似乎费尔动态防御对于流氓软件不太敏感？

vdeathless

最近双击了一些样本区的样本，危害程度高的毒动态防御基本都没失手过。

但大部分测试到的流氓软件（通常为后台联网下载、静默安装、难以删除）费尔的动态防御似乎并不感冒。
没有用HIPS测试那些样本是否具有进一步的危害。
但在今天这个大部分反病毒产品都有反PUP（甚至微软在今年都会加入这个功能）的时代下，希望费尔的动态防御也能对这类“威胁”更敏感。

因样本数量较少，无法验证动态防御对PUP的防御能力，仅是偶然发现提一下。

xflcx1991

我也这样感觉。费尔尚留在纯洁的病毒查杀中。流氓行为防御什么的没啥感觉。

vdeathless

xflcx1991 发表于 2014-5-8 23:13
我也这样感觉。费尔尚留在纯洁的病毒查杀中。流氓行为防御什么的没啥感觉。

估计在本来误报就比较严重的情况下再加上对流氓行为的防御会让误报更严重

幽冥の龙

动态防御高再勾选专家模式
然后系统加固哪里把所有选项都调成询问模式试试

vdeathless

幽冥の龙 发表于 2014-5-8 23:49
动态防御高再勾选专家模式
然后系统加固哪里把所有选项都调成询问模式试试

系统加固应该影响不大

动态防御是最高且专家模式

/tiao眼镜鱼

这个现在有点为难费尔了，对于流氓安装，现在来看国产就火绒不错，楼主有兴趣可以试试看

幽冥の龙

我昨天用虚拟机去样本区找流氓软件双击玩了……

然后发现费尔是这样的，如果是流氓下载安装 白文件的，费尔基本不管，比如放行后给你安装一堆金山、360或者浏览器什么的…… 反正都不是病毒木马，费尔是全程放行顶多弹弹什么注册表 加驱动之类的框……

但如果样本放行后下载的是病毒木马，并且下载后的病毒木马出现了行为触发了动态防御的话，用户点清除就可以把这个以及之前样本下载装的 所有东西全部清掉，应该就是黑盒的作用了吧。

换句话说，费尔对于后台偷偷下载安装这个行为本身是不认为有害的，能不能拦截清除仅仅只看偷偷下载安装的东西是白还是黑

等以后防火墙出来一起联动的话，应该对于偷偷下白文件的流氓也能防御了吧


我昨天试了2个，一个是 http://bbs.kafan.cn/thread-1727327-1-1.html
对于此样本，同意安装后运行那个什么乱码修复大师之后后台开始疯狂下载安装乱七八糟的东西，点了清除后就连带样本什么的全部清干净了


http://bbs.kafan.cn/thread-1729035-1-1.html
这个费尔就没反应，装到后面实在太多了费尔终于开始弹框了，但是不知道他到底要下多少东西，反正虚拟机被他搞的卡的要命后来费尔的弹框也直接卡死了。。。

skycai

xflcx1991 发表于 2014-5-8 23:13
我也这样感觉。费尔尚留在纯洁的病毒查杀中。流氓行为防御什么的没啥感觉。

所以，国内的安全环境真的变化很大。

传统的“安全”软件，越来越难以生存。

vdeathless

幽冥の龙 发表于 2014-5-9 09:02
我昨天用虚拟机去样本区找流氓软件双击玩了……

然后发现费尔是这样的，如果是流氓下载安装 白文件的， ...

感谢测试

防火墙估计是没影儿了

流氓行为应该不需要防火墙也能识别和拦截吧（比如mamutu）。

幽冥の龙

vdeathless 发表于 2014-5-9 11:19
感谢测试

防火墙估计是没影儿了

实机配个 卫士辅助会好很多

没主防的金山 或者 关闭主防的360都可以

没有一个安软是可以100%防的，所以还是得找自己最适合的，然后2种能搭配互补的，这样会安全很多……

另外经常逛样本区的话，总能看到有的报有的被过的，费尔表现算是好的那一类

而不管怎么样用户最后要使用的话都要去双击的……  能防住这最后一步的目前个人感觉  让人放心的 只有2款   微点、费尔

就是费尔误报有点高，微点要么不报一般只要弹了多半就不是什么好东西了。。。费尔有点让人犹豫……