唔，试了下目前火绒还不能拦截QQ黏虫

谢新

其实就是防御点没做全而已…

香喷喷

像火绒这样的杀毒软件就跟前段时间在卡饭蹦跶了一段时间的那块杀毒软件，还说有什么背景，最后不是还拉米了，偶看火绒最后的结果也就是那样。

-oAo-

不拦截很可怕呢

√×√×√√×

囧，好吧都这么激动，录视频太麻烦了我来上图好了 囧囧囧

测试小浩


样本来源：http://bbs.kafan.cn/forum.php?mo ... 4%B4%F3%B6%BE%CD%F5   
觉得质疑的可以自己亲手去测

火绒非最新版，用旧版测



防御设置如图，均为最高级别



囧，双击运行，弹窗拦截


选结束进程的话完整拦截，查看系统窗口没有被修改，同时用毒霸扫描做对比系统安全



选阻止的话弹窗数个（均选阻止）





之后没能完美拦截系统被病毒感染篡改



囧，火绒默认设置的结果和最高设置的拦截结果一样，比较恶性的病毒两个级别的拦截效果基本没差

囧，不过先别着急下结论，不妨来看看其他杀软的表现，太麻烦的我懒得弄就用手头的金山毒霸2012 SP5.0 正式版试试看吧 囧，别和我提测试版，火绒我也没用最新版的测，这么老的恶性病毒正式版应该也拦得住才应该

囧，用ESV壳过掉表面微特征之后我们来看金山K+对小浩的表现，和火绒被过的情形一样，我们同样用都选阻止，而不选结束进程
各种弹窗一律阻止




囧，这时候K+一下爆发了弹了三个窗出来，囧，不过注意左上窗口标题，实际上系统已经被病毒感染了


毒霸防御全开，系统依旧悲催 囧囧



由此可见，大名鼎鼎的K+铠甲云主防的防御力“不过如此”，更何况火绒还是本地，如果这能算被过的话，希望毒霸那边也注意修一下。囧，但毒霸对这个病毒应对了多久，火绒对这个病毒应对了多久，结果是相同的。意义却是不言而喻的。高标准严要求是对的，但不能太针对，给火绒点时间让它去更好吧 囧囧囧

酱紫啊~

√×√×√√× 发表于 2012-8-19 21:22
囧，好吧都这么激动，录视频太麻烦了我来上图好了 囧囧囧

测试小浩

测试辛苦了

vardyh

√×√×√√× 发表于 2012-8-19 21:22
囧，好吧都这么激动，录视频太麻烦了我来上图好了 囧囧囧

测试小浩

感谢64楼朋友的辛苦测试，其实这个病毒的行为用火绒剑可以看的非常清晰，所有的问题都是可以解释的：

1. 这个病毒会感染可执行文件，但火绒和k+均不是手动hips，所以不可能所有文件修改操作都提示，那样的话病毒没把用户搞死，安软的弹框先把用户烦死了；当然，如果用户能够忍受这种烦，自己设置对文件写入的保护规则，火绒完全可以保证小浩感染不了任何文件；

2. 小浩的感染动作就是任何被感染的宿主程序发起的，结束掉这个进程就会终止感染动作（前提是干净系统开始运行小浩样本，如果其他程序已经被感染那么要干掉全部被感染的程序才能彻底终止感染动作），所以火绒系统加固拦截后选择 "结束进程" 或行为分析拦截后选择 "清除并隔离" 可以彻底拦截小浩；

3. 如果小浩的宿主进程没有被结束，之所以每个窗口打开后会看到“已中毒”的字样，是因为小浩宿主程序会不停地向当前窗口发设置窗口标题的消息而已，而这个消息几乎所有主防都是不拦截的，因为不具有任何破坏性，拦截没有意义；

下面的图是小浩设置前端窗口标题的动作，火绒剑里面可以看的非常清楚：

老机子

√×√×√√× 发表于 2012-8-19 21:22
囧，好吧都这么激动，录视频太麻烦了我来上图好了 囧囧囧

测试小浩

很翔实，很真切！很中立！
——就是毒霸让我感到悲催！要说只选阻止访问的话，估计只有MD/COMODO
能完美拦截！（也不一定啊，我也囧！）

vardyh

另外，从64楼朋友的截图大家也能看到，火绒其实可以报出小浩的多个动作和行为，每个动作和行为被报出时都有机会结束掉病毒并完全拦截，但火绒还有特意加了一条系统加固规则，见下图



目的就是为了尽量在病毒发作的最初期更准确地拦截到这个病毒，给用户尽量明确的信息引导用户正确的拦截这个病毒。

宇中之神

好像就360和金山能拦

vardyh

很多朋友用手动hips或者comodo这类定制性较强的主防完全是应为可以编辑更灵活的规则，
其实火绒的行为分析（多步主防）是完全开放的，可以通过编写行为分析启发单元来定制行为分析启发逻辑，我们也提供了比较详细的说明文档：

http://www.huorong.cn/qfwd/behav_anlyz.html