clam AV無法作為首選的防毒軟體



在AVPClub論壇上
一位版面管理員asusp4b533自己寫了一個
能夠配合Clam AV的即時控程式
並在論壇上開放下載

不過似乎沒有以GPL也開放源碼，算是比較可惜的部分
雖然Clam AV已經有Winpooch之類的看門狗軟體
而官方也已經有了自己目前仍楚於開發階段的即時監控功能
但對於這樣堅持自己做輪子的精神，我們應該給予鼓勵與批評 (繼續閱讀...)

CIS 3.11 Release Note

COMODO在昨天發佈了CIS 3.11
新版的版號為3.11.108364.552
原CIS 3.10的用戶在昨天
已經可以透過自動升級升級至新版



下載：

32bit Setup
Size: 39M ( 40493328 )
MD5: 543567c36f5629ece2c64b1842c0d582
SHA1: 31baba2476c2843cc525d7dcf5d32eb54cdfd582

64bit Setip
Size: 42M ( 43249424 )
MD5: 39e663f4af7083a95620d9e13c37492c
SHA1: 76b1652e9bab608abf67d154619f1fa7350542c1


Change Log：

IMPROVED! Memory scanner now includes more advanced techniques to detect viruses in memory
FIXED! AV consumes huge memory while scanning some compressed files
FIXED! AV reports incorrent archive names under some circumstances
FIXED! AV causes freezes in 64 bit operating systems under certain conditions
FIXED! AV crashes while scanning certain packed files
FIXED! Some windows updates can not be installed while CIS is installed

這次新版並沒有增加或增強任何HIPS功能
僅僅是修正與提升防毒部份的能力
吸引力沒以往的版本來的高！
對於從來不用CIS AV的人來說
是體驗不出任和差別的！ (繼續閱讀...)

SOPHOS 盜用 AVPClub labs 所分享的樣本包

Sophos在他們的公關官網上宣傳自家的防毒
並大落落的在官網上放出病毒樣本供大家測試
其中某樣本數目為528隻的樣本包，經AVPClub labs成員的檢查發現
Sophos公關為盜用AVPClub labs的樣本



最離譜的是該樣本包完全未經修改
也是本人從事網路安全相關事業以來
第一次看到有防毒軟體廠商
在自己官網散佈病毒樣本讓大家下載！
完全沒有加密，甚至連改名都沒有！

後來AVPClub labs成員寫信跟Sophos投訴
最後Sophos寄了封信給AVPClub站長，它的內容如下：

先生您好：

我們是Sophos台灣零售版本的代理商，我們委託公關公司幫我們製作行銷網站，目前看到有病毒碼樣本包，發現並非由Sophos提供，經詢問後是由貴網站下載取得，至貴網站去瀏覽了一下，發現已有網友在討論此事，請問是否需要宣告出處？或是連結指向貴網站？
因為病毒碼本身的著作權人應該都非上載的網友，因屬非法行為，應該也沒人敢宣告其為著作權人，所以我們不知該如何引用，能否給我們建議。
另外，如果想與貴論壇進行其它行銷性的配合，不知是否可行？如果可行，可否拜訪進行更進一步商談。請惠予建議。

--
鄒坤霖 Iven Tsou

:: 禎霖資訊 :: 中小企業資安平台 ::
TEL 886-2-27900767 | FAX 886-2-27907081
Mobile 886-932198017
MSN iventsou@hotmail.com
台北市內湖區成功路二段305巷1號4樓

SOPHOS :: Security and Control ::

紅色粗體的字我沒有看很懂，這句話是在說上傳樣本不是本人
所以有觸法之餘？還是這其實是在恐嚇AVPClub labs成員？
如果會觸法，那我現在應該被判十個死刑都不為過．．
後者的話，這公關公司的行為未免也太過於囂張了！ (繼續閱讀...)

我必須不客氣的說：大部分的End User根本不懂網路安全！

我看過很多人老是說自己上網的習慣很好，也不上色情網站
也不使用外掛程式，然後Windows都會定期更新
所以我不用防毒軟體也沒有關係！

但事實上這樣子的習慣可以幫助你免於病毒的威脅嗎？
答案顯然是絕對不夠的！



而對於在需不需要防火牆這件事上，我也經常可以聽到這樣的話：
"反正我電腦也沒有重要的東西，駭客要駭就給他駭好了，沒有關係"
聽起來好像很有道理，但事實上真的是這樣嗎？普通人就不需要怕駭客入侵？！

好一點的，我們也可以看到某些人會用安全軟體，而且還不只一套
但是它們之間的搭配卻相當奇怪，有些人以為安全軟體越多保護效果越高
事實上有些時候可能連1+1<2的情況都會發生，但如果搭配得宜
或許能夠有1+1=11之功效也絕不誇張！

有些主張防毒軟體無用論壇的人也是會說沒有防毒軟體能夠有100%保證你的安全
所以防毒軟體就變成不是必須的，買防毒軟體只是浪費金錢浪費資源
要不就是說用免費的就好，然後堅持付費防毒軟體無用論


首先我們必須曉得，威脅無處不在
哪怕是不明信件還是遊戲外掛，正常情況連doc文件檔還有PDF都必須小心
因為應用軟體的漏洞攻擊無所不在，大部分人根本不會想到還有這個部分必須要注意
而就拿瀏覽器跟Windows來說好了，微軟對於漏洞的態度是非常消極的！！
他們都固定於每月的第二個禮拜二做安全更新，但事實上威脅爆發到漏洞被修復
就足以構成相當大的威脅！所以及時做更新，雖是必須，但也由於空窗期
你還是有一段時間暴露在危險狀態中！

而且現在流行小眾攻擊，專門攻擊某些特定族群
例如在某個大專院校的網站加入惡意代碼，你只需要瀏覽而已，就可以透過瀏覽器自動下載病毒
並且執行，被下載的可能是木馬，也可能是殭屍，如果是木馬或許還好對付
如果你重了殭屍，而他又是以rootkit的方式運作，那你就算定期掃瞄系統
也不一定能夠發現，目前市面上最頂尖的緝毒引擎，也沒有辦法揪出所有的rootkit！
所以當我看著那些人說自己定期掃瞄都沒發現病毒，電腦也沒中毒的徵狀，我心裡都會打上一個問號
因為中殭屍的人，電腦未必會有什麼徵狀，大部分時候甚至跟中毒之前沒有兩樣
因為這種病毒就是被設計成不會被人發現，然後可以偷偷幹些見不得人的事情！


而駭客會不會來駭你？答案則是不一定！
其實一般人很容易用他所謂的駭客邏輯來思考如果自己是駭客，你會不會去駭自己？
但事實上這是一個很經典的邏輯錯誤！每個駭客在去駭美國五角大廈之前，都會先找些肉雞當作練習
而這些不用防火牆的人，就是那些現成的網路肉雞，不論你是新手還是已經是老手了
網路上隨便掃port就可以找得到一堆這樣的人了，好一點的人或許看看就走
如果發現了什麼好東西，你可能就會有物質或者是精神上的損失！
所以不開防火牆，你就是茫茫網海中無助肉雞中的之一而已！


安全軟體搭配的問題其實很複雜，也很值得討論
很多人想盡辦法用免費軟體補強或者是打造出一個不輸付費軟體的組合
但看過不少人的例子，其實安全軟體之間的搭配都是很有問題的
例如同性質的軟體裝太多，像掃瞄工具不是裝越多越好
免費的掃瞄工具只有少數才具有即時間控的功能
而會不會與你目前正在即時監控中的，會不會衝突也很難說
絕大部分的人的還停留在十年前，那個還有沒有HIPS年代的觀念
因為掃瞄工具不具備監控功能，所以充其量只能算事後藥
它無法在第一時間提供你足夠的需要及防護，嚴格來說這些東西根本無法防毒
假使你知道要裝安全軟體其實也只是做對了第一步！
安全軟體的搭配其實也是一門重要的學問！

對於該不該裝防毒軟體，其實跟有沒有達到100%防護沒有直接關係
你能中的可能連1%都不到！討論有沒有100%防護其實沒有任何意義
因為經過適當的搭配，實際上是可以做到近乎完全防毒的系統
而每個人應該根據自己人程度的不同，選擇適合自己的解決方案
如果不知道如何選擇，可以到專門的論壇求助
而AVPClub就是一個很好的地方
還有千萬不要高估了自己對網路安全的認知與能力！ (繼續閱讀...)

在Arch上安裝AntiVir很容易！

還記得以前在Ubuntu上要安裝AntiVir不是一件容易的事情
因為除了AV本身的安裝外，我們還要另外安裝Dazuko這個虛擬裝置
幫助kernel可以讓AntiVir在Linux上實現即時監控等重要的相關功能



最早時Dazuko我們需要自己將Dazuko編譯進kernel
後來比較好，還有deb可以用，但是由於Dazuko更新時常跟不上潮流
所以在以前要把Dazuko編譯進核心要靠一些運氣，加上煩瑣的安裝步驟
很多人都改用avast，而無法正常使用AntiVir


可是在ArchLinux上卻是相容安裝！
因為那些煩瑣的步驟，別人都幫你處理好了
只需要移到命令，然後等待一段時間後就自動安裝完成了

yaourt -S antivir

安裝完再將你的帳號加入群組確保有使用權

sudo gpasswd -a 你的帳號名稱 antivir

察看命令

$ ls /usr/bin |grep antivir
antivir
antivir-gui

使用圖形操作大致上就跟windows版差不多，就連設定方面也是一樣的方式
另外安裝avast也只需要一道指令就可以安裝，不過avast的安裝在Ubuntu上
本來就不難，但avast並不像AntiVir也提供即時監控就是了，如果你有此需求avast較為不適合

yaourt -S avast

(繼續閱讀...)

F-Secure Mac Protection Technology Preview is Leak

F-Secure不久前發佈了MAC版的防毒軟體
繼BitDefender還有Symantec的腳步之後
又有一家國際大廠推出了MAC版防毒軟體



話說目前MAC OS處於兵荒馬亂的戰國時期
以往人們認為MAC OS不存在病毒的威脅
但自從年初的iWork 09加料事件
人們才知道原來MAC要中毒也是這麼容易的一件事情
防毒廠商看準了商機，陸續推出for MAC的防毒軟體


今天F-Secure也推出了！
不過目前仍處於測試的狀態
初期只提供基本的病毒防護，還有友好的操作介面
其它特性以及軟體需求可以參閱Release Note

如果有MAC用戶願意安裝與測試可以來官方網頁申請 (繼續閱讀...)

Kaspersky InternetSecurity 9.0.0.437 RC當中的缺憾

Kaspersky新一代的安全軟體目前已經到候選版本的階段了
功能與新特性大致到目前都已經確定了
但我們今天不是要來看它有了哪些增強
也不是要看多了哪些新花樣！
我們來看一下KIS 9.0.0.437中的SandBox功能



以前介紹過SandBox的功用
但是事實上SandBox的功用不只這些
一般我們較為常見的SandBox大部分只實現磁碟讀寫部分的虛擬定向
很少有HIPS能夠實做記憶體部分的虛擬定向，但究竟將記憶體虛擬定向有什麼好處？

簡單的說被重新定向的對象不同，以往我們只將運行於SandBox內的程式對磁碟的寫入
給重新動向到了一塊隔離區內，所有的寫入皆不是真實的寫入
我們只要清空SandBox，所有先前在SandBox內寫入的資料將會消失

而有記憶體虛擬定向的SandBox，它可以保護process與precess之間的存取
用一個實際的例子來說吧，木馬它要盜取你的帳號資料
除了鍵盤測錄(KeyLog)之外，還可以利用讀取precess內的明碼資訊來達到偷照密的目的
這個時候如果我們有一個具備記憶體虛擬定向功能的SandBox
那我們就可以用SandBox來防止木馬存取process，或保護重要的process被其它process存取
這樣的結果可以讓我們的網路環境變的更安全，也比去實做AD要來的有用


首先我們來看一下AKLT 3在SandBox中執行
我選擇不攔截它的KeyLog行為，我們可以看到鍵盤測錄成功




這個測試結果說明KIS 9.0.0.437的SandBox內部並未將記憶體存取給重新定向
所以AKLT 3可以隨意存取其它process

但是如果有從KIS 8.0就開始用的人
應該都會知道KIS有一個虛擬鍵盤(Virtual Keyboard)的功能
這個虛擬鍵盤可以在不依靠AD的情況下通過AKLT 3的測試
原理就是禁止process之間的隨意存取




我基於好奇，把KIS 9.0.0.437的虛擬鍵盤開啟了
神奇的事情居然發生了！！

開啟虛擬鍵盤的情況下居然預設禁止全域螢幕擷取(Take ScreenShot)
不必靠AD就可以通過ASTE的螢幕擷取




開啟另一個螢幕擷取工具，當我選擇擷取全螢幕時
只能得到這樣的全白的視窗畫面，換句話說
在虛擬鍵盤開啟的情況下，所有的螢幕擷取都會失敗！




測試到這邊我們可以從這樣的測試結果得知
Kaspersky確實實現了記憶體虛擬定向，所以它並不是沒有記憶體虛擬定向
雖然實現了，但它卻只用來保護虛擬鍵盤！其它在SandBox中執行的程式卻沒有受到同樣的保護
這是目前我發現一個比較奇怪的地方，該問題會通過上報告知Kaspersky Develop Team (繼續閱讀...)

究竟該不該用VirusTotal？

相信很多人一定都用過VirusTotal這個線上掃瞄工具
如果沒用過，也或多或少會在分享論壇看到有人引用VT的掃瞄結果
今天我們要來討論一下VT這種線上掃瞄服務究竟如何幫助使用者分辨病毒



當我們丟一個檔案到VT上後，會經過40家公司的引擎掃瞄
然後陸陸續續丟出掃瞄後的結果，然後VT會再丟個偵測率結果出來



大部分人很少會去質疑VT的結果，並認為如果被報的數量相當可觀
大概十之八九絕對不會是什麼好東西！

但是大部分人從來沒有想過以下問題，如果40家引擎都沒有報
難道就代表樣本百分之百絕對不會對系統造成傷害嗎？
反之，如果很多家公司的引擎報，就代表一定存在威脅？
有用過防毒軟體的人或多或少應該知道，防毒軟體有細部的選項作為設定
問題是大部分人均不知道也沒有想過VT上的引擎究竟是如何設定！

針對這些問題，可以分好幾個部分討論
首先VT上的引擎均來自各家不同的公司
這些公司的技術程度均不同，緝毒引擎有好有壞
每家公司對威脅的策略也都不盡相同

基本上各個引擎之間量級已經明顯不一樣了
放在一起掃瞄然後作偵測率百分比
已經很明顯存在一個誤導的空間在！


再來引擎的設定問題，VT上的引擎通常都與我們使用的版本會不太一樣
例如Kaspersky直接開啟偵測no-virus等的風險軟體
而Panda直接開啟最高啟發，最高啟發在個人版是不啟用的
時間久了，有人就開始以為Kaspersky跟Panda都有很高的誤報

由於每家公司對威脅的策略都不同，像有些引擎是直接見殼就報
有些則表現比較成重穩定，例如AntiVir、Avast、BitDefender、CAT-QuickHeal、F-Prot
這些都是比較喜歡報殼的AV，而像Kaspersky、McAfee、NOD32、Panda、Symantec
相形之下這些都是比較保守的AV，它們不會無故報殼，品質與技術上均具有一定的實力！


今天收到朋友的求救，說他好像中毒
隨既傳來了一個樣本，希望我幫他分析一下
這個樣本看名稱應該是一個"續號產生器"
執行後確實是一個"續號產生器"，接下來我就開始分析了他的行為
不分析還好，一分析怪我就開始疑惑了．．
因為這樣本並沒有危險行為，或者其它特殊行為會觸發HIPS
我根據這樣本破解的對象，上網找了這個軟體測試
用它產生的續號也確實能夠使用！



所以我直接排除了樣本是病毒的可能
我把這個結果告訴我朋友後，他仍然堅持這樣本事病毒
沒多久後他就傳了VT的掃瞄結果給我



我告訴他，VT的結果不能盡信，並把箇中原由告訴了他
他才曉得他長時間依賴的VT原來是這麼一回事！
我自己平常不用VT，我也建議沒能力自己分析樣本的網友
對於可疑的樣本應該交由專門的公司分析，而不是一股腦的全都往VT上丟 (繼續閱讀...)

AVG AntiVirus Free 8.5.339 SP1 is Released

AVG在不久前推出了新版免費防毒軟體8.5.339 SP1
這次的改進包括Safe Search支援百度搜尋引擎
對惡意代碼的防禦能力加強，並強化特偵碼對家族性威脅的偵測能力



Rekease Note：

News

* Safe Search: Support for Baidu search engine.
* Update: Improved malicious code prevention.
* Toolbar: Improved user interface, support for non-English languages, and various bug fixes.

Improvements

* AvgSys: Optimization of log files number.
* Core: New family of Swizzors detected.
* Core: Detection of FakeAlert family.
* Core: Detection of new modification of polymorphic virus Win32/Virut was added.
* Core: All known versions of polymorphic virus Win32/Virut are now detected.
* Safe Search: Improved anti-phishing coverage in Search-Shield.
* User Interface: "Send to analysis" button in Virus Vault was removed and replaced with context menu.
* User Interface: Correct displaing of EULA text in the About dialog with other than native Windows codepage.

Fixes

* Core: Fixed problem with crash while scanning PDF files.
* Core: Fixed occasional crash of scanning engine.
* Core: Fixed problem of crash while healing Mozilla Firefox 3 cookies.
* Core: Fixed problem with processing slowdown during Resident Shield scanning LNK files.
* Core: Fixed problem with ZoneAlarm incompatibility.
* Core: Fixed problem with missed detection in corrupted *.cab and *.zip archives (thanks to Thierry Zoller).
* Outlook: Fixed double prompt on password-protected stores.
* Outlook: Fixed possible crash of MS Outlook 2003 on email receiving with MSO enabled.
* SafeSurf: Fixed problem with wrong displaying Safe Search flyovers in IE8.
* Setup: Fixed instalation failure if administrator directory access is missing.
* Setup: Fixed crash of setup instalation if directory access for Administrator is missing.
* User Interface: Fixed problem with editor of excluded directories for Resident Shield.
* User Interface: Fixed problem with color text display when Windows inverted color scheme is used.

Process數量



資源佔用情形



有興趣的可以按我下載AVG 8.5 Free (繼續閱讀...)

Free AntiVirus of Klingon！

最近Star Trek電影熱烈上映中
在電影裡，有一個外星種族叫做克林貢人，他們跟地球人一樣都是星際聯邦的成員之一
在影集或電影裡，對克林貢人的文化還有歷史是所有外星種族裡描述的最仔細
也最完整的一個，他們甚至人造了克林貢語，有些對語言有天份或興趣的人
還會特別來學這種"外星語言"，對一個人造語言來說還真的不少人會克林貢語
就連Google也有"克林貢語版"



現在英商Sophos公司，他們提供了克林貢語的免費防毒軟體
完全免費！由於沒有即時監控，所以它可以很好的相容於你目前現在的系統
而不用去擔心會造成其它意外的衝突










(繼續閱讀...)

Kaspersky InternetSecurity 2010 Beta Released

KIS 2010於不久前推出了，新特性有Sandbox（沙盤）、更強勁的啟發
加強的雲端科技以及比KIS 09還要更豐富的手動模式
我拍了幾張圖，順便做了一個簡單的圖片介紹



KIS 2010換了新的UI，但它還是建立在KIS 09的基礎上
由於這還是開發版的緣故，很多功能像應用程式過濾，還有沙盤都不正常或還不能使用




設訂介面其實跟以往沒有什麼差別




沙盤的部分，這是KIS 2010我認為最重要的加強，恢復了策略組形式的沙盤
就像以往在KAV/KIS 6&7上可以藉由"回覆"來消除惡意的修改
除此之外還增加了虛擬空間沙盤，讓應用程式被隔離在虛擬空間之內




我們可以直接添加應用程式到KIS 2010中的沙盤，圖內兩個IE差別為一個必須手動清理
另一個則是在process結束後就自動清理沙盤內的資料




消失已久的策略組回復功能在KIS 2010中回來了




PDM（免疫防禦）的部分跟KIS 09差不多，多了幾項監控項目
KIS 2010預設監控OS Kernel Modification




原本想測試HIPS的，但應用程式過濾功能不正常
我沒有辦法修改已經被歸類的組別，導致很多測試軟體無法使用
所以我找了幾個新樣本來測試，KIS 2010的提示就目前來看
與KIS 09差不多，我手上的新樣本無法比較出兩者究竟有何差異


使用情況上，因為是開發版的關係，其實不太穩定
經常造成freeze，每次至少都十幾二十秒的等待
用起來相當辛苦，新的UI排列上也算不上好
很多以前在KIS 09上比較直覺的操作
到了KIS 2010上變的負責很多

不過當初KIS 09也是經過大大小小好幾十次的修改
所以我想KIS 2010或許在正式推出後會有很大的改善
目前嚴格來說是個非常不穩定版，等到功能完善後的測試版推出
才建議加入測試工作，目前看看介面其實就已經夠了！ (繼續閱讀...)

COMODO規則補強 － 裝置變更操作

嚴格來說這不算是一個惡意威脅
因為它只是單純把系統碟以外的磁碟代號給抹去
使用者只需要自行掛上磁碟代號，這樣消失的分區又可以用了
只是我想這種玩笑很容易騙到某些人，導致最後用格式化解決．．



這個行為正式版的CIS 3.8預設規則是無法攔的
就算把防護等級拉到偏執模式也無法攔截
因為COMODO預設不監控這個部分


這裡我使用EQSecure 4.1Plus，從空白規則裡新建一條全域規則

*.exe

將全域規則中所有的監控項目打開，然後執行此樣本




從提示的訊息中我們知道，這行為不是一般常見的"底層磁碟存取"
如果只是底層磁碟存取，COMODO正常情況下是會提示的
因為這行為遠比"變更磁碟代號"來的危險多了
如果沒攔，很可能就直接格式化了！


我們根據EQ給我們的訊息，也在COMODO中添加此一規則

\Device\MountPointManager

最後再執行一次，看看有什麼結果




嗯．．終於出現提示了，阻止之後磁碟代號也沒有消失
不過同樣的規則在CIS 3.9 beta中是無效的，我想可能是FD bug導致的關係
當然手上也有CIS 3.9 beta的人也可以幫我測試一下
看看到底是我的問題還是bug所導致的關係


最後我把類行為的樣本規類到joke app（玩笑程式）
不過這種玩笑程式玩笑開的太大，也很不好笑
大部分人會直覺的以為磁碟分區真的被格式化了！
所以建議用COMODO的人最好是加上這一條規則！ (繼續閱讀...)

評測：Norton 360 V3

賽門鐵克自從兩年前推出Norton 360後，就開啟了另一個新戰場
其他廠商也相繼推出了類似產品應戰，BitDefender、GDATA等都有相應的產品
而Norton 360也堂堂邁入3.0了，究竟它跟以前有了什麼不一樣呢？



現在我們要確保資料的安全，除了裝防毒軟體外
最重要的的我們還要勤加備份，因為就算你的防毒軟體再好
也一定還是會有漏網之魚，雖然對End User來說還有HIPS可以用
但在沒有100%的完美保護的大前提之下，用什麼東西同樣還是會有風險！
所以我們更應該要養成時常備份的習慣，就算有幸都沒有預到中毒的問題
我們還是得提防硬碟等的儲存媒體損壞所帶來的損失
所以我一般是建議極為重要的資料，請做異地備份至少兩到三份
如此才會比較保險！


而對於一般用戶來說，如果你有這方面的需求
Norton 360不失為一個不錯的選擇！
完全的自動化，通過一次設定，就可以讓Norton 360
在適當的時間理幫你做備份，使用上很傻瓜很Easy
雖然它沒有太多額外的功能，但我想對一般用戶來說應已足夠！





由於我不久前才介紹過NIS 2009，所以重複的部分我將其省略
如有需要或以前沒看過，可以回頭過去看我寫的NIS 2009評測


Norton 360以及其他廠商，現在都有提供這種所謂的安靜模式
在安靜模式下，用戶將不會受到任何打擾，可以安安靜靜的完成自己的工作




備份功能：

相當直覺式的操作介面，如果你已經設定好了可以直接快速的進行備份工作



選擇你希望備份的對象以及路徑



選擇備份存放的媒體，好像只有付費版可以選擇存放至網路空間上



善用排程，讓Norton 360自動的幫你完成所有的事！



這是備份前，備份後圖示的差別
左邊打勾的就是已經被份，右邊則為還未被份的圖示狀態





除此之外Norton 360也提供簡單的系統優化，與備份功能一樣可供排程




再來這是個比較有趣的功能
Norton 360允許你修改系統啟動項目



把你不想啟動的或太耗啟動時間的項目抖選"延後啟動"，這樣下次開機將不會啟動




Norton SafeWeb

這是一個瀏覽器的外掛工作列，支援IE以及Firefox






當我們在使用搜尋網站的時候，SafeWeb會提供安全建議給我們參考
試過Google以及Yahoo都能夠支援




當我們按下狀態圖示後，會提供我們檢查分析後的報告




當對象網站含有惡意軟體時，就會出現這樣的提示




如果需要更詳細的情形，可以繼續按"完整報告"查看！




資源佔用情形：

開機後所有process



安裝前的記憶體佔用情況



安裝後的記憶體佔用情況




測試：

接下來是實際病毒樣本測試
測試我使用PCSL最近剛發佈的3月號測試結果同樣的樣本進行測試
PCSL的測試樣本，不同於網路上那些唾手可得的樣本
它有著非常高的活體率，一般來說除非人為因素，活體率一直都保持在100%！

測試偵測率為：99.75%





結論：

Norton 360 3.0（有點繞舌）作為一款後繼產品
嚴格來說創意稍嫌不足，線上備份無法使用第三方的免費空間
未免過於濫費了Norton 360好用的線上備份功能
希望可以在未來的版本中加入這方面的支援！


它的網路防火牆承襲NIS 2009，同樣具備不錯的AntiLeak能力
相關的測試可以參閱我之前的NIS 2009評測來瞭解
再搭配上SafeWeb，可以在第一線提供安全資訊
讓用戶瞭解該網站是否含有不安全的成分！
對於普通用戶來說，儘量避免瀏覽可能存在惡意軟體的網站
可以大幅降低系統中標的機率！


綜合它所有的能力，Norton 360可以滿足一般用戶的需求！



優點：

1.緝毒引擎表現較以往的版本要來的好
2.SafeWeb相當具備實用性質
3.備份及優化功能簡單易用
4.資源佔用控制相當良好


缺點：

1.線上備份無法使用第三方空間
2.中文版的用詞依然相當差勁
3.緝毒引擎掃瞄過程相當緩慢
4.SafeWeb toolbar無法支援Portable版Firefox (繼續閱讀...)