安全路透社
当前位置:安全路透社 > 网络转载 > 正文

【WitAwards 2016 “年度安全产品”参评巡礼】做最干净的杀毒软件:火绒安全软件评测

*本文原创作者: ArthurKiller,本文属“WitAwards 2016年度安全评选”专题报道

火绒,国内一款新兴的免费杀毒软件。该软件安装包只有9.1 MB的大小,却包含了防火墙,杀毒引擎,HIPS,弹窗拦截,文件粉碎,垃圾清理,火绒剑,系统右键管理等功能。1.5MB大小的病毒库却可以抵挡千万种流行电脑病毒。虽然作为一款创业公司的产品,火绒却有着自己的“坚持”——国内大部分免费杀毒软件都是OEM其它公司的杀毒引擎,火绒自主研发了杀毒引擎;在“捆绑、弹窗、私自上传、篡改电脑”的PC软件行业潜规则面前,火绒告诉FreeBuf,他们自始至终坚守着底线。

也许正因如此,这款并不算“大众”的安全终端软件收获了不错的口碑——曾被众多网友评价为国内最具良心杀毒软件之一,最安静的一款杀毒软件。

5.png

产品分析

背景

火绒 3.0的标语是“专注,纯粹,才能更安全”,而火绒杀毒软件也被众多网友评价为“中国最干净的杀毒软件”。该杀毒软件只有9.1 MB左右的大小,是传统杀毒软件的十几分之一。而病毒库也只有1.5MB大小左右,却可以抵挡各种流行电脑病毒。火绒经历了1.0 、2.0、 2.5三个版本,目前3.0版本已经正式发放,4.0版本处在内测阶段。

1.png

目前该软件只支持windows 32位和64位操作系统。根据火绒论坛的官方回答,火绒的核心引擎是支持Linux和Mac的,只是目前尚无Linux桌面版开发计划。火绒目前只有简体中文版本,并不支持其它语言,如英文和繁体。

1.1.png

火绒3.0的基本功能为以下五个模块:

安全概览

反病毒

系统防护

防火墙

安全工具

模块一之安全概览

火绒3.0采用了左右结构的布局模式,整体看上去简单明了,也没有多余的推广和新闻诟病,用户体验良好。

13.png

模块二之反病毒

火绒的反病毒模块和国内的杀毒软件相比基本上是大同小异。反病毒模块又分为了病毒查杀子模块,病毒防御子模块,隔离区子模块和信任区子模块,而每个子模块下面又有多个选项。但是火绒3.0在技术上和其它的杀毒软件有些不同,除了更强强悍的反病毒引擎外,它还内置了“虚拟沙箱”技术,使之拥有了更加强大的通用脱壳和行为扫描能力。

火绒3.0主要包括以下五点反病毒能力:

1) 火绒反病毒特征库:拥有自主研发的新一代反病毒引擎,相对于国内大部分杀毒软件来说,火绒不会局限于国外OEM的病毒库或者反病毒技术。

2) 火绒反病毒引擎扫描核心:进行逻辑扫描,静态文件扫描,动态文件扫描,特征码扫描,以及宏病毒和感染型病毒查杀等功能。

3) 火绒反病毒引擎I/O 抽象层:为扫描核心系统提供统一的I/O 访问接口,同时提供相应的缓存机制来减少对物理磁盘的I/O 访问。

4) 火绒反病毒引擎文档分析模块:可以针对不同格式的文档和程序进行解码分析,如rar,word,PDF,JS等

5) 火绒虚拟沙盒:在扫描病毒时,火绒3.0会将文件放置在虚拟沙箱中运行并且监控,并且对其进行脱壳和扫描。火绒的沙箱拥有超过5000 个Windows API,完备的操作系统环境仿真,并且在沙箱中运行的程序不会对主机系统产生任何威胁影响。

3.png

模块三之系统防护

火绒3.0提供了一个增强版本HIPS (主机入侵防御体系)功能,新加入的“执行控制”功能,可以帮助用户拦截一些基于命令行的任务,而这个功能颇受用户的欢迎。用户可以使用这个功能为各种文件自定义特别的权限。

4.png

除此之外,用户还可以导入和导出自己制作的规则,非常的人性化。

14.png

模块四之防火墙

一般的杀毒软件都采用第三方程序来作为防火墙,比如360英文版本就采用了Glass Wire作为防火墙插件,但是火绒3.0的防火墙却内置在这15MB大小的文件中。麻雀虽小五脏俱全,火绒3.0的防火墙可以满足绝大部分防火墙的功能,比如流量监控,限速设定,网络控制,进程控制,流量查看,钓鱼网站拦截,盗号木马拦截等等。

5.png

模块五之安全工具

火绒3.0的安全工具模块主要提供了以下6大安全工具。

火绒剑

垃圾清理

右键管理

修改HOST文件

文件粉碎

弹窗拦截

6.png

火绒剑主要是为专业人士提供的安全分析工具。火绒剑它提供了“程序行为监控”、“进程管理”、“文件管理”、“注册表管理”、“系统启动项管理”、“内核程序管理”、“代码钩子扫描”七大功能。

火绒剑有着以下四大技术亮点:

1)注重实用性,将关键的行为特征进行了着重体现。通过火绒剑的内存分析、内核功能和钩子扫描,可以快速全方位的进程进行详细分析,大大提高分析人员的工作效率;

2)针对进程运行时产生的大量行为动作进行了细化和整理,并且对关键行为进行了抽象整合,使分析人员可以更加直观的获得进程的行为信息;

3)可以快速识别进程行为,并依靠追踪调用栈进一步了解进程逻辑。查看进行模块、内存转储和提取内存字符串,更加具体的获得进程的运行信息;

4)还提供启动项管理、操作系统内核分析以及底层文件操作和注册表编辑等功能;

7.png

火绒的垃圾清理工具在设计上也十分的简洁,可以对浏览器垃圾,视频音乐垃圾,游戏应用垃圾和操作系统垃圾进行清理。

8.png

火绒的右键管理工具非常的人性化,用户可以禁用或者开启特定的右键选项。

9.png

火绒的修改HOST工具点开之后就可以编辑HOST文件。虽然技术非常简单,但是功能非常实用。有特殊要求的用户可以快速地对自己的HOST文件进行编辑和查看。

10.png

火绒的文件粉碎工具。这个功能和一般的文件粉碎工具并无区别,文件一旦粉碎将很难恢复。

11.png

火绒的弹窗拦截做的非常有人性化。除了智能的弹窗拦截以外,它还支持自动检测弹窗,手动定位弹窗,自动记录弹窗等。

12.png

其它

为了达到一个客观公正的产品介绍,FreeBuf测试了第三方防火墙对火绒3.0进行流量监控。只要用户不主动对火绒的服务器发起请求(比如更新检测,工具下载等),火绒的客户端是不会去主动请求服务器的。在运行火绒客户端一个月内,火绒3.0并不会主动弹窗影响用户体验,也未收到过任何新闻和产品推送,客户端内也未发现任何广告服务。

国外免费的OEM杀毒引擎成为了国内弱势安全厂商的敲门砖。早在2013年,国内就有部分专家提出中国大部分杀毒软件的反病毒引擎都是国外OEM的,这样就导致杀毒软件的核心技术掌握国外公司的手上。这种情况对国家安全,企业安全,甚至是个人安全都是十分危险和不稳定的。放弃核心技术将会导致必在的潜伏危机。当别的厂商使用国外杀毒引擎,把节省下来的巨额研发费用投入市场宣传,以“低价”、“免费”的方式进行市场倾销,沉重打击国产安全市场,使市场进入“劣货驱逐良货”的恶性循环。而火绒主要是采用自己研发的杀毒引擎,从开发到上线,一个代码一个代码的编写,做到了真正的自主研发。相对于别的杀毒引擎,火绒杀毒引擎有着以下三大优势。

1.基于虚拟化的本地行为沙盒技术,通过极小的病毒库打造强大的查杀能力

2.完美清除各种感染型病毒、宏病毒,通过剥离附着在宿主程序中的病毒代码,实现对被感染文件的还原,不破坏原有程序和文档的数据

3.丰富的反病毒引擎解码能力;支持对Zip,RAR,7-zip,CAB,OLE,NSIS,InnoSetup,SmartInstallMaker,AutoIT,PDF,RTF,MSO,DEX等几十种文档的解码能力。

4.png

火绒高质量的用户体验,严谨的反病毒技术和便利的脚本工具是它的优势,但是相比其它的杀毒软件,火绒也有自己的劣势和不足。

火绒3.0目前只支持windows 64位和32位,兼容平台单一是它目前所存在的劣势之一。

火绒3.0工具有待补充,比如补丁安装,驱动扫描安装等。虽然Win 10系统已经可以自动化完成这些功能,但是国内普遍还有很多老版本Windows用户需要这些附加功能。

火绒的虚拟沙箱查杀技术已经非常成熟,但是与当今互联网上这些恶意横行的病毒对抗,火绒杀毒引擎可以加入更多的查杀机制,比如云查杀等。

市场分析

产品定位

火绒主要有着以下三大产品支柱:

火绒 3.0

反病毒引擎OEM

火绒剑分析工具

火绒 3.0主要是做一款免费的2C产品,主要针对国内的普通用户。而火绒针对2B产品主要是反病毒引擎OEM和火绒剑分析工具。根据火绒官方介绍,火绒提供反病毒引擎SDK,和引擎、病毒库组件升级服务,火绒防病毒技术可以很容易地集成到公司产品或服务中,并提供公司的客户,提升产品的查杀能力,以及公司的产品收入。以“火绒剑”为基础,按合作伙伴需求,定制检测恶意代码相关的分析模块或产品,并藉此提供更深度的威胁代码分析等服务。

除此之外,火绒也涉及到相关的推广收费。在默认情况下,这个功能是关闭的,推广内容是完全非强制的,可以自由选择设置项目。用户如果选择了推广的项目,火绒安全团队能够获得许些收益。

2.png

根据火绒官方论坛的更新动态来看,火绒接下来可能也会涉及到企业版软杀的开发和运营。

1.png

发展前景

知乎上,大部分网友对于火绒都有着一致好评。通过对这些网友的知乎历史纪录查看,这些评论应该都不属于“水军”账号。良好的用户口碑和免费的2C模式,火绒接下来可以在2B产业上大展身手。

3.png

火绒创始人之一刘刚表示:

“某上市安全公司的大佬曾对我说,不要过早的考虑商业模式,找个缝扎进去,使劲掏大,等空间大了,商业模式自然就出来了。” 目前火绒的发展模式还在探索中,但是发展路线大致非常清晰,主要是依托于良好的用户口碑,在安全软件2C这个红海内获取用户流量。然后通过庞大的用户流量,再从2B领域中获取利润。 

火绒目前的营收应该还有待发展。针对2B,火绒采用杀毒引擎OEM,火绒剑和推广进行收益。针对2C,火绒主要采取捐助模式。免费模式对于很多初创企业都是”一座大山“,而良好健康的运营模式是成功的关键之一,火绒要迈出这个”门槛“还需要很大的努力。但是,国内很多安全厂商的杀毒引擎是OEM的,来自国外。真正拥有自主知识产权,而且足够先进、能够跟上时代的厂商,在中国非常少。只要认真去做,一定会有一席之地。

6.png

企业背景

火绒博锐(北京)科技有限公司于2011年9月23日在工商登记注册,注册资本为100万人民币。火绒创始人全部来自原瑞星研发部门高级管理团队。火绒由瑞星前CTO刘刚带领创建,员工主要来自瑞星、腾讯、江民等国内外IT公司。

刘刚:前瑞星CTO,自2006年底开始领导瑞星研发部门,主持开发了2008、09、10三个版本的瑞星安全软件,并在国内首次策划、实施了”云安全”技术项目,目前”云安全”已经成为各大知名安全公司必备的病毒处理流程和商业标签。

毛钧:前瑞星研发部的”主机安全研究分部”经理,曾经主持”病毒自动分析和处理系统”、”新版黑镜头”等若干重要项目的研究和开发,早在2006年就曾和刘刚一起,合作开发出在当时属于业界领先水平的”可控虚拟机脱壳引擎”,目前负责”火绒实验室”的”主机安全研究”项目。

周军:前瑞星研发部的”安全软件内核研究与开发”团队负责人,曾负责瑞星安全软件的所有内核驱动模块的开发,2009年独自设计并组织开发了”分时虚拟机引擎”专利技术,目前负责”火绒实验室”的”安全内核技术研究”项目。

李建业:前瑞星研发部的”病毒分析处理”团队负责人,曾负责瑞星全线产品的病毒分析处理工作、”病毒自动分析和处理系统”架构设计并组织开发实施。

在互联网安全问题日益严重的今天,杀毒软件成为了一个刚需的产品。但是市面上大多免费的安全软件,为了自身企业的发展,往往加了本身并没多少用处的各种“安全新功能”。频繁的弹窗,臃肿的安装包,触不及防的捆绑软件,偷跑的流量等等。而付费型安全产品却又不符合当今中国互联网的2C商业模式。这些恶劣的情况是不符合当今的互联网发展模式的,而好的杀毒软件应该只干活,不闹事。在这个恶劣的商业环境下,刘刚带着他组成的团队立志做出一个干净,健康,纯粹的杀毒软件。而火绒,也就在这个”乱世“之中诞生了。

刘刚认为,在考虑商业模式之前应该优先考虑公司对用户的价值,专注安全领域是火绒明确的目标。火绒从成立之初到现在没有接受任何外界投资。刘刚认为:“这最大限度地保证了火绒软件的功能聚焦在用户的真实安全需求上,而不为投资人或者商业伙伴的利益所左右。团队需要融资,但是绝不会收带“毒”的钱。”

WitAwards年度安全评选火热报名

FreeBuf主办的FIT 2017(2017 FreeBuf互联网安全创新大会)将于2016年12月28日-29日在上海陆家嘴上海国际会议中心召开。与FIT 2017大会并行的WitAwards 2016,作为一年一度的互联网创新安全评选盛典和FIT 大会的重头戏之一,自然备受业界关注。 

201347081521117549.png 

WitAwards 2016互联网安全年度评选,旨在发掘全年卓越的安全产品和杰出人物;给予在2016年为安全行业做出贡献的个人、团队及产品以掌声和肯定;为超过100款安全产品的创新和努力,及行业的专业精神全情投入喝彩。

参选奖项报名

920146496057948409.png 

不同奖项的参与报名通道现已开启,9月15日-10月31日,针对以上四大奖项,任何人都可以进行线上报名,或以为他人及其产品提名的形式参与WitAwards 2016评选。FIT官方会对报名和提名的项目进行初步审核。

WitAwards2016参选奖项报名入口:http://wit.freebuf.com

行业评委申请

自古高手出民间,尤其在安全领域更是藏龙卧虎。

本届WitAwards年度互联网安全评选,特邀“懂安全”的你担当我们的行业评委,也相信你能够代表业界同行评选出最专业最优秀的奖项。

入选行业评委,将获得FIT 2017大会门票。

WitAwards 2016行业评委申请入口:http://form.mikecrm.com/liMYUT

*本文原创作者: ArthurKiller,本文属FreeBuf专题报道

未经允许不得转载:安全路透社 » 【WitAwards 2016 “年度安全产品”参评巡礼】做最干净的杀毒软件:火绒安全软件评测

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册