关于费尔启发开到最高的疑问

塔木德

今天把启发开到最大 想看看 最高启发能杀到什么。。   顺便问几个问题
  1)  不知道大家如果启发开到最大如果 发现杀到了东西  那不知道大家怎么排除 这个不是病毒 不是木马呢？我一般是去网络上查找。。不知道有没有什么好的鉴别方法？
  2)启发里不是 有几个选择  （基础，静态，动态，最高）最好写个介绍。想我有的时候想  基础是不是 启发最低程度？？
3） 最高启发 里有 个MVM虚拟机时间 到底开这个有什么用和区别呢？时间开到最高最好吗？

4）我几次断点续扫 怎么都是重新扫描？

  
   费尔现在的误杀感觉少了很多了 刚用那会挺多报的。现在开到最高 也就报了3个  当然也主要是我很少乱下载东西，3个已经上传 费尔云鉴定 说是安全

   本来想去网络上多引擎扫描扫下  为什么 要关掉费尔的 实时防御 才能上传？  

  文件扫描结果 http://r.virscan.org/report/244176c24b1fa6428ca3e2f6bf71f660.html
                     http://r.virscan.org/report/4ce2b8efafae9823f1c01afcdf41fcd1.html
                    http://r.virscan.org/report/81844aea4b8819f19278125d56acb462.html

Johnny.R.

费尔的启发的确误报高了点…………我matlab开高启也能被扫描出四五个误报，断点续扫并不像卡巴那样下次扫描时自动恢复的，在菜单—扫描—断点续扫，里面有记录

给你附图了

夜微凉

1.鉴别误报首先靠自己的经验和知识，比如你这个报的ES3什么的，ES3根据经验知道是ES3封装工具，这类东西容易被误报，于是我们就有了一个大概的判断，然后根据在线扫描和火眼之类的判断，考虑这个文件是否一定要用，隔离后会怎么样综合判断误报。
2.基础是最低启发，依次递增
3.MVM虚拟机是一个极度复杂的虚拟仿真系统，让目标程序在一个虚拟的隔离环境中运行，并将自己的真实意图充分暴露，一旦发现有恶意目的即可被侦测，MVM虚拟时间就是目标程序在虚拟环境运行的时间，如果程序短时间内无法充分展开，那么更长时间的虚拟时间可以解决，但是虚拟时间长会导致扫描更慢，资源占用更大
4.断点续传参考楼上
5.费尔报毒后如果不处理就会默认禁止终止程序运行，所以无法对检测出来的程序上传移动修改等等

塔木德

Johnny.R. 发表于 2013-1-26 14:49
费尔的启发的确误报高了点…………我matlab开高启也能被扫描出四五个误报，断点续扫并不像卡巴那样下次扫描 ...

那这个断点续扫 不没用了。。我还以为可以接着扫。。

夜微凉

塔木德 发表于 2013-1-26 16:19
那这个断点续扫 不没用了。。我还以为可以接着扫。。

经测试，断点扫描不会自动恢复，需要手动选择，但是断点扫描是有效的，我用费尔扫描D盘，扫描至tencent文件夹用时1分6秒，然后关闭记录断点。

接着启用断点扫描，这时扫描快速掠过之前扫描过的地方，然后立马回到了之前终止的地方tencent文件夹，断点扫描成功

塔木德

夜微凉 发表于 2013-1-26 15:22
1.鉴别误报首先靠自己的经验和知识，比如你这个报的ES3什么的，ES3根据经验知道是ES3封装工具，这类东西容易 ...

谢谢说的这么详细
  1）刚去火眼看了下。它说安全。。难道我们只要看结果就可以了？不是有行为分析吗。。我只看到截图。。
2）原来 基础是 最低的！！！我一直以为是中等。。
3）不知道开多少毫秒合适？我开10000 - -
5） 原来 会默认~~~这么好

  谢谢分析

夜微凉

塔木德 发表于 2013-1-26 16:41
谢谢说的这么详细
  1）刚去火眼看了下。它说安全。。难道我们只要看结果就可以了？不是有行为分析 ...

火眼的结果是根据行为然后按一定的规则打分最终评定是否危险，这和费尔是一样的，如果有分析能力的可以去看看行为

塔木德

夜微凉 发表于 2013-1-26 16:36
经测试，断点扫描不会自动恢复，需要手动选择，但是断点扫描是有效的，我用费尔扫描D盘，扫描至tencent ...

我也看了下 比如我断点续扫 C盘。。还是要重头开始扫描。，不过开始速度很快

   荣幸你帮我亲自测试

夜微凉

塔木德 发表于 2013-1-26 16:50
我也看了下 比如我断点续扫 C盘。。还是要重头开始扫描。，不过开始速度很快

   荣幸你帮 ...

这个重头扫描是为了检校文件是否修改，否则断点期间被扫描过的文件又被病毒修改了，这不悲剧了么

Filseclab

以上各位回答精准到位。