费尔的实时监控好像有时不灵光!

samancy

还是那个误报的声卡驱动程序!又出了新问题了!以前只要被费尔判为有害的文件,导出后只要鼠标选中或者根本来不及选中这个被判有害的文件就会被实时监控发现而又被删除,可这次为什么不动作了!




下图是刚才扫描后发现的有害文件!被我导出到了D盘的一个文件夹里,就是上图的位置!

chow2006

实时监控没有解包，右键扫描会解包。
原因看你这个帖应该会明白。http://bbs.kafan.cn/viewthread.php?tid=146451&extra=page%3D1

samancy

原帖由 chow2006 于 2007-10-21 18:22 发表
实时监控没有解包，右键扫描会解包。
原因看你这个帖应该会明白。http://bbs.kafan.cn/viewthread.php?tid=146451&;extra=page%3D1

那这样如何解释!我手动解压后也没动作啊!


下图可以看出,费尔认出了病毒!可这是在右键扫描时有动作!上图的实时监控就没了反应!



样本附件在下面!



[ 本帖最后由 samancy 于 2007-10-21 18:36 编辑 ]

chow2006

chow2006

另外一个用鼠标选上才报。似乎是有点问题。等官方的解答。

费饭饭

好象是官方有意这这样的，费尔的监控不如以前灵敏。

我甚至有次扫描都不报，绝对是费尔认识的！

Filseclab

1、费尔不对压缩包进行实时监控，所以在压缩包中有病毒需要手动扫描时才能扫描出。而且这种处理方式不会带来安全隐患。
2、费尔的实时监控有文件类型定义。在“扩展设置”中。如果有些文件类型没有定义其中则不对此类文件进行监控。但全面/右键扫描时将不受此限制，全部扫描。你提供的压缩包我们做了测试，解压后点击文件后实时监控是可以检测到它的。有时点击可以，有时活动一下可以，有时执行时监控。出现这种分别情况并不是费尔的原因，而是windows的文件访问机制和时机造成的。因为费尔监控只在文件系统有文件活动时才监控，如果点击文件时windows文件系统有活动则会扫描，如果windows本身就没有访问此文件，或者此文件当前是被锁定访问的那么是不监控的，这一点费尔是随着windows调度来的。一般的，有时文件可能被windows缓冲而不做访问，但执行时一定会有读操作而被监控到，所以有些病毒只有在启动时才会监控到。另外，费尔本身监控还有缓冲限制，在一段时间内，如果一个文件被扫描过那么会在随后几十个文件监控中不再做重复扫描。比如，你当点击一个病毒文件后再点击其他文件，这时再访问这个病毒时将不再报告。这就是缓冲机制在起使用，防止频繁的重复操作来拖慢系统。但这种机制控制是不会降低安全性的。

还有，认为当前版本监控不如以前灵敏和认为比老版本资源占用大、兼容性没有老版本强的看法都是一样错误的。因为这方面的代码费尔在此次更新中只做了更细致的优化，传承了老版本的所有优秀功能，因为我们设计时看重这方面比用户的要求还要更苛刻，不会去改变既有的优秀品质，相关部分的代码是几乎和老版本保持不变的。一些用户都是因为心理上的对新版本有不信任感造成的错觉而成，也有些是因为目前使用系统环境和当初使用的不一样，出现偶尔误差是肯定的。而且这些变化在老版本中也一定是会有的。

总之，出现这种情况只要能够排除是文件被信任造成，那么就一定是系统缓冲或一些文件暂时锁定原因造成，但请放心这是不会出现漏洞的。只要病毒文件在尝试真正读或执行就一定会被阻止。这一点是我们设计当初就考虑到的，而且也经过多年大量测试和实践所证实的。谢谢。

[ 本帖最后由 Filseclab 于 2007-10-21 20:06 编辑 ]

samancy

刚才我的费尔确实出现了问题!什么都好好的!可什么都不管用!明明是都启动了!可什么都不好使!刚才为这还中了一个木马!就是在样本区下的样本!唉!明明选中了"禁止访问被叛有害的文件"可就是不起作用!非法写操作也不起作用了!真搞不明白是怎么了!所以就有以上所有的疑问和发的贴子!重启了好多次都是这个样子!现在唯一怀疑的对象就是"windows优化大师",因为我用它进行文件清理和注册表清理了!可现在费尔又糊理糊涂的好使的!真搞不明白啊!

Filseclab

原帖由 samancy 于 2007-10-21 20:30 发表
刚才我的费尔确实出现了问题!什么都好好的!可什么都不管用!明明是都启动了!可什么都不好使!刚才为这还中了一个木马!就是在样本区下的样本!唉!明明选中了"禁止访问被叛有害的文件"可就是不起作用!非法写操作也不起作用 ...

你的这种怀疑是有可能的。具我们了解有一些系统优化工具是具有清理系统文件监控链功能的，这种优化形式会影响到防毒软件的监控。比如360safe，以前我们测试过它在做插件清理时就会强行断掉当前系统中所有的文件系统链，而且不做任何提示，操作后所有用此技术的防毒软件都会造成文件系统监控失效，受此影响的除了费尔还有其他的防毒软件，比如卡巴。只不过费尔具有实时扫描的提示，可以从外观让人感觉到这一现象，而一些防毒软件在监控实质失效后没有任何提示和变化，用户很难及时察觉。费尔V7 R2新版本中特意加入了监控自动修复功能，如果遇到这种情况会在一段时间后自动恢复。所以从技术上讲，如果某款优化软件具有清除文件系统监控链的功能，那么就有可能出现防毒软件失效的这种情况，费尔遇到这种情况后会有一短暂的失效，但一会会自动恢复，直接重启费尔的实时监控也可以恢复。谢谢。