从卡饭一个样本再谈火绒2.0单步和多步的不和谐

win98sp123

    昨天发了一个帖子：http://bbs.kafan.cn/thread-1640781-1-1.html，谈了一下火绒2.0单步对最终弹报结果的影响，火绒反馈很快，今天2.0更新后，实机测试样本，仍然感到2.0在处理单步拦截和多步结果上面有问题，样本来自卡饭样本区：http://bbs.kafan.cn/thread-1641294-1-1.html
    实机测试结果如下：
    如开启系统防护，因为今天火绒2.0更新后，取消了弹窗，那么双击这个样本，机器没有任何反映，去日志里查看，才知道该样本触犯了一个规则，被拦截。简单点说，就是这个样本是静默方式处理掉了。如图：

    如关闭系统防护，双击样本，火绒弹窗，直接报威胁，如图：
   
   
这样的话，就有了一个矛盾，最终这个样本，应该怎样报？上面所述两种情况处理结果也完全不同，一个是静默拦截，对样本本身没处理，也没有对样本定性，这个样本依旧在用户电脑上，而另一种情况火绒定性为病毒，建议删除，那么，静默拦截而没有给用户任何提示，是否合适，是否存在安全隐患？毕竟这个样本是个问题程序，微点报网络蠕虫，如果按照火绒2.0目前默认的设置，用户双击完这个样本后，样本照样运行了，但是火绒没有任何提示，只能从日志里看到一个规则触犯，最终给用户的结论，到底是不是病毒？
  还是建议这一点上学习一下微点：
   
   我始终认为，从火绒1.0的系统加固到现在2.0的系统防护，都和多步分析到最终报威胁有冲突，V大昨天回复我的帖子说原因之一可能是阻止一个动作后该样本的流程改变了，这在部分情况下可能是问题的关键所在，但是这样做显然不如根据样本的整体行为然后给一个更明确的定性。
   举个例子来形容一下火绒系统防护和多步分析的矛盾：
   一个小偷，如果从他产生偷东西的动机开始，直到偷完东西，那么，毫无疑问，动作明确，结论是这个人是小偷，这个正是微点现在的模式，最终报告的就是小偷，而不急于上去就拦截。而火绒，在小偷刚产生偷的动机或者刚要偷的时候，单步拦截了，虽然可能阻止了小偷偷到东西，但阻止的最开始的动作，而且，只是默默记录了这个阻止的动作，没有告诉用户，更没有得出这个人就是小偷的结论。
   希望火绒官人在斟酌一下，做到更智能。至少，现在的静默拦截，个人觉得，有些不妥。
   纯属个人建议，欢迎拍砖。

浮生半日闲

围观~ 求解答！！！

zdlzp

还是那个建议，
系统防护的默认规则要弹窗，且停留时间倒计时，
但是应该加入可选项：不再提示本次阻止

zdlzp

还有在严格模式下，支持系统防护的默认规则拦截项的修改。

不矛盾，严格模式是高级用户来使用，因此应该允许高级用户修改，
目的是由用户自己来减少误报

win98sp123

zdlzp 发表于 2013-10-17 15:31
还是那个建议，
系统防护的默认规则要弹窗，且停留时间倒计时，
但是应该加入可选项：不再提示本次阻止

这不是问题的关键，现在的系统防御，对最终样本的定性有影响。

jefffire

又不是样本分析软件，不需要定男性女性。最终结果安全就行。

另外在客户端以行为分析为主，必然死路一条。

zdlzp

win98sp123 发表于 2013-10-17 15:41
这不是问题的关键，现在的系统防御，对最终样本的定性有影响。

至于他们的防御设计我不懂，也不敢提

mengld

没看样本
猜测是被进程防护拦截后没有足够的行为触发未知木马防御

samsul

我始终坚守一点 有问题就必须弹窗 至于怎么处理是我的事 有的事你认为没什么的时候，恰恰是我认为不行的

win98sp123

samsul 发表于 2013-10-17 16:23
我始终坚守一点 有问题就必须弹窗 至于怎么处理是我的事 有的事你认为没什么的时候，恰恰是我认为不行的

同意，静默拦截后，没有删除文件本身，这是潜在的危险。希望官方优化一下逻辑