老病毒过掉火绒？

显示全部楼层 · 发表于 2012-12-30 10:51:52

http://bbs.kafan.cn/forum.php?mo ... dateline&page=1

显示全部楼层 · 发表于 2012-12-30 10:53:51

21楼不是拦截了吗

显示全部楼层 · 发表于 2012-12-30 14:07:50

http://bbs.kafan.cn/thread-1437293-1-1.html

21楼带图.

显示全部楼层 · 发表于 2012-12-30 16:39:16

问一下，火绒盾强大吗？

显示全部楼层 · 发表于 2012-12-31 09:34:26

选全阻止

显示全部楼层 · 发表于 2012-12-31 10:09:22

zdlzp 发表于 2012-12-31 09:34
选全阻止

这玩意是很久以前的“zhongsou”，广告程序，
这东西本身就是个静默安装的安装包，整个安装、执行过程在防御监控的“眼中”是没有恶意的，所以火绒的防御并不会把图中这些文件“隔离掉”。
这就好比说你安装了一个软件，其中有一个程序被识别成病毒，杀毒软件不应该把你整个软件全删除掉~

再说那个rundll32.exe加载的run.dll，这个进程（真正干活的是那个run.dll动态库），在没有触发任何恶意行为时火绒也没理由干掉它。

从之前引用的帖子的截图也可以看到，其他家对付这类样本也都是靠文件监控（病毒扫描），火绒的日后对付这类样本也会采用相同的策略（文件监控）。

显示全部楼层 · 发表于 2012-12-31 13:26:30

本帖最后由 zhq445078388 于 2012-12-31 13:28 编辑

正常情况下.
多步主动防御软件的病毒处理应该是如此:
目标文件(病毒)→释放者→所有被释放文件及注册表→报警

有主防日志的情况下想做到很容易.
就是弹窗时候会卡一下

但是很显然.火绒是基于进程的.也就是说.
只是对进程进行黑白判断

不对释放者进行判断

一个文件释放了病毒.那么那个文件也不应该继续认为是没问题的

参考微点
发现未知木马.是否清除木马极其衍生物

显示全部楼层 · 发表于 2012-12-31 13:33:31

zhq445078388 发表于 2012-12-31 13:26
正常情况下.
多步主动防御软件的病毒处理应该是如此:
目标文件(病毒)→释放者→所有被释放文件及注册表→ ...

这都不算啥，某些杀软回滚直接回滚掉winRAR的

显示全部楼层 · 发表于 2012-12-31 13:34:21

GreenCodes 发表于 2012-12-31 13:33
这都不算啥，某些杀软回滚直接回滚掉winRAR的

不过国内的还真没这么干过...

显示全部楼层 · 发表于 2012-12-31 13:36:48

zhq445078388 发表于 2012-12-31 13:34
不过国内的还真没这么干过...

所以说不管国外还是国内的，选大牌比较好

老病毒过掉火绒？

本帖子中包含更多资源