火绒2.0系统加固导致的一些问题，另：火绒主防存在逻辑错误？

win98sp123

    用了几天火绒2.0，现在有两个问题比较困扰
    一是对于正常的程序被拦截，如何添加到可信用，现在的情况是火绒弹出一个框，很快就消失了，去日志里看，发现被阻止，怎么解除阻止设置为可信，目测现在不行，微点有添加可信程序的功能，希望火绒能完善这一块。我这里360还有下载工具IDM都有被拦截的情况。上图：
   
   二是2.0是对多步主防的完善还是进一步突出了hips，还是拿系统加固来说，如果样本的动作中，触发了火绒的系统加固，这个时候，火绒有弹窗，但是最后会不会报毒？我这里测试了几次，火绒弹关键进程保护窗口，阻止后，过几秒微点弹窗报未知，并报衍生物。这样看来，单步的防御还是没有很好的融入到多步里，不知道我这样描述合适不。
  这个样本来源于这里：http://bbs.kafan.cn/thread-1640599-1-1.html
   上图：
   如图所示，火绒是不停的弹窗，提示阻止对关键进程的操作，但最终还是会被锁屏，而微点，直接报未知了，点击删除，不被锁屏，从这个样本看出，火绒2.0的多步主防和关键动作的处理还是没有很好的协调，这个问题我在1.0版本和官方人员讨论了几次，就是说，如果样本的动作能够触发报威胁，是否还有必要单独弹单步的拦截动作，个人认为，这种情况下单步应该尽量的融入到多步里，直接报威胁更容易被一般用户接受，减少困惑，看现在的微点，很少有单步的拦截弹窗，只要弹窗，就直接定性了，这样更容易被普通用户接受，或者说更智能。
   本身对绝大部分用户来说，一味的弹窗而没有确切的定性，增加了用户的困惑，到底这个程序是不是安全的？如果安全，火绒为什么弹窗，如果不安全，为什么也没报毒？这样的结果会使火绒不容易被普通用户接受。还是感觉火绒现在的弹窗，稍微专业了一些，应该更大众化，就像微点，一目了然。而解决这个问题的关键，我个人认为就是尽量把现在的系统加固融入到多步主防里，或者说改变一下火绒现在的逻辑，突出智能。
  补充一下，如果关闭系统加固，双击样本，火绒是可以拦截的，如图：
  
  这样的话，单步的系统拦截是不是影响了多步的报威胁？
  更新一下，打开系统加固，火绒确实拦截不住该样本，尽管有拦截关进进程的弹窗，但最终还是被锁屏，但如果关闭系统加固，可以完美拦截，实机双击测试，这样看来，对于单步和多步的关系，火绒还需要完善逻辑，希望官人给予足够重视。
   个人意见。

毛豆小新

火绒肯定多步没法和微点比，微点发展了那么多年，相比众多杀软唯一的杀手锏就是这个，如果这个都做不好可以不用混了。
火绒定位还是偏小众吧，没点计算机基础的应该不会用，智能化慢慢发展吧，规则什么都要积累又不是云主防可以云端随意改规则

zdlzp

可能1.0能拦截，有联网控制

win98sp123

zdlzp 发表于 2013-10-16 10:20
可能1.0能拦截，有联网控制

现在的问题是，2.0的系统加固，影响了火绒的拦截效果

zdlzp

win98sp123 发表于 2013-10-16 10:22
现在的问题是，2.0的系统加固，影响了火绒的拦截效果

这个样本得等一会

win98sp123

zdlzp 发表于 2013-10-16 10:25
这个样本得等一会

已经锁屏了，等什么。。。

zdlzp

更新一下，打开系统加固，火绒确实拦截不住该样本，尽管有拦截关进进程的弹窗，但最终还是被锁屏，但如果关闭系统加固，可以完美拦截
--------------------------------------------------

关闭系统加固可以完美拦截？不会吧，你等会儿看看锁了没有？说的是这

win98sp123

zdlzp 发表于 2013-10-16 10:42
更新一下，打开系统加固，火绒确实拦截不住该样本，尽管有拦截关进进程的弹窗，但最终还是被锁屏，但如果关 ...

试验了，没锁，打开系统加固，被锁，因为这个样本，重启了三次测试

zhq445078388

看实现方式了。。先占位。再编辑

以下是占位后编辑的：
如果火绒的流程是
1。截获操作。
2。通知上层并等待返回
3。上层返回通过
4。为进程加权。放行
5.上层返回不通过
6.拒绝

这样的话。上层拒绝的操作就会影响到加权

但是想来火绒的大牛们不会范这种错误
。所以个人感觉可以排除单步拦截会对多步拦截的判断造成影响

netvox

火绒确实比较嫩了点