费尔的动态防御怎么设置能防御锁屏样本？

显示全部楼层 · 发表于 2013-10-3 10:44:11

本帖最后由 ksss5566 于 2013-10-3 17:41 编辑

自己拿样本区的几个锁屏样本试了一下费尔的主防。
样本见：http://bbs.kafan.cn/thread-1628534-1-1.html
实测：扫描可杀样本。关闭了实时防御后，双击，如果不断网，动态防御报高威胁，断网后可能是云的缓存发挥作用。双击，动态防御继续报。
但是，如果关闭实时防御后直接断网，双击，动态防御是不报任何威胁的，并且虚拟机被锁屏了。
这首先说明了大婶们说的，费尔的动态防御是和云联动的。再者还是说明费尔的默认设置防御不了锁屏样本，甚至没反应。
尝试过把动态防御开到高，也没有任何效果。
问题如题：怎么设置才能让费尔防御住锁屏样本呢？
PS：也试过几款其他杀软：同样是双击，卡巴2013会很快报威胁，但锁屏的结果会出现（2014虚拟机装不上，未尝试）。EAM关闭文件监控，行为监控（高敏感）不报，也没被锁屏，奇怪。蜘蛛9关闭实时监控后会阻止样本运行，报威胁。其他未尝试。

显示全部楼层 · 发表于 2013-10-3 11:28:26

坐等解答。。。

显示全部楼层 · 发表于 2013-10-3 13:14:29

蜘蛛9双击有启发的。

显示全部楼层 · 发表于 2013-10-3 13:58:02

看完LZ说的，我也很好奇。
难道费尔的主防和数字、金山一样，很依赖云？
等官人解答。

显示全部楼层 · 发表于 2013-10-3 14:33:05

zandalong 发表于 2013-10-3 13:58
看完LZ说的，我也很好奇。
难道费尔的主防和数字、金山一样，很依赖云？
等官人解答。

先前听X绒官方高层说了，锁屏只是创建了一个虚拟窗口进程。。很难完全防护~~

显示全部楼层 · 发表于 2013-10-3 14:40:47

蓝天二号发表于 2013-10-3 14:33
先前听X绒官方高层说了，锁屏只是创建了一个虚拟窗口进程。。很难完全防护~~

原来如此！
那X绒能否防御这个样本？
只需阻止进程创建不就行了，手动HIPS都可以做到。

显示全部楼层 · 发表于 2013-10-3 14:44:41

zandalong 发表于 2013-10-3 14:40
原来如此！
那X绒能否防御这个样本？
只需阻止进程创建不就行了，手动HIPS都可以做到。

目前正在试着加强这里防护~~X绒，是具有简易型接口的HIPS的安全软件

显示全部楼层 · 发表于 2013-10-3 14:47:18

蓝天二号发表于 2013-10-3 14:44
目前正在试着加强这里防护~~X绒，是具有简易型接口的HIPS的安全软件

什么叫简易型接口？
我听说火绒单步和多步都有。

显示全部楼层 · 发表于 2013-10-3 14:48:27

zandalong 发表于 2013-10-3 14:47
什么叫简易型接口？
我听说火绒单步和多步都有。

就是防御层次要比其他的浅一些~~~

显示全部楼层 · 发表于 2013-10-3 14:49:42

蓝天二号发表于 2013-10-3 14:48
就是防御层次要比其他的浅一些~~~

明白了。
刚起步，可以理解。

[费尔] 费尔的动态防御怎么设置能防御锁屏样本？