关于“墨者安全专家3.7”不得不说的事情

2009/1/18

关于“墨者安全专家3.7”不得不说的事情

寻找免费杀毒软件的时候，了解到安装“墨者安全专家”就可免费使用趋势的“杀毒专家”，虽然别人都说趋势的东西比较肉，但因为没用过，所以也想试试看。

首先下载了墨者版的趋势杀毒，安装时提示必须安装“墨者安全专家”否则无法继续下去。没办法只能任人强奸——安装墨者3.7正式版。

下图是墨者版的趋势杀毒专家，从界面上可以看出两者之间的关系非常亲密。

既然“墨者”自己把自己说得神乎其神，那我们就仔细看看它吧：

1、反rootkit，这是其免疫隔离术的核心。rootkit就是双刃剑，反rootkit术本身也用到了rootkit，“墨者”在启动时以驱动加载的方式获得系统的最高权限，我们知道驱动级的程序对设计和编码的要求极高，弄不好不是蓝屏死机就是过多的消耗系统资源（在任务管理器里无法观察到CPU的异常消耗）。对于木马和病毒来说用rootkit实现的功能相对单一，不需要实现复杂的行为分析、规则匹配，所以我们往往看不到系统的可用性方面的异常。令人失望的是，“墨者”拖累了系统，使系统明显变慢。另外，开启“墨者”的反rootkit之后，所有的rootkit程序都无法运行，比如说IceSword，我们知道IceSword是反黑的利器啊，呵呵，似乎“墨者”真的太自信了，就像其广告说的“百毒不侵”。本身又不提供类似的功能。

2、“墨者”将监控模块（GlobalHookDll.dll）用钩子的方式，挂接到系统中几乎所有的进程。看到下图窗体上的“免疫隔离中”和“授权保护中”了吗？这样的监控方法并不是什么新技术，更不是什么好办法，对CPU制造商倒是很有好处——把你的系统变慢，赶紧升级去！

3、“暴力破解”我的口令？在安全性日志中查看到大量帐号登录失败的日志，而且在其安装目录下发现有一个名为“PasswDic.dic”的文件，从名称上看这是一个口令字典。而且在每次用户登陆后就会产生这样的日志，是不是“墨者”在进行弱口令测试，以要求用户注意系统的安全性呢？我们做一个简单的测试，把“administrator”的口令改为“123”，然后重启，等待弱口令的提示窗口，总之等了n久都没看到有什么窗口蹦出来。再将口令改成“1234567”，重启，还是一样的平静。到日志中看看，发现这真的是一个弱口令的探测，“123”位于口令字典的第22行，“1234567”位于口令字典的第29行。最后，在主界面的“漏洞修复”二级菜单中终于找到了弱口令的提示。我不禁想问，如此拙劣的口令探测，如此衰的“漏洞提醒”，究竟能给用户怎样的保护。

4、墨者的Logo虽然打到了“趋势杀毒”的主控台上，但并不说明他们就真的能精诚合作，请看下图，墨者并不买趋势杀毒的账，趋势杀毒的所有监控都已打开，但墨者视而不见。

结论：“墨者安全专家3.7”非但没有带来让人兴奋的新技术新功能，反而让人怀疑其技术与实力，与趋势杀毒的组合也之只能用弱弱联合来形容，虽不至于用垃圾来形容，但也绝对不值得使用，甚至连试用都不值得。

16:56 | 查看引用通告 (0) | 写入日志