对费尔扫描的失望

自寻烦恼

本来是挺看好费尔的，没有想到它离我的期望还是有不少差距……

优盘里头必然有毒，相信大家肉眼已经发现了，可是扫描了三次费尔都没有发现，如图1。
抱着对动态防御的仅存期待，我打开了优盘，还好，动态防御发现了，让我的心里稍有安慰。可是紧接着又揪心了，
我再次扫描仍然发现了优盘中还是没有杀干净——还存在有auto病毒，肉眼可见的扫描的最后一个文件是auto.inf（确实是毒）， 可是费尔仍然报无毒
此次失误没有截图下来。此时对费尔的失望实在是很**


接着我把优盘里头所有东西都剪切到了桌面，准备格优盘。不过并没有立刻格式化，而是由于某些原因（不赘述于此）将优盘正常拔出。
一分钟后，我将并没有任何操作过的优盘又插入电脑，结果费尔监控主动报了auto.inf，如图2

综上所述，费尔扫描实在是很打击我。主要是这两点，
第一，没有发现Ravmon.exe这个十分常见的家伙，我觉得这一点是在说不过去
第二，费尔的动态防御没有将残毒auto.inf消灭干净。关于这一点，我比较认同这个帖子
http://bbs.kafan.cn/viewthread.php?tid=145630&extra=page%3D1


个人分析：
对于第一点，不可能是费尔没有收集到样本，我想可能是这个病毒或者说与此类似机制的病毒已经太普遍了，以至于费尔不把它看在眼里呵，并没有单独将其放入病毒库，而是采用动态防御中的某些规则捕获此种机制的病毒。这样的好处是可以减小病毒库体积。但是这样的做法让使用者很不放心，明明已经肉眼看见了病毒，却告诉我没有病毒，这个实在是很……

如果不是以上的推测，难道费尔的病毒库真的没有该样本？


第二点，由于病毒是动态防御发现的，仅仅是捕获了有危害行为的ravmon.exe，而没有发现auto.inf，我想也许是因为ravmon.exe已经被消灭，auto.inf已经没有危害。当我再次插入优盘时，监控主动扫描优盘，发现了最为常见的auto.inf的特征码

对于这样一点，我觉得费尔应该增加一个主动防御发现病毒并清楚后，再次主动扫描优盘和内存等——这一点我想费尔应该想到了吧？就是说对于已经发现了异样的地方要主动进行二次复查——这个是偶以前用瑞星时养成的习惯呵，瑞星的漏杀实在是够可以的


好了不说了，再说该被高手们笑话了
偶是菜菜级的，今天一时冲动写了这么大堆，不知道偶说的这些有没有可取之处，大家研究研究o(∩_∩)o

希望费尔可以更好的发展吧，偶还是很想支持费尔的

[ 本帖最后由 自寻烦恼 于 2007-10-20 22:02 编辑 ]

自寻烦恼

第一次写这么多，不能再写了哈，明天还有事情哈，大家将就着看吧
分析的部分不知道有没有道理，大家指教
偶洗耳恭听
忘记了补充一点，偶用的是默认设置

[ 本帖最后由 自寻烦恼 于 2007-10-20 21:48 编辑 ]

flygg2006

默认...........用费尔的相信没几个人用默认的.....你还是看下设置的帖子去吧

cbz107

谢谢楼主为费尔提意见，您说得问题应该是费尔区大部分人的问题了。
（在算命中，受打击了，没心情写太多了）

cbz107

一般的用户用默认是最好的，多了也不会在检出率上有太大提高

自寻烦恼

确实，偶其实是不相信默认的哈
不过如果不开默认的话，还是比较烦那些弹出窗口的，个人感觉费尔智能化的程度相当低

cbz107

那个是阻止程序的写操作吧？

chow2006

对于第一点，不可能是费尔没有收集到样本，我想可能是这个病毒或者说与此类似机制的病毒已经太普遍了，以至于费尔不把它看在眼里呵，并没有单独将其放入病毒库，而是采用动态防御中的某些规则捕获此种机制的病毒。这样的好处是可以减小病毒库体积。但是这样的做法让使用者很不放心，明明已经肉眼看见了病毒，却告诉我没有病毒，这个实在是很……

如果不是以上的推测，难道费尔的病毒库真的没有该样本？

原因可能是该文件加壳了，而且跟以前的壳或其它方法改变了特征，因此扫描不能发现（如果样本仍在，可选择“探测加壳文件”后对该文件扫描以证明是否如此），因此运行后被动态防御拦截。

接着我把优盘里头所有东西都剪切到了桌面，准备格优盘。不过并没有立刻格式化，而是由于某些原因（不赘述于此）将优盘正常拔出。
一分钟后，我将并没有任何操作过的优盘又插入电脑，结果费尔监控主动报了auto.inf

这种情况个人认为可能你的费尔工作状态有问题，如果以前是直接在线升级到R2的，请考虑卸载旧版重新安装。

自寻烦恼

不全是写操作的那些，有很多哈
比如我想开着侦测加壳，但是他却报了一堆的东西，比如超级兔子等，如果把这些都加到信任里头，岂不是要让我加许多许多？而且，严重的问题是：如果是一些无法确定安全性的软件，比如破解版的软件，我用费尔的扫描没有发现病毒木马，我个人却不完全信任其扫描（就是因为类似今天这样的事情）
但是报了有壳，我是应该将其加到信任中吗？   
在扩展设置中有这么一段话：扫描信任列表是用来定义哪些是无需扫描的文件或者文件夹的
本应当是木马病毒，我却将其加到信任中，不被实时监控了。谁能保证动态防御能守住我的安全？   所以为了保险起见，我将信任列表仅仅保留默认的那几个——这样我就不能开着那些老是需要我确认哪些文件是被信任的了——所以我建议，要对所有文件监控，不论是否信任，只是监控的程度不一样而已吧

上面仅仅是举个例子，还有一些其他的，暂时就不提了

自寻烦恼

回答第一点
样本已经被破坏，不过有一个几乎可以肯定是同一个的样本仍在（我们学校的打印店来的哈，所以几乎确定是同一个），我打开报壳后扫描直接报出木马名称,  没有报加壳

回答第二点，
呵呵偶是前几天刚从官方下载的最新版本，正在试用中呵，可以确认每天更新

[ 本帖最后由 自寻烦恼 于 2007-10-21 12:31 编辑 ]