Panic的小屋

微点主动防御软件试用体验及改进建议

作者： Panic 2005年11月9日

微点软件下载地址：http://www.micropoint.com.cn/download/

首先说说试用体验，优点就不提了，有目共睹，缺点说说：

一、功能，界面信息复杂，不方便普通用户接受。

我因对系统维护略知一二，经常被朋友拉去装系统修配置调软件，这个过程中遇到的很多电脑用户，对电脑操作的认知都是比较浅的，在防火墙的设置上，连怎么添加许可权限都得教好多次才能明白。

而软件目前提供的很多系统信息，可以说根本无法被普通用户理解，只有对专业的系统维护管理人员才有参考价值。而事实是，相当多的企业用户根本没有配备专业的电脑管理人员，这些功能几乎不会被用到。

二、安装。

安装后必须重启，这个问题很简单，但是总有些偷懒的用户不重启就直接开启软件，虽然这招经常是有效的。

我没有看安装后不重启，直接启动的界面是怎样的，个人建议：安装后尚未重启的，无论通过何种方式启动软件，都弹出一个“是否立刻重启”的对话框。

三、界面细节。

软件启动的时候有个启动封面，而运行时托盘区有个图标。这两者其实完全不必要。

作为防火墙，应该是一个后台工作者，没有特别的必要不应该干扰客户的正常工作，尤其是托盘这种区域，现在是个软件就往里丢东西，很多人的托盘里面有十多个图标，纯属吃饱了撑的。

本人在使用电脑的时候，托盘区都是保持清净的，诺顿的图标也隐藏掉，输入法，隐藏，只要能隐藏的就都隐藏了。

启动封面，可以考虑加个选项让用户决定是否显示，类似win的欢迎界面。而托盘区图标也可以像winamp一样定制是否显示，如何显示。

四、可疑文件上传。

理论上，用户电脑上面的文件是用户的私有财产，未经允许是不应该擅自上传的。而即使用户允许上传，那文件中也有可能包含用户的私人信息或者商业机密，用户允许上传不代表允许传播，如果一旦发生用户隐私泄漏的事件，那就会给公司惹上不大不小的麻烦。

同时，有些病毒/木马体积很大，上传这类文件占用的时间和带宽都不是小数目。

其实获取这些木马标本，染毒文件的目的，仅仅是为了分析它们，然后有针对性的制定对策。获取这些资料未必需要直接从用户的电脑上提取这些文件。

既然软件已经对文件的创建等细节做了一定的跟踪，应该有办法确定病毒来自何方，找到源头，自然也就可以获取样本。所以病毒文件的来源，可以作为上传的数据，例如某个网站，或者某个软件包等。

同时，可以对病毒的类型做分析，生成病毒样本的hash编码作为主要上传数据，这样当另一个选择允许文件上传的用户提供了相同的hash码的时候，几乎就可以断定两者是同一病毒，从而得以处理。

上传之前，应该向用户展示要上传的内容，以便用户确认无敏感信息，即使是文件，也要提供一个类似uedit的界面展示文件的 二进制/文本 内容。

由于病毒和木马一般都有传播性，所以一旦某种新病毒出现，受感染的电脑一定不是一台两台，也许只要能得到一个样本，就能有效制定对策了。

五、注册制度

现在的注册似乎是一台机器一个sn的方式，这对于个人用户是可以接受的，对于企业用户也勉强，但是对于网吧，机房等公共场合就不适合了。

一个网吧，动辄数百台机器，如果需要更新系统或者其他操作需要重新验证的话，估计网管要累吐血了，建议为这些场所提供针对性的服务。

然后说说建议：

一、界面，还是界面，建议提供一个简洁版界面，以方便普通用户使用。

二、建议开放部分编程接口。

开放接口有几个好处：

1，方便第三方开发辅助性的工具等，

例如提供换肤接口，那可能有些人就吃饱了没事开发几套不同的皮肤，满足不同用户的个性需求。

2，有利于业余开发者参与。

由于防火墙本身技术含量很高，而公司中主要也是技术牛人，有些细节的东西可能在考虑上过于主观，如果开放一部分功能接口，那么一些业余开发者就可以借助这些接口开发一些更方便的功能，这些作品可以作为软件今后改进的参考。

3，有利于推广。

开放接口之后，使用这些接口的例程，源代码都可以通过一些主流开发网站免费发布，所有下载并使用这些源代码的开发者无疑都是潜在客户群。而代码本身就是一种广告。

与此同时，从这些开放接口得到好处的开发者，为了推广自己的产品，就必须同时推广你们的软件，这是一个回馈效应（一个典型的例子就是RAR的流行）。而且这种做法也不会招致骂名，因为你们不是捆绑销售的发起者。

可以考虑开放的接口，像获取系统信息，进程列表，网络使用状况，端口占用等等，原本就记录在日志中的信息，通过一个接口反馈给调用者。

4，有利于合作。

软件中的很多功能，有可能是其他开发商的功能需求，开放接口之后，这些开发商就可以通过合法的形式利用这些功能，其他开发商在某些领域的竞争地位就会转化为合作地位，这对于公司来说是好事。

三、建议对提供病毒样本的用户给予一定的鼓励。

病毒样本的区分可以通过前面讲过的hash码等方式进行，可以对首个提供某类病毒的用户给予一定的奖励，以降低用户对上传本机文件的抵触情绪。

暂时就这么多了～谨祝顺利～～

有任何问题请到  http://blog.vckbase.com/panic  留言。

                                                                    Panic 2005年11月9日

"其实获取这些木马标本，染毒文件的目的，仅仅是为了分析它们，然后有针对性的制定对策。获取这些资料未必需要直接从用户的电脑上提取这些文件。"
=====================================
抛开保护用户隐私的必要性，从大量用户处获取病毒样本是很有效的扩大样本库方法
=====================================

"既然软件已经对文件的创建等细节做了一定的跟踪，应该有办法确定病毒来自何方，找到源头，自然也就可以获取样本。所以病毒文件的来源，可以作为上传的数据，例如某个网站，或者某个软件包等。"
=====================================
从木马特性得到传播路径，这个从技术无法实现吧？及时你能得到发布这个木马的源头，也不能保证源头的IP有否变化，文件是否被删除……
=====================================

"同时，可以对病毒的类型做分析，生成病毒样本的hash编码作为主要上传数据，这样当另一个选择允许文件上传的用户提供了相同的hash码的时候，几乎就可以断定两者是同一病毒，从而得以处理。"
=====================================
用文件hash值来判断重复，对木马可行，对病毒不可行。
=====================================

"上传之前，应该向用户展示要上传的内容，以便用户确认无敏感信息，即使是文件，也要提供一个类似uedit的界面展示文件的 二进制/文本 内容。"
=====================================
支持这个。不过对最终用户来说显示文件名可能就足够了。
=====================================


另，你的认真态度值得学习！

挺认真的。现在的社会就是缺少这样的人。

卡巴今天封KEY了，下了个微点用用………………

好像无法像其它杀毒软件一样扫描文件。