使用fscs的首次中毒，请globe和david_sg莅临指导。

andyangela

ls这位又开始发表她的sandbox鸡肋论了，呵呵， 不过请看清楚了，lz用的是fs6，不是fs7，所以不关sandbox的事情，该干嘛干嘛去，别在这捣乱

sob2007

原帖由 globe 于 2007-8-26 16:49 发表
david是专业人士,我挺多算是热心点的用户,而且早已不用FS很多年
sob2007兄所提的问题,我想对于一个使用了一年多fs的老用户是很容易理解的,勾与不勾就看使用者的侧重点,是安全重要还是性能浏览的速度重要 ...

正本清源，今天毒发身不亡的原因找到了——是前天晚上7点被ip地址为68.34.212.110的人入侵，种入了sinit木马，此trojan并未在前天被fscs6清除，（虽然已有alerts并block，实际不尽然，fs并没有blocked sinit trojan，昨天sinit酝酿并繁殖了一天，今天终于病发。
请教globe，我的机器怎么老是有诸如nmap tcp scan和inbound malware probe，不是说fs的firewall在欧洲是排名第一吗？怎么会没有抵御住别人的入侵呢？
还有个问题，在下面的图片中，红色和黄色的惊叹号分别是什么含义？各代表什么意思？
最后一个问题，globe现在使用什么杀软，推荐一下。
其实，我没有什么选择，只能用nod32和fs6，因为只有128m的内存。

sob2007

原帖由 andyangela 于 2007-8-26 17:02 发表
ls这位又开始发表她的sandbox鸡肋论了，呵呵， 不过请看清楚了，lz用的是fs6，不是fs7，所以不关sandbox的事情，该干嘛干嘛去，别在这捣乱

大家探讨，欢迎捣乱，欢迎bitdefender人士。

bd我也试用过，在98上装的，结果开机用了0.8个小时，全盘scan用了n天，（一个毒都杀不出）结果n天下来以后，系统崩溃，土崩瓦解，只得ghost。

globe

估计有可能被某黑客盯上了,因为nmap是黑客扫描端口的常用工具,Nmap通过使用TCP协议栈指纹,可以准确地判断出被扫主机的操作系统类型,inbound malware probe不太清楚,原因可能有很多,BT是就有可能产生.
FS的防火墙欧洲第一的传言好像是从04,05年开始的吧,到目前我还没有见有发布过关于FW大的更新报告,我个人理解是,在FW技术上没有大的进步,而且目前没有任何FW是100%安全的,在所难免,不怕贼偷就怕贼惦记....
至于图上的黄红,我也不太确定了......可能是安全级别吧
本人目前在使用bd av 2008,刚出证实版尝尝鲜[:26:]

sob2007

原帖由 globe 于 2007-8-26 18:10 发表
估计有可能被某黑客盯上了,因为nmap是黑客扫描端口的常用工具,Nmap通过使用TCP协议栈指纹,可以准确地判断出被扫主机的操作系统类型,inbound malware probe不太清楚,原因可能有很多,BT是就有可能产生.
FS的防火 ...

oh, my god!又一个神勇小白鼠，我也想做除了fs6以外的所有av的小白鼠，可惜家里机器烂，只怕最后出师未捷身先死。不过，我在我办公室的2台机器上已经分别安了fs7server以及workstation版了。哈哈，在办公室已经做了好几回小白鼠了，国外的av几乎已经尝了个遍，最终还是选择了fs7。

关于hacker，至今心有余悸，已经2年多家里不用qq了。上次家里qq只要与某人一对话，不出10秒的功夫，系统就会自动重新启动，再发展到后来，只要一登陆qq，系统就自动restart，（比冲击波还厉害）费了很多的力气才最终搞定，后来怕了，决定永远不在家里再装和使用qq。

很怀念中冲击波的日子，开动脑筋，最后自行手工解决了此病毒。（个人以为那才是玩av/病毒的最高境界）

现在防范意识越来越好了，已经很久都没有中过毒了。（上次的熊猫也没有碰上，擦肩而过）

独孤求败的境界是最悲惨的，总的来说，今天还是很兴奋的。

globe

赞同,一直认为qq是传播病毒和木马的有效途径,所以几乎没用过qq
使用习惯好,裸奔也不会中毒
这病还是好的的好,健康比什么都重要啊

sob2007

总结呈辞，trojan分身有术，第一分身fs没有防住，不过第二分身在再次进攻之前被fs发现了。

请细看当时application control之dialog全局图片(下图)，在第二分身进攻之前，第一分身已然成功侵入内存。请注意图片右边占用内存736k的suchost.exe。

这样的话，即使deny第2分身，也已经起不了任何作用了。所以说，6系列的cs在某些情况下对付病毒之进程是有一些滞后的，或许是我昨天更改了设置的问题。



[ 本帖最后由 sob2007 于 2007-8-26 19:40 编辑 ]

globe

因为木马有非法网络响应请求,所以被fs的网络监控抓到了
我认为正因为你昨天勾了那些安全选项,增强了监控,才能拦截这个木马,不然很可能现在还发现不了

taihuxian

原帖由 andyangela 于 2007-8-26 17:02 发表
ls这位又开始发表她的sandbox鸡肋论了，呵呵， 不过请看清楚了，lz用的是fs6，不是fs7，所以不关sandbox的事情，该干嘛干嘛去，别在这捣乱

这里是论坛，我说话管你事?

[ 本帖最后由 taihuxian 于 2007-8-26 21:56 编辑 ]

taihuxian

同样，lz的例子说明，fs6的sc也是鸡肋

[ 本帖最后由 taihuxian 于 2007-8-26 21:43 编辑 ]