对费尔扫描的失望

shuipao

检测不到，肯定是加壳了，费尔没有脱壳能力，所以只要变个壳就会识别不了。。即便是旧的毒也一样，我遇到很多旧的毒能过各大杀软的。。都是被加了新壳或是进行了免杀处理。所以并不是说旧的病毒就一定能识别。
动态防御清除了病毒后，那个autorun.inf文件应该是不会被处理的，这个文件本身是正常的文件，只是被病毒利用而已，本身也不会有什么动作自然也不会违反动态防御的内置规则。
据我所知，对于这个文件，只有少数杀软会对其处理（如国内的kv），多数的情况是杀软只把病毒程序清除。
最后那个扫描发现不了，监控又发现了。。这个是有问题。。

95518

同意11楼意见

费饭饭

原帖由 chow2006 于 2007-10-20 22:32 发表

原因可能是该文件加壳了，而且跟以前的壳或其它方法改变了特征，因此扫描不能发现（如果样本仍在，可选择“探测加壳文件”后对该文件扫描以证明是否如此），因此运行后被动态防御拦截。

这种情况个人认为可能你 ...

我也感觉是加壳的原因！

cbz107

原帖由 自寻烦恼 于 2007-10-20 22:39 发表
不全是写操作的那些，有很多哈
比如我想开着侦测加壳，但是他却报了一堆的东西，比如超级兔子等，如果把这些都加到信任里头，岂不是要让我加许多许多？而且，严重的问题是：如果是一些无法确定安全性的软件，比如破 ...

侦测加壳那个我个人认为关了更好…对检出病毒没有直接关系，见壳就告诉你这个加壳……

zzm3145

我记得费尔对autorun.inf杀得非常狠的，一插上U盘立刻就报，以至于我从没有机会扫描autorun.inf
另外，前段时间我碰到过一个Ravmon.exe,过所有杀软，唯一的症状是自我复制，一打包就失活了，变成0kb。

[ 本帖最后由 zzm3145 于 2007-10-21 12:32 编辑 ]

Filseclab

这应该是一个新的病毒，费尔的病毒库还没有收录。不要认为U盘病毒就是那几个，或者病毒文件名称是一样的都是一个毒，或者你遇到的就一定是很旧的病毒了。因为新病毒库可能就在你身边。而且一堆不同的病毒可能会同时使用同一个文件名，比如svch0st.exe这个伪装的病毒名称，可能会有成千上万个不同的病毒都用它来伪装自己。所以费尔只所以不能识别它并不是技术上或者监控质量上的问题，加壳不加壳也不是最主要的，现在的病毒基本上不会只简单加层壳就放出去，而要加就加到其他防毒软件也认不出来的免杀版本，所有的防毒软件对它都一样无效。其实是费尔病毒库中确实还没有收录此病毒样本造成。费尔更不会荒唐到遇到旧病毒就不加入它，或“不重视它”，这对防毒软件来说是不可能的，防毒软件厂商每时每刻都使用一切可使用的资源去搜索样本来扩充自己的病毒库量，无论新的旧的统统同等对待，因为病毒样本都是难得的宝贵资源，是作为防毒软件本身质量的一个重要指标，既然有了确定的病毒样本而不去使用是没人愿意做的。也不会担心病毒库太大出问题，如果病毒库太大会出问题那么只能说明这个扫描引擎质量不过关。费尔的引擎经过几代更新，这方面完全不是问题，查询和搜索速度都将几乎不再受数量的限制，即使大到上百万甚至上千万的病毒量扫描速度也不会有太大变化，所以是不存在放弃使用样本来提高速度的选项的。即使有这种选择那么也宁愿会选择让库大、速度慢，也不会放弃样本录入，因为安全性对于防毒软件来讲是最重要的，其他方面的考量都是其次。

即使遇到有些病毒无法识别，那么动态防御（主动防御）也会起到应有的作用，这就是我们引入主动防御的目的：作为后面辅助。但我们是不会让主动防御担当主要防御角色的，因为其实主动防御在防御时机上比实时监控还要靠后，需要让病毒真正执行起来才能起到侦测作用（所以我们更愿意称它为动态防御，而不愿意称它为主动防御，因为它需要病毒执行起来，与带的入侵风险相比，有时它会显得更加被动，并不主动）。所以我们也不会因为主动防御能够防御住某种病毒而放弃加入此毒特征，这也是不会的。第一时间被监控拦截更显得主动和积极，也更加安全。主动防御或动态防御只是后面的一道备用防御线。

对于autorun.inf病毒，费尔是在主流防毒软件中为数不多的进行查杀的一款，许多防毒软件根本不会去提取autorun.inf这个脚本病毒的样本，因为有难度，此文件一般是正常的。正常的CD和光盘也需要这个文件，这个文件本身不是毒。主要是它的内容和它引用的内容如果是毒才真正有害。因此它实际是很难定性为病毒的，费尔根据大量的autorun病毒采样，提取了几种常见的病毒特征，收录了autorun.inf病毒样本，可以识别绝大多数真正的autorun.inf脚本病毒，而且不报告正常软件CD中的autorun.inf脚本。不过不可避免仍然会有遗漏。但对于其他软件对此根本不报已经显得更加积极和有优势了。至于你遇到前面不报后面报，那么应该这两种情况：1、第一次U盘引导时并没有启动autorun.inf脚本，也就是U盘没有尝试自动播放；2、第一次此文件还没有产生，后来病毒执行后才生成的。无论如何，只要此文件存在、系统打算自动运行，并且费尔的病毒可以识别此病毒，那么就一定会阻拦。经过我们大量实践和用户反馈来看，这部分已经成功保护无数的用户电脑免受病毒入侵，而且许多都是其他防毒软件不能识别的新毒。

我们并不建议普通用户去改变默认设置，因为加上高级设置所带来的报警量麻烦可能会让一些不了解此功能的用户感觉头疼。确实开启一些高级选项可能会增加一些报警量，但带来的麻烦也一样。感觉费尔不智能是因为开启了费尔不建议和其他软件没有的高级功能，费尔不以此作为防毒重点，它的一些高级功能如此单一明了，比如侦测加壳文件，这个功能就是侦测加壳文件，选上就对加壳文件报告，不选不报告。就那么简单，如果改成是加壳而且有可能是病毒再报告那么就不能叫“侦测加壳文件”了，应该改成“侦测可疑程序/未知病毒”。因此有些功能是字面意思即可明确和定性，功能简单单一，不需要智能处理，要么不开它，开了就是那样工作。如果感觉这功能不好那么不开启它没有什么问题，因为费尔本来也不建议一般用户开启它（高级用户除外），因为它在实际工作中对于一般用户带来的麻烦可能比真正作用还要多。费尔现在和将来都会把主要任务放在病毒量的增加和主动防御的能力提升上，那些高级功能并不作为主要支持点。对于现在的费尔来讲，默认设置仍然是最可靠和安全的。

相信所有的防毒软件都每天都在遇到自己无法识别的病毒，而且这些病毒可能也被用户看出来但就是不能识别的，这种情况太过于普遍和正常了，防毒软件只认病毒码，不看文件名，只认文件名的防毒软件是不严谨和可靠的。所以也就有了防毒软件天天更新、甚至几小时一更新的现象了。

直到现在，也没有一款防毒软件可以查杀100%的病毒，只能做到尽量多而已，遇到费尔不能识别的病毒和遇到费尔能识别其他病毒不能识别的情况一样正常，不可以一次机会而对某款软件来做定性判定。因为这样的偶发性情况对任何一个防毒软件来讲都是常见的。这也就是为什么同时会有如此多款的防毒软件都被人喜欢和使用一样。

建议你把所无法识别的病毒样本通过样本发给我们的 virus@filseclab.com 或在线举报病毒过来，我们会在以后的病毒库更新中尽快加入支持对它的清除。谢谢。

[ 本帖最后由 Filseclab 于 2007-10-21 22:06 编辑 ]

呵呵，慢慢改进~~~~

zzm3145

第一次看到官方这么多回复
PS：给官方加分好像也是第一次看到

chow2006

PS：给官方加分好像也是第一次看到

官方解答也辛苦，加分表示感谢。

费饭饭

确实辛苦了，呵呵
官方的态度就是好