从卡饭一个样本再谈火绒2.0单步和多步的不和谐

jpzy

LZ的思维依然是传统杀毒软件的思维，而不是HIPS的思维！如果用久了HIPS的话，就不会对报毒和删除如此纠结。

无论一个软件如何做，最终要看实际的防护效果。系统防护静默拦截，最终系统是安全的。那么即使样本存在与系统内，它也不过是个无法运行起来的病毒尸体，对系统无任何威胁。当然，作为防护的一部分，静默拦截可能不够合适，因为用户可能会造成困扰。比如，用户从不正规网站下载了一个捆绑了恶意程序的安装包准备安装，双击后却被静默拦截了，对于一部分用户来说，安装包运行不了会让他们摸不到头脑。

我认为，火绒这里的逻辑判断应该再优化！从一般逻辑上讲，单步的判断一定是优先于多步综合的。所以一旦单步规则被触发，可以肯定的是多步规则判断一定会被打断。但是，从用户的角度来讲，可能反过来更合适。即，先做多步行为分析，单步作为最终的防护手段。但是，这个不太容易做。

过去我在HIPS版区提过一种多层安全软件的构想——特征码+行为分析+底层系统加固。特征码作为静态手段，行为分析作为动态手段，底层系统防护作为被动手段。做行为分析的话，一定要有回滚机制。那么，火绒是否可以考虑，做个简易的沙盘或者虚拟机，在样本运行的时候，先不触发系统防护，先做多步判断，多步判断通过了，写入实机的时候再触发系统防护规则！不过这样做可能会导致运行效率的低下。

以上想法不太成熟，仅供参考。

win98sp123

li13911 发表于 2013-10-17 19:50
看怎么理解了，从强迫症、洁癖症的角度理解的确危害很大；但是从装有火绒（或者其他类似的主防）的角度理 ...

只是讨论火绒的处理逻辑，和微点无关，如果认为静默拦截并保留病毒在电脑上合理，那就没讨论的意义了，谈不上什么洁癖，严重了

莱薇

jpzy 发表于 2013-10-17 20:22
1，拿病毒来举例子并不妥当。你应该将这个程序作为一个未知程序来看待。因为在实际使用的时候，用户如果运 ...

要是误动作，你会知道是安全软件搞的鬼吗静默拦截谁会知道，小白会知道吗

li13911

win98sp123 发表于 2013-10-17 20:39
只是讨论火绒的处理逻辑，和微点无关，如果认为静默拦截并保留病毒在电脑上合理，那就没讨论的意义了，谈 ...

好吧，这个确实不知道怎么说，对于经常换杀软的综合征来说删除最好

chaos11

sk3385 发表于 2013-10-17 19:13
火绒和沙盘冲突不是火绒问题！是沙盘自身问题，如果沙盘自己不修复BUG。冲突一直会在

又是这种回复，我最厉害错的都是别人

说句难听 火绒是真把自己当成M$了需要其他软件来兼容？还是所为的前瑞星CTO也不过如此？

沙盘光卡饭就不少人装也没有听说过64下沙盘彻底冲突的，2.006修复了和POT冲突，为什么不就不能修复沙盘冲突的问题？这么多版本了？

沙盘BUG？沙盘这个所为BUG需要火绒才能触发？这和POT冲突一样啊太就巧合了谁都不触发偏偏是火绒触发
其他软件公司都要给火绒写感谢信啊，专门发现这种BUG

jpzy

莱薇 发表于 2013-10-17 20:41
要是误动作，你会知道是安全软件搞的鬼吗静默拦截谁会知道，小白会知道吗

是的！所以我后面陈述了，这里应该有个提示，而不是纯粹静默。

zgy3073

li13911 发表于 2013-10-17 20:41
好吧，这个确实不知道怎么说，对于经常换杀软的综合征来说删除最好

如果软件没有运行，把他保留在电脑上也没什么说的，因为是靠行为吃饭的。但是现在软件运行了，就不应该再保留了。

yutian8888

分普通模式和高级模式就行了
普通模式不开放自定义，高级模式全部可自定义

li13911

chaos11 发表于 2013-10-17 20:52
又是这种回复，我最厉害错的都是别人

说句难听 火绒是真把自己当成M$了需要其他软件来兼容？还是所为 ...

沙盘真有bug,而且还是驱动上的，任何一款安全软件都可能触发

chaos11

li13911 发表于 2013-10-18 07:07
沙盘真有bug,而且还是驱动上的，任何一款安全软件都可能触发

是吗？，至少除了火绒其他软件我从来没遇到明显的冲突，功能重复的别提其他冲突的？举个例64位下