为什么对"所在程序"->"启动"里面的启动项，费尔不拦截

greatboy

启用监视注册表启动项目和注册表监控敏感捕捉关联程序两个选项后，运行了网上下的病毒样本（用费尔默认选项扫描过，没有发现病毒），病毒在系统的"所在程序"->"启动"里增加了一个启动程序，但是费尔德实时监控和动态防御都没有反应，反而我的360安全卫士都拦截了。看来费尔的实施保护做的并不是那么理想啊。

最后发现，对增加在"所在程序"->"启动"里面的启动项，费尔都不会拦截，这是不是不太安全啊。

[ 本帖最后由 greatboy 于 2007-11-20 08:31 编辑 ]

gaomi

你把那个病毒样本法上来看看！

shuipao

看了半天才明白你说的是什么。。。

开始菜单－程序－启动

这个正常软件会经常往其中添加东东，除了hips类的添加相应规则外，正常没有什么杀软会监控那里的。360有个简易hips的防御功能，有那条规则所以会报，同理如果某个正常程序添加或是你手动添加一个快捷放进去它也会报。。

这个就是易用性和安全性的问题了。。那个启动项目那么明显用户可以看到的说。。即便不监控那里也可以手动删除的说。。而且只要相应的病毒文件被删除那个引用也是虚摆设。

我比较关心的是那个样本怎么会只添加这么一项启动项。。 这个都是好久前病毒的策略了。。现在基本都绝迹了（非常少，也只是用来辅助启动）。。

ps：最好传个样本上来，以便进行进一步的测试。。

伊の星

应该是设置问题，要不楼主的那个病毒只是会添加无意义的启动项。

Filseclab

是的，shuipao答复的比较到位。费尔目前并不监控开始->程序->启动中的启动。实际上利用这里来启动的病毒和木马现在是非常罕见的了，比较少，而且正常软件使用这里的也比较多，监控这里会增加更多的误报。费尔只要监控到病毒文件删除其主体，即使留有自动启动也没有危害了。至于此病毒为何费尔动态防御也没有拦截，建议你把此毒压缩后举报给我们的 filseclab@163.com ，我们测试一下。谢谢。

greatboy

谢谢大家的答复。确实，现在已经很少病毒利用“开始->程序->启动”来启动了，这里也很容易被用户发现，也被很多正常软件使用，但是对于一些对电脑不熟悉的用户（很多人用电脑只是为了工作中编写文档，查看资料而已），他们不会了解这里的情况，如果杀毒软件也提示一下，让用户知道有程序加载进了启动项了，安全性会更高一点。

不过有没有必要拦截这里，确实也是仁者见仁、智者见智的问题了。