mappletree
注册用户
积分 111
发帖 111
注册 2006-8-24
|
#1 转贴风云防火墙个人评测报告-希望微点也加入相应功能
风云防火墙个人评测报告
早些时候得知有一款防火墙可以即时看见连接本机进程的对方IP地理位置,很好奇。但直至今天我才得知这个防火墙名为:风云防火墙。网络搜索,找到一篇eNet.com.cn的《风云防火墙个人版试用》,转贴于官方论坛,发现已经有了介绍。故决定自己做个原创的评测报告,不足之处请大家见谅!PS:声明,本帖为本人100%原创,凡转贴请注明出处并通知在下,同时测试不求全面不保证完全无误,旨在给软件作者一个建设性的指导意见。谢谢!
首先看看官方对自家软件的描述:
风云防火墙免费使用,无功能限制。
八大优点任你体验:
一、独特创新的木马数据包特征码拦截技术,木马程序一旦被列入病毒库,无论如何加壳伪装都能完全实施拦截;
二、强大的密码保护功能,彻底拦截WH_KEYBOARD, WH_JOURNALRECORD, WH_GETMESSAGE, SendMessage等键盘记录软件功能;
三、全新智能的侦测、拦截、询问已知加壳的程序运行功能,可安全确定加壳程序软件的运行安全性;
四、简单、完整、实用的防护规则、IP端口规则,程序规则使用底层驱动,完全有效防护系统安全;
五、便捷的网络连接查看、显示远程IP地址、远程物理地址,所有网络连接一目了然;
六、自动检测隐藏进程,同时可以对进程进行定位、查看属性、终止进程等一系列操作;
七、自动检测隐藏服务,使隐藏服务的木马无处遁形,瞬时显现隐藏服务,删除隐藏的木马服务;
八、防火墙自身保护功能,遇非法终止后自动封锁本地网络,确保本机安全。
■ 评测环境
系统:Windows XP 5.1 (2600.Service Pack 2)
网络:电信ADSL
软件:风云防火墙个人版 V1.1
瑞星防火墙个人版 V18.31(2006-6-14)
■ 评测内容
下面就针对上面几条,测试各个功能。
A.木马与加壳拦截
对加壳软件的运行防护是风云的一个特色功能。
在这个木马近乎泛滥的年代,首先测试风云的木马防护能力是很有必要的。这里以常见的灰鸽子为例。测试中使用了5个文件:一个未加壳木马服务端,分别用ASPack、UPX、北斗、FSG做单一加壳,最后一个做多重免杀加壳。加壳后文件大小排列是:北斗<ASPack<免杀壳<UPX<FSG<未加壳。
双击运行加壳木马,风云防火墙反应列表如下:
① 北斗 没有反应
② ASPack 弹出询问框
③ UPX 弹出询问框
④ 免杀壳 没有反应
⑤ FSG 弹出询问框
可见风云对常见壳的运行防护力是不错的,但是我们也可以看到对冷门壳防护监控还有待加强。
继续观察,发现一个有趣的问题:让木马运行之后,风云弹出IE请求连接窗口(注意此时瑞星防火墙并无提示),端口号8000(灰鸽子控制端默认连接端口),拒绝则被控制端无法上线;再选允许,发现风云报警显示出灰鸽子运行,采取了拦截措施
但是同时风云也拦截了正常的程序!如QQ、PPstream等(如图5),这意味着当用户无意中允许木马运行之后将会对正常程序造成一定影响!这是我们不愿意看到的,这里风云对网络访问规则的判定应该更加准确才是。
B.键盘记录防护
大多数木马其中一个重要内容就是记录键盘操作,风云提供了特有的密码保护功能,测试中发现凡是密码输入的地方,都会有绿色方框包围,说明风云密码保护正在起作用。灰鸽子测试结果也显示,绿色方框内输入密码键盘记录软件没有任何记录,绿色方框之外键盘记录软件才有记录。另外我还测试了一个QQ音速游戏,群内用户反应魔兽世界中也能起作用。
再测,在密码输入框中的字符都显示为星号,我们看看风云对星号密码查看器之类的软件防护力如何。测试了4款软件,列表如下:
① 008密码查看器 v1.55 无密码显示
② 星号密码查看器 显示“风云防火墙密保”,同时软件报错
③ Agelx V1.9 无密码显示
④ Folder View 有密码显示
这里特别说点第②款软件,查看QQ本地消息密码时显示“风云防火墙密保”(图9,此时选择运行将显示红色方框),
同时风云弹出若干对话框和提示信息,最高一次达10个
选任意一个关闭,风云防火墙立马报错退出由上表可以大致看出①③使用同一API函数调用,②④使用不同函数调用。这样可能会给那些自行查看星号密码的用户带来点小麻烦。
总的来说,风云的密码保护功能还是很不错,需要解决的问题是软件容错能力,我想没有人喜欢一款软件运行中出错死机掉吧。
C.防护规则、网络IP地理位置查看
防护规则方面,有程序规则和IP端口规则,和大多数防火墙设置基本一致。风云的规则导出格式为 *.dat,有朋友和我一样的想法:将瑞星防火墙规则导入进来。但两者文件格式不一致,无法实现。两个解决方法:a、官方发布规则配置文件提供下载,b、下一版本兼容其他防火墙规则的格式。似乎第一种更简单。
IP地理位置查看是我初识风云防火墙的缘由了,这个功能可以很方便查看远程连接地理位置,值得考察的是IP地理位置的有效性。测试查出,当前V1.1版本使用的IP数据库为2005年8月30日版本,记录总数:228371条,而最新的IP数据库是2006年6月15日,记录总数为264990条。前者数据过于陈旧,这是软件作者忽略的一处。
D.隐藏服务、隐藏进程查看
这点对比瑞星防火墙或者天网防火墙来说效果好得多,以上两款防火墙均无服务查看功能,更不用说查看隐藏服务和删除服务。风云在隐藏进程显示方面做得很不错,启动类型和状态分别用不同颜色字体显示,让人一目了然。同时加入了一个“安全优化服务”用向导式指导用户安全设置启动服务项目,是一个贴近用户的设定。
另外一方面,风云防火墙并没有设置安全级别的调整选项,在这一点上还显得不够人性化,相对而言瑞星和天网做得更好些。
E.防火墙自身保护功能
国内反病毒木马等网络安全软件开始意识到网络安全软件本身的安全是值得庆幸的事情。早期瑞星杀毒软件安装不考虑当前系统环境,如今加入了安装时内存扫描功能,这正是一个好例子。风云方面,测试中灰鸽子能轻易中止风云防火墙进程文件:FYFireWall.exe,但随后风云防火墙断开了网络。需要说明的是,测试中网络连接并未断开!而只是无法连接互联网,这里的断开和在网络连接右键选择断开含义是不一样的。可以推测的是防火墙另一程序阻止了电脑与网络进行有效连接。时间关系,此处并未做进一步测试。
最后附带说一点,测试过程中发现风云防火墙日志竟然是每次软件关闭之后自动清空!这不得不说是软件作者一个小失误吧!当时我寒了一个。
■ 最后总结
作为国产一款新兴的网络防火墙来说,风云防火墙个人版在某些方面已经超过原来定义的防火墙的概念,加入了文件运行防护、密码输入保护、IE修复、系统服务和文件关联查看等功能。对网络安全方面考虑比较实用,木马防护能力强。同时突现出国内网络安全软件对软件自身安全防护,这一点,国外软件确实有优势。例如世界著名杀毒软件,俄罗斯出品的Kaspersky Anti-Virus 卡巴斯基反病毒软件,其中专列了一项“启用自我保护”。如果风云防火墙在对软件本身防篡改能力上加强,同时解决上述问题,相信将会是一款不可多得的优秀国产软件。
现在风云防火墙版本刚刚到V1.1,个人认为风云防火墙可以有两个方向发展供开发人员参考:一是大而全,加入更多防护功能,扩展防火墙感念和意义,做网络安全集成软件;二是精而深,例如卡巴斯基,查杀病毒能力非常强悍是他最大的特点。对风云而言,这条方向将进一步加强软件特色功能,如密码保护、木马与加壳拦截等功能,做最有特色的专项产品。
总之,本工作室将全力支持风云防火墙,非常原意推广这款软件,支持国产软件发展,是我们每个人应尽的义务和责任!衷心祝愿风云一路走好!
星罗马工作室 Staroman Workshop
蓝丝 撰写
2006年6月18日
| |
※ ※ ※ 本文纯属【mappletree】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
