费尔应该加强压缩档清除病毒的能力

小木鸡

如果一个压缩档（rar、zip等）里面有一个病毒，费尔将会把整个压缩档删除掉，这样绝对不是正确的做法。

大多数杀毒软件都是将其中的病毒文件清除出来且不会破坏该压缩档。

另外费尔的病毒清除能力（exe染毒恢复能力）有待加强。比如QQ.exe文件感染了威金、熊猫等感染型病毒，费尔也会直接把整个文件删除，而不是将其中的病毒代码从正常的文件中移除。

虽然瑞星总体来说很一般，但瑞星的染毒文件恢复能力可是非常好，这点我很佩服！

[ 本帖最后由 chow2006 于 2007-12-1 11:21 编辑 ]

gaomi

支持楼主的说法，费尔在上述方面确实应该加强，那样就更加完美了！

月影天心

原帖由 chenzhan 于 2007-12-1 09:15 发表
如果一个压缩档（rar、zip等）里面有一个病毒，费尔将会把整个压缩档删除掉，这样绝对不是正确的做法。

大多数杀毒软件都是将其中的病毒文件清除出来且不会破坏该压缩档。

另外费尔的病毒清除能力（exe染毒恢复 ...

对于楼主的提议我有一些想法。

首先，这是很好的建议，对于压缩档中的病毒可以解压查杀，exe文件无法恢复主要是病毒将文件的PE结构破坏掉了，或者将exe文件关联破坏，而费尔又不具备这样的功能，恢复被感染的exe文件其实是很麻烦的工作，比如清除“熊猫烧香”时，在清除病毒文件的同时不删除%SYSTEM%下面释放FuckJacks.exe的这个文件，然后结束病毒进程：%System%FuckJacks.exe ，删除病毒文件：%System%FuckJacks.exe ，同时删除根目录下的文件autorun.inf 和setup.exe ，并删除病毒创建的启动项：[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] 'FuckJacks'='%System%FuckJacks.exe' ，[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] 'svohost'='%System%FuckJacks.exe' ，.打开“运行”输入“gpedit.msc”打开组策略－本地计算机策略－windows设置－安全设置－软件限制策略－其它规则。在其它规则上右键选择－新散列规则－打开新散列规则窗口，在文件散列上点击浏览找到%SYSTEM%下面释放FuckJacks.exe文件。安全级别选择－不允许的。确定后重启。重启后可以双击运行已经被熊猫感染的程序。运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项，此时双击运行被感染的程序已经恢复原来样子了。全部回复后，用SREng把FuckJacks.exe在注册表里的启动项删除。

杀毒软件的工作实际上就是自动完成了以上大部分手工操作，由于病毒技术进步、变种繁多，杀毒之后的后遗症往往很多，实际上，一些杀毒软件的自动修复也是建立在已知病毒的分析基础之上的，病毒的变种和技术的发展也对杀毒软件彻底清除病毒造成了桎梏，费尔在这方面的确需要改进，但是要明确这样一个事实：不可能有任何一款杀毒软件能完美的清除一切病毒，即便该病毒已被截获，但杀毒软件也并不一定能够将其“后遗症”完美的解决。

dxhyshxd

SOPHOS对压缩文档的查杀好像也是删除整个压缩文档的！
EXE文件同样如此！

难道x星不是吗？

samancy

对于第一点我还是比较支持的!毕竟现在想用免费的东西的人很多,而这些非官方的软件内或多或少的都有那么一点点!试想花费几天的时间好不容易下载回的压缩包,被查出病毒而整包丢弃,总会让人有点受不了!
   第二个关于解毒的事就有点太为难了!这不是一个两个的事!如果世界上就有那么一两种或者再多些一两千种,那么写出它们的专杀也是可行的,但现在的病毒数量的增长速度谁也都明白,如此这样做不太明智,等你写出了它的解毒程序时它可能早就变形了!徒劳无功,不信LZ你自己去试试,累不死你才怪!
  现在的病毒重点在于防,于其过多的关注解毒,不如增加一个具有HIPS功能的防火墙来配合使用来的实在而易于实现,防患于未然,才能稳坐泰山!

小木鸡

原帖由 月影天心 于 2007-12-1 14:14 发表


对于楼主的提议我有一些想法。

首先，这是很好的建议，对于压缩档中的病毒可以解压查杀，exe文件无法恢复主要是病毒将文件的PE结构破坏掉了，或者将exe文件关联破坏，而费尔又不具备这样的功能，恢复被感染的 ...

可能你我误解我的意思了

还是那熊猫来说，我的意思病不是需要费尔100%彻底解决这个病毒感染后 的一系列破坏动作，比如注册表、硬盘生成的文件等，哪怕注册表不能清除、磁盘根目录文件不能删除也没什么，仅仅需要完成exe恢复就可以了。

我发现江民瑞星的exe恢复很好，我几乎都是看到能恢复的。

到目前为止，我从来没见费尔能恢复exe文件。到底是费尔不具备恢复exe能力，还是比较弱，不得而知。

Filseclab

感谢建议，这些我们会考虑在以后逐渐增强的。谢谢。

费饭饭

原帖由 chenzhan 于 2007-12-2 11:11 发表



可能你我误解我的意思了

还是那熊猫来说，我的意思病不是需要费尔100%彻底解决这个病毒感染后 的一系列破坏动作，比如注册表、硬盘生成的文件等，哪怕注册表不能清除、磁盘根目录文件不能删除也没什么，仅仅 ...

费尔修复能力确实不怎么样，看官方今后的努力吧，我觉得这种感染型的病毒，一般都有专杀，可以修复和清除．

月影天心

总之希望费尔越来越出色，国内的安全软件就数费尔了

newgnay

感觉以前的病毒大都是感染exe文件的,因此"一旦中招",必须有该病毒的详细信息杀毒软件才将该病毒从被感染的exe文件中"清除".现在的病毒大部分都是非感染的木马,而且是单独的文件,所以只需要删除病毒文件就可以了.
  但以后的事谁知道呢,或许大量出现感染型的木马也说不定,那时除非主动防御万无一失,否则中招后要清除病毒就只能靠"特征码"了.