关于费尔的小测试和一些想法

k600c

在杀毒软件中，费尔一直是个很特别的存在：它的维护团队仅仅是个人工作室的规模，却依然拥有很不错的病毒库，它的名气虽然不及那些用广告砸出来的名厂大作，却拥有很不错的实际防御效果。

然而，费尔团队的规模还是在很大程度上限制了其病毒库的更新速度，与那些以小时为单位更新的大厂相比，费尔的速度显然要慢得多。而且，不具备脱壳能力的费尔扫描引擎所能发挥的作用也比较有限。在这种情况下，如何保证软件的实际使用效果呢？唯有在主动防御上多下些功夫，做出自己的特色。实际上，费尔的实际防御效果很大程度上也依赖于此。

先看看我使用的设置吧：



“动态防御系统”毫无疑问是“高”，而官方不建议新手使用的“启动病毒感染预警”和“阻止对可执行文件的写操作”实际上非常重要。至于“病毒免疫”那倒真没什么意思，反正就是记录下系统中已有的可执行文件的特征码，在他们被修改后通知我一下而已（恢复的话，那要看RP了），既然已经控制了可执行文件的写操作，那也就没必要再做什么免疫了。“侦测加壳程序”也没意思，见壳就报，不分男女老少，没必要。

再来看看这几个有一定代表性的测试样本：


都是12月1日以来样本区找的，在当时都可以把卡巴他们过得没脾气。费尔在今天（12月3）日升级病毒库后，已经能够扫描出他们，但为了测试符合费尔实际使用情况的防御效果，我仍然使用了11月28日的病毒库。



先看KAV.exe:


扫描引擎没反应（废话），启发式扫描没反应，被动态防御系统拦截，选择删除后，成功驱除。

yy.exe:


ckwxkwg.exe:


以上三个都被动态防御系统拦截，并可以完全驱除。

792405c6.exe：


这个连动态防御系统都没反应，是被最后一道防线“阻止可执行文件的写操作”拦住了。如果选项里不勾选这个功能，那可就中招了。

看看结果吧：貌似是完胜啊，很不错不是吗？

但回过头来想一想，要达到这样的超越卡巴它们的防御效果，还得有条件：
首先得是一个有经验的用户（我不是什么高手，但经验还是有一些的），如果是个一般用户，他不会采用这种设置，毕竟这种设置会带来很多的误报（其实也不叫误报，是“怀疑并提醒”，把分辨的任务交给用户了），得对自己系统里的软件心中有数才行。

其次得保证安装费尔前系统是干净的，由此才能做出准确判断，哪些是可信的，哪些又是不速之客——反正我又没有在安装新软件或是下载，只要是有谁跳出来写可执行文件，那99.99%都不是啥好玩意儿。

说白了，在上面几例中，杀掉病毒的关键因素都是用户自己的判断，而费尔只是完成了拦截任务。这么一来，和用HIPS还有多大区别呢？我看是没啥区别（“阻止可执行文件的写操作”本身，就是一条HIPS中常用又好用的必备规则）。那么费尔就可以当HIPS来用了吗？显然也不行。看看费尔那几个动态防御的弹出窗口吧，除了文件路径和文件名，几乎没有提供任何有用的、可以帮助用户进行判断的信息。这个程序试图生成什么？试图修改什么？为什么被动态防御所拦截？完全不知道。对于那些对自己系统了如指掌的用户来说，自然可以从文件名路径以及弹出窗口出现的时间就判断出其善恶，但对于大多数一般用户，那是完全做不到。一遇到这种弹出就立刻使用在线扫描吗？且不说实际使用时会这样干的人有多少，不能联网时又怎么办呢？

总而言之，费尔使用下来的给人的感觉，还是很微妙：它既象传统的杀软，又有几分像微点，还有几分纯HIPS的味道。也许正是这样的组合，造就了费尔出色的实际使用效果——对有经验的用户而言……

如何改变这种局面呢？一种可能：和那些传统大部头杀软一样，拼病毒库，拼扫描引擎，拼脱壳，拼虚拟……那样一来，费尔的特色也就荡然无存了。如果有一天，费尔同样成了一个体积庞大、占用系统资源庞大、拖慢系统的“怪物软件”，那大家真还不如去选择那些经典的老牌帝国主义了，毕竟心理上还更放心一些不是吗？

另一种可能就是迎接时代潮流，淡化病毒库和扫描那一面，强化HIPS和清除的一面。我个人认为这一条路无疑更适合费尔。首先，费尔的人力资源不能和那些大公司相比，每天机器人似的抓特征码，跟在病毒后面跑，实在活得太累。其次，可以保持费尔一贯的轻巧特性，不为用户带来很大负担。HIPS虽不万能，但对付绝大多数病毒木马，确实能收到四两拨千斤的功效，只要拦截做得好，提示信息做得出色，HIPS也不是那么难以驾驭。而且，费尔本身已经有了比较成熟的病毒库和扫描引擎，用它们来辅助主动防御的话，更是如虎添翼。

以上一家之言，大家随便看看便罢。我个人是真心希望费尔越来越好。

最后赞一下费尔的客服吧。我是04年购买的授权，有快三年时间没用了，注册码都早忘了。前几天“心血来潮”，晚上十点多发了封信去问我的注册还又没有效（好在还有订单号和当时的邮箱），结果不到一小时就把我的注册码给发回来了，而且对当时用户的种种承诺依然有效。这样的客服态度和效率可不得不赞。

PS：在这个窗口中：



如果选择了“清除”，那么会强制把父进程文件一起砍掉。这对付病毒很不错，但如果是用浏览器或者下载工具下载一个EXE时误点了这个，那它们可就被干掉了……如果用的绿色软件还好，复制一个回去即可，要安装的程序那可有点麻烦。应该增加一点灵活性，比如“终止父进程并删除生成的可执行文件”、“不终止父进程但删除生成的可执行文件”等等。

[ 本帖最后由 k600c 于 2007-12-4 21:53 编辑 ]

wu19934718

不错，支持楼主。。

TZW

powershadow_ch_2.8.2的隐子系统费尔的阻止可执行文件的写作功能是不能阻止的。我试过了。

coolk

谢谢分享！

运指如飞

楼主分析的很正确、全面

费尔还要下功夫啊

franksissi

嗯楼主分析的很详细，有理有据，赞一个！

费饭饭

1，说白了，在上面几例中，杀掉病毒的关键因素都是用户自己的判断，而费尔只是完成了拦截任务。这么一来，和用HIPS还有多大区别呢？
-----------当然有区别，更简单啊，对新手来说，只要是不熟悉的程序，点删除，就可以了。
2，“如何改变这种局面呢？一种可能：。。。。。。。。。另一种可能”
-----------说的很好，赞！
3，“PS：在这个窗口中：
如果选择了“清除”，那么会强制把父进程文件一起砍掉。这对付病毒很不错，但如果是用浏览器或者下载工具下载一个EXE时误点了这个，那它们可就被干掉了……如果用的绿色软件还好，复制一个回去即可，要安装的程序那可有点麻烦。应该增加一点灵活性，比如“终止父进程并删除生成的可执行文件”、“不终止父进程但删除生成的可执行文件”等等。”
-----------也是很不错的建议，目前的解决办法是把IE和winrar加入信任，