对关闭启发后费尔防御能力的测试

绿茵守望者

为什么要进行一次对关闭启发后费尔防御能力的测试呢？
因为费尔启发的误报率确实有点高了。
所以我就决定进行这样一次测试给那些觉得费尔误报太高的童鞋一点参考。
样本还是6号的样本，7号的没发。这次我确实了，样本就是54个！
费尔除了关闭了实时监控中的启发，其它的都是默认设置。
第一步解压病毒包

实时监控瞬间报毒41个样本，剩下13个样本
第二步双击剩下的样本

额，4号样本是个拼图游戏，我一时兴起就把它拼好了。

13、31、35、37无法运行
50号样本是一个类似幻灯片的程序
8号和54号样本运行后自动退出，不过金山说那是木马。
剩下的都是安装程序。
13个样本全部双击后费尔报毒一个，剩下12个样本

比我昨天晚上开启启发的情况下多剩了一个。
第三步恢复默认设置开启基本启发，但费尔对剩下的文件依旧没有报毒，手动扫描也没用。

为什么会比昨天少杀一个呢？不解。
然后再用金山急救箱扫描，看看系统关键部位有没有被破坏。

嗯，貌似一切正常，除了报毒毒包里的两个文件。那个什么漏洞请无视。
好，最后疯狂一把，启发开到最大。

从我本次对费尔的测试来看，关闭启发对费尔的防御力并没有太大的影响，实在受不了费尔误报的童鞋可以考虑关闭。
对比了一下诺顿的成绩，诺顿剩余17个。其中13、17、18、35、50、52、57号样本都未能拦截。12对17，不开启发的费尔略胜。

skycai

所谓的不能运行，很多时候是和客户端的环境有关。
比如.net框架，现在很多病毒木马的运行都需要.net。

绿茵守望者

skycai 发表于 2013-4-8 10:02
所谓的不能运行，很多时候是和客户端的环境有关。
比如.net框架，现在很多病毒木马的运行都需要.net。

感觉这几个不能运行的样本不是运行库的问题，运行库的问题的话应该是报文件缺失。

绿茵守望者

skycai 发表于 2013-4-8 10:02
所谓的不能运行，很多时候是和客户端的环境有关。
比如.net框架，现在很多病毒木马的运行都需要.net。

那是个4个无法运行的样本的错误是一样的，感觉是因为没有获取足够的权限导致无法正常运行，应该是原本利用的漏洞已经被补上。我这个系统是昨天打得补丁。

夜微凉

测启发就应该全部关闭病毒库，测试基本启发到最高启发的侦测率

绿茵守望者

夜微凉 发表于 2013-4-8 10:13
测启发就应该全部关闭病毒库，测试基本启发到最高启发的侦测率

我是测去掉启发后的拦截率，因为我觉得启发的误报实在有点高。

先知

呀，楼主用是伟大的x p 。

夜微凉

先知 发表于 2013-4-8 11:34
呀，楼主用是伟大的x p 。

应该是虚拟机

/tiao眼镜鱼

支持一下楼主

duanmeng1990

那么实时防御和动态防御有什么区别呢