独家发布　安天防线内测版本试用手记(三)

新客网 XKER.COM 2007-10-12 来源：血铁龙收藏本文

第四测试单元：Ascan查杀木马

由于ACenter不支持全部清除，正好给我们测试主扫描程序一个机会。果然查到一堆木马。

Bug1：扫描结果中有很多重复，不知道是什么原因。从图上可以容易的看到。不知道是否是病毒注入多个进程造成的。

改进建议：在进入扫描队列中的时候，或者做消冗余处理，如果是为了清晰的表示病毒注入了进程则应采用explorer.exe->Avpsrv.dll之类的表示。

Bug2：VCS机制和已知检测的优先级别似乎有问题，对比这个图和前面监控的图，我们发现奇怪的现象，一些病毒（比如这个avpsrv.exe）在扫描的时候显示明确的病毒名称，而在监控的时候显示可疑，这说明在监控时未知检测的结果优先了，这显然是一个bug，值得一提的是，这个bug好像在木马防线2005+中就有。

操作：正在我测试之时，第一台测试机的管理员给我电话反馈了3个问题，第一，选择删除时木马杀不掉，只有选择移动到隔离区的时候木马才能杀掉，第二，清除过程中，系统CPU长时间被AGB6.EXE占用99%，系统反应极慢，大概用了15分钟才操作成功。第三，清除过程中explorer崩溃1次。第三个问题我比较容易理解，就是有进程注入了explorer，那么需要杀掉这个进程才能删文件，但据说ATOOL已经实现了模块摘除功能，为什么不能用到AGB的处理里面去呢？我也选择了移动到隔离区，感觉时间比较长，但不知道是否内存大四倍所赐，到没有出现刚才反馈的现象，不过清除过程中界面确实没有响应。清除完成，再扫描一次，果然一个都扫不出来了。

Bug1：清除完成后，日志察看器中，日志状态不改变。

改进建议一：建议对于结果状态认真调整。

改进建议1：VCS是防线的亮点，这毋庸置疑，但我一直不爽的是，扫描的时候没有这个机制，导致如果不配合监控有时杀不干净，其实哪怕扫描器能读一下监控器的结果，也好，毕竟很多用户对监控的交互操作不熟悉。如图就是扫描清除完成后，还需要用监控器清除未知程序，显得很不方便。另外，这个成功的提示框太粗糙了。

Bug2：在清除木马后，日志中的状态不发生变化。

最后的总结：作为一个内部测试版，安天防线可以说，比前一个版本有质的飞跃，体系清晰，规划细腻、产品能力也很强，从下载、上报等方面来看，其后台支撑体系的质量也有很大提升。

而从使用效果来看，产品在发行前仍需要更细腻的测试。特别是动态的对抗测试和更为细致的微观改进。

1、充分考虑到木马防线可能面对的复杂情况，对于非专业用户，机器上本来就有大量木马的情况，以及访问一个网站就可能下十几个甚至几十个木马的情况。而目前似乎木马防线更适用于非常谨慎的专业用户，机器上可能有rootkit的情况。

2、考虑默认产品策略，比如既然木马防线已经采用了全功能试用的策略，那么监控器采用提示交互的方式，似乎有时跟不上木马的种植，导致用户手忙脚乱。还不如默认就是直接清除，然后给一个快闪的对话框说明一下为用户杀掉了木马。另外木马的上报默认应该是自动的。

3、防线防线，应该立足于防，但从防线现有版本来看，原有的补丁、防火墙两个主要的防御功能不见了、开始的系统自动化优化也不见了，而对作为病毒主要入口的IE也没有增强防范，不能不说是一个遗憾，我想哪怕对XP用户默认建议下载IE7（2000无法安装），也会有效缓解相关安全问题。

上一篇：独家发布　安天防线内测版本试用手记(二) 下一篇：卡巴斯基KIS 7.0防火墙设置完全攻略

【收藏】【评论】【推荐】【投稿】【打印】【关闭】

独家发布 安天防线内测版本试用手记(三)

独家发布　安天防线内测版本试用手记(三)