这里我把我和费尔官方交流的一些经典信件拿出来,一方面和大家分享一下,另一方面大家也可以从中学习到很多知识,我就是一步一步过来的哈!下面请看
费尔个人防火墙是一款很好用的软件 如果我只想正常的使用IE浏览器和迅雷以及QQ 不许别的端口和IP地址访问我的计算机.应该怎么进行IP设置.应该开放和关闭系统的哪些端口?
你好,
其实默认防火墙已经将除了规则之外的其他端口关闭了,所以一般在放行这几个软件后不再需要做特殊的配置。
如果确实需要只放行这几个软件,其他都拒绝。你可以用模式向导将模式切换到“自定义模式”,然后删除从34条以后所有的应用程序规则,然后创建三条规则放行那三个程序,这样就应该可以了。如果想恢复原来的规则,可以将模式重新切换到“普通模式
谢谢
朱雁辉
费尔安全实验室
http://www.filseclab.com
今天我在用费尔托斯特安全2005查毒时.当报告发现病毒时.我全部选中并执行了清除.后来我发现所有染毒的文件和应用程序都不能正常的使用了.我想问一下.怎么样才能只杀病毒而又不删除文件呢?
您好:
现在很少会有那种感染正常文件的病毒了,一般多是蠕虫病毒或者木马,这些有害程序直接删除它们即可,因为它们不感染其他正常文件,清除它们的唯一方法就是删除它们。不过如果你遇到的病毒是一种具有感染正常文件的恶性病毒,比如你电脑中许多正常软件都被报告为病毒,则表示它们可能被具有感染功能的病毒破坏,费尔托斯特安全对这类病毒目前则主要以防为主,比如如果打开它的“启动病毒感染预警”和病毒免疫则功能。对于那些已经感染的它会先尝试清除,但清除失败后会再删除它们。如果是这种情况你可以这样:除非那些程序无法重新安装或者非常重要,否则建议重新安装它们。如果不行你也可以从“隔离中心”中重新恢复那些被清除的文件,这样就可以恢复到未清除病毒前的状态,你可以尝试用其他的防毒软件来清除一下试试。希望有帮助。
谢谢,祝好!
朱雁冰
---------------------------------
费尔安全实验室
网站: http://www.filseclab.com
邮箱: filsoft@filseclab.com
您好:
我觉得的费尔每周升级一次不大好.因为如果要是每周一次的话.有很多新变种的病毒不能够及时的查杀.现在的 “威金”病毒变种很快.如果用户不能及时的升级及时更新病毒库的话.就可能造成不便.不光是“威金”其他的病毒也变种很快.所以我建议.我们应该把升级的时间改一下.至少应该每2天一次.以便在新的病毒出现之时能做出及时的反应!
希望考虑!
你好,
抱歉因为新版本的原因到现在才回复你。多谢你的建议,目前我们正在着手提速,升级速度会逐渐提升的,最终会提到至少1天一次,而且很可能每天会多次升级。
谢谢
朱雁辉
费尔安全实验室
http://www.filseclab.com �
朱老师:
我想问一下您,当病毒被截获后,我们利用什么工具去分分析内部的构造?可以发给我一个分析的工具吗?比如说是否加壳?加的什么壳?病毒运行后产生什么文件?我对病毒有浓厚的兴趣.我也对计算机有一定的基础,我非常想自己试试,可以吗?
谢谢!
你好,
我们对于病毒样本分析有两种方式,第一种自动分析也正是目前我们的在线扫描采用的技术,它首先与病毒样本采集组织给我们提供的样本进行比对,因为他们提供的这些样本都有病毒名和病毒类型,接口比较友好,所以一旦匹配上便可以确定病毒名以及病毒类型,而且这个样本库是实时更新的,所以它总比我们的客户端要识别的多一些。如果从已知库中查询不到便会采用我们开发的疯狂启发式扫描,也就是病毒自动分析程序,这个技术比较复杂而且可能威胁电脑安全,你知道这些程序我是不能提供给你的。我所能告诉你的是第二种测试方式,手工模式,这个方法也很简单有效,用 http://virusscan.jotti.org 等多引擎扫描网站扫描一下,基本可以确定是否有害。如果仍然有怀疑,就在病毒测试机上运行它,看它有什么不良表现,这个测试是比较危险的,所以最好有专门的电脑或快速恢复方案。至于探测加不加壳这一类的功能,我们在托斯特中都已经提供出来了。其中利用动态防御来测试病毒也是非常有效的。 �O�hk\P;}
谢谢
朱雁辉
朱老师:
有几个问题想问问您 �
1 网上说防火墙规则性能越多.性能越差 观点对吗?
2.我们现在的防火墙规则只能一次写一条.不能写一串.不太好
3.托斯特每天更新的新病毒比其他的反病毒软件都要多出许多来.在不太出名的情况下为什么能新增那么多的新病毒? t8*J
4.防火墙一直没有升级了,大概什么时候升级啊?
你好,
1、规则多一般防火墙需要更多的处理,但只要不是太多对于目前计算机的运算速度来讲基本没有影响。几百条的规则是没有问题的,但如上万条肯定影响就大了。
2、我们会考虑这个建议,但写一串编程比较复杂一些。
3、我们的市场及宣传方面的确做的比较少,这也是不出名的原因。但是在技术和技术合作方面却比较活跃,我们与世界上一些知名的公司或组织都有合作关系,许多样本都是它们提供的。
4、今年我们计划对防火墙有一次大的升级,希望明年初可以出来。这个只是粗略的估计,具体还无法确定,也许更早也许更晚。但此次升级是根本性的,完全重写代码都有可能。
谢谢
朱雁辉
一些黑客软件经常说 可以已经可以过 卡巴 我想知道 过了卡巴是不是就等于能过所有的杀毒软件吗? 过了卡巴 能不能过动态防御系统?
瑞星的 虚拟机脱壳 技术 与 我们的 动态防御系统 有什么不同啊?
你好,
不好意思,出差了两星期,刚回来。
不是,通过卡巴绝对不等于能通过所有杀毒软件,因为杀毒软件的病毒库都不一样。另外更不一定能通过动态防御系统,动态防御系统是是根据程序行为动态分析而进行判断,可以预防绝大多数的未知木马和病毒。虚拟脱壳和动态防御完全是两个不同的技术,虚拟脱壳是一种脱壳技术,它是用来将加壳的程序脱壳后的到正常的程序,然后再用病毒库扫描是否是病毒。而动态防御则不管是否加壳,而是在程序运行后分析其行为然后判断是否有害,这么说吧,动态防御就是主动防御,和东方微点的技术类似。
朱雁辉
朱老师:
您好!
不好意思这一段时间.总给您写信.给您工作带来不便的地方.还请您多多谅解!
其实我觉得拖斯特没有启动前扫描是它的致命伤.因为现在决大数病毒都是随系统一起启动的.而拖斯特却是在系统启动起来后才加载引擎的.如果病毒比它先启动.那样是不是就让病毒快了一步?现在的杀毒软件都有启动前扫描.而我们们的软件却没有.那样会不会使防毒的效果大打折扣?我们以后会在这方面有改进吗?
您好: �
系统启动前的病毒并不是象想象的那么多,而且病毒即使先执行了,防毒软件启动后也会把它阻杀。所以这个问题并不是一个致命的,但算是一个不足,这方面我们会改进的,会让它逐渐提前起来的。
谢谢,祝好!
朱雁冰
---------------------------------
费尔安全实验室
网站: http://www.filseclab.com ,
邮箱: filsoft@filseclab.com
老师:
今天网友中了病毒.病毒屏蔽了多款杀软.我推荐他用费尔托斯特安全.但是一会被告知费尔托斯特安全也被屏蔽 郁闷!最后还是用金山的在线查毒杀掉的.郁闷!
原来我就再想.我们的软件在安全模式下不能运行.是一个很大的弊端.一般而言.要想对机器进行彻底的安全病毒检查.最好的环境是安全模式.当然DOS下更好.因为那个环境是系统的原始模式.不会加载多余没有用的项目.相对正常模式情况下查/杀 毒更彻底!
如果象我今天遇到的情况一样.正常模式被屏蔽.安全模式下虽然不加载病毒了.但郁闷的是费尔托斯特安全不能在安全模式下加载.别的杀软能进安全杀毒却没有费尔托斯特安全那么强的杀毒能力!两者不是很矛盾吗?
这个问题很要命.望尽快得到解决!
谢谢!
您好:
安全模式以后会支持。目前还不行。而且费尔与其他防毒软件不同,它可以穿过windows的一些普通保证,发现病毒和清除病毒能力与安全模式状态几乎一样,因此使用它并不需要特别进入安全模式才能清理干净。只要它可以的,在普通模式下就可以。
谢谢,祝好! �
朱雁冰
---------------------------------
费尔安全实验室
网站: http://www.filseclab.com
邮箱: filsoft@filseclab.com
,
关于病毒样本的提取方法
你好,
关于提取活性样本要注意以下方面:
必须知道样本所在的位置,也就是路径和文件名。如果是使用杀毒软件发现的样本,通常杀毒软件会报告出病毒的位置,但为了保持活性,这时候不要使用杀毒软件的杀毒功能,一旦杀了病毒也就失去活性了。而且需要注意杀毒软件的实时防护往往会阻止对此病毒的任何操作,所以要提取出它还要暂时停止杀毒软件的实时防护,此时用带密码压缩的方式即可将样本安全取出。然后再打开杀毒软件将其清除。
但如果没有杀毒软件或杀毒软件没有识别,但是感觉有中毒迹象,这个时候要找出病毒就比较麻烦了,往往需要一些专业知识,这个我就不作说明了。但也可以借助一些辅助工具来发现未知病毒,比如费尔托斯特安全的动态防御系统可以自动侦测出绝大多数未知木马和病毒,而且将样本举报的过程全部自动化,这是一个不错的方法。
朱雁辉
我提两个建议
1.从现在该病毒的发展趋势来看.在近一段时间内该病毒的状况应该还会是上升趋势.我们现在是不是应该做一个小的专杀工具放到我们的网上.供网友免费下载使用?
2.费尔在以后是不是应该在安装之前先执行内存和相关的一些服务的病毒扫描.那样可以确保在没有病毒干扰的情况下正常的安装和启动费尔.别的防毒软件安装时候只是扫描内存程序.而不扫描有没有一些病毒服务项目.我觉得扫描一些服务也是至关重要的!
希望以后加入!
你好,
1、做杀毒补丁我们可能没时间,不过我们会注意以下此病毒的动向。
2、其实在进程扫描时已经对已经启动的服务也做了扫描,因为服务也是以进程形式存在的。主要是在杀毒软件后启的情况下,可能会被病毒再次结束而无法正常启动导致无法杀除。不过如果知道进程名和文件路径到可以手工先结束它,然后再启动杀毒软件。
谢谢
朱雁辉
朱老师:
近一段时间.AV闹的很凶.很多网友都不幸中招.从目前的病毒发展与用户求助的形势看来,AV的影响应该还用持续一段时间.希望官方多多关注一下这个病毒.
其实.我觉得现在的病毒都有一个共同的弊病.
#1.病毒运行后就急于表现自己的危害.不能很好的判断被入侵的机器除了致使本次被入侵的系统漏洞外还有什么可以别的可利用的漏洞。以便与当发现别的漏洞后利用不同的漏洞攻击原理把所有的漏洞攻击结合起来.形成互补.达到更好的入侵效果
#2.不注意辨别反病毒软件.其实每一个防毒软件都有自己的特点和不足,性能也不尽相同。现在大致可以把防毒软件分为两大类.即 主动防御型 普通型。只有辨别反病毒软件了防毒软件的类型才能更好的逃避自己被绞杀的命运。
举例 瑞星2007 VS 卡巴 6.0
星属于普通类 卡巴属于主动防御型
进程注入法现在被病毒广泛应用,在入侵上是比较有技术含量的方法.但是如果不注意辨别反病毒软件.就可能使自己漏出马脚
假如一个病毒运用了进程注入法.它遇到的防毒软件是瑞星.因为瑞星现在还不具有主动防御所以进程注入法针对瑞星还是比较有效的!
那么假如一个病毒运用了进程注入法.它遇到的防毒软件是卡巴.因为卡巴现在已经具有主动防御,并且做的比较成熟。病毒一旦运行就会无情的被卡巴的主动防御报警和阻止,并会追根寻源.找到病毒文件源头。所以不注意辨别反病毒软件也是如今病毒的一大弊病
#3对于杀毒程序控制的还是不太严格
现在病毒反杀毒软件是很平常的事了一些杀毒软件有的时候不能运行。但是只要稍微修改一下(改文件名。 扩展名 )一些杀毒程序和专杀工具却可以运行。归根结底还是对对于杀毒程序控制的还是不太严格。其实一些专杀工具很好辨别的.比如从文件名称上.从程序大小上.还可以从一些下载地址上。都可以辨别的
不知道老师对我上面说的怎么样看?
谢谢.祝好!
你好,
的确是这样的,主要是因为病毒往往是业余作品,很多都没有把它上升到商业级别,因此稳定度和精致度常常不够,直接非法操作的病毒也有很多。不过仍然存在一些高质量的病毒,比如灰鸽子就相对精致。这场斗争肯定是无休止的。
谢谢
朱雁辉
Filseclab :
费尔托斯特安全似乎对autorun.inf类自动运行病毒的样本不是很丰富.很多都查不到,只是对autorun.inf的配置文件报警,而对于实体的auto.exe病毒程序熟视无睹,这应该是一个缺陷,我在卡饭是曾经也看到过官方对查杀auto.exe病毒程序的解释,但是总觉得这不是个根本的解决办法,希望官方积极扩充auto.exe一类病毒的样本数量,改进现在对auto.exe一类病毒的查杀方法.
注(附件为 auto.exe病毒实体样本以及费尔不能查杀的几个dll病毒程序,解压密码 123)
谢谢.祝好!
您好:
对你提供的样本进行扫描,卡巴斯基11.9日的病毒还无法全部识别其中的病毒,只能识别两个DLL,其余也无法识别,包括auto.exe。把卡巴升级到最新的病毒库才可识别全部。因此这个病毒其实是一个新的autorun病毒(autorun现在每天递的新毒量非常多,所有的防毒软件都无法识别全部),费尔无法识别它也并不是设计缺陷,就是一个所有防毒软件都会有的原因,也是最直接最简单的原因:这是新病毒,病毒库中还没有录入它。因此只要我们及时更新病毒库,就可以查杀它,下次病毒库更新中费尔将可以识别。
谢谢,祝好。
------------------------------
费尔安全实验室 技术支持组
网站: http://www.filseclab.com
邮箱: filsoft@filseclab.com
Filseclab:
费尔不是杀AUTO的配置文件吗?为什么附件那个在最新的病毒时没有报告?
您好:
autorun.inf文件正常程序也会使用,费尔为避免误报情况的发生,对病毒样本进行了比较精心的采样,以达到精确高无误报。不过此脚本加了许多乱码来干扰,所以致使费尔认为是正常程序,下次病毒库更新中我们将调整一下,支持对它的清除。
谢谢,祝好。
------------------------------
费尔安全实验室 技术支持组
网站: http://www.filseclab.com
邮箱: filsoft@filseclab.com
Filseclab:
近几天看见费尔大幅度加快了升级病毒库的频率,感到十分高兴!费尔团队辛苦了! �
相信很多人选择卡巴斯基的原因在于不仅因为卡巴有超强的脱壳能力,我想更主要的是卡巴每小时升级的诱惑!而在卡巴在夺得了全球病毒库升级最快的美誉背后,却也有误报之王的称号,也使得不少人望而却步!
不可否认费尔加快升级频率后,也有很大潜在的误报风险.这正是我今天要说的,也是费尔日后要面对的现实,不知道费尔在提高升级频率的背后,用什么方法防止误报.是应用你们研发的误报防御系统吗?
费尔刚刚起步,应该说费尔走了一条与别人不同的发展道路,希望你们能处理好不平坦道路上的种种状况,继续稳步前进.开创自己每好的明天,
总而言之:处理好不平坦道路上的种种状况,继续稳步前进.
致 .
礼!
您好:
i
感谢你对费尔一贯的关注和支持,费尔近期在努力尝试提高更新速度,目前是一个试运行阶段,以应对日益突出的病毒传播新趋势,由于是试运行阶段,还有待我们进一步观察和改进,所以目前每天的更新次数和频率暂还无法确定,但可以保证更新的速度和质量都是前所未有的,也是过硬的。关于误报问题,费尔早在未提速之前就已经研究相关技术并已获得良好成果,而且这一系统已经在V7R2开始默默启用,实际效果表明对误报起到了非常好的抑制作用,这方面会继续保持和发扬。费尔的提速和增强反误报机制是同时进行的,我们也在持续监测着相关数据,收到用户的误报举报也会尽快进行处理,及时排除误报可能带来的影响,因此这方面可以不用太担心。我们会继续努力的。
谢谢,祝好。
------------------------------
费尔安全实验室 技术支持组
网站: http://www.filseclab.com
邮箱: filsoft@filseclab.com
呵呵.以上只是我邮箱里信件的一部分. 开始肯定有一些比较菜的问题,大家不要见笑,,希望通过上面的一些信件让大家更详细的了解费尔! 支持费尔 |
发表于 2007-12-23 10:22:08
发表于 2007-12-23 11:22:50
