对火绒自定义规则的几点建议

yutian8888

一、关于软件定位问题是要定位于一款全功能安全软件还是智能主防+手动HIPS软件，还是安全辅助软件？我想，这一点火绒管理层可能都没有考虑清楚。

• 作为全功能安全软件而言，火绒和国内外成熟产品差距太大
  

• 传统特征码扫描方面，以火绒的本地库和云端库而言，和BD、卡巴、红伞相比，和国内的360、腾讯、百度、金山甚至费尔相比，都太弱了
• 防火墙方面，火绒顶多只能算是个网络连接管理软件，和专业防火墙如PF、COMODO、OP、OA之类，差距巨大，和杀软IS套装也不能相提并论
• 智能主防或手动HIPS方面，可以算是火绒的特色，但作为全功能安全软件，这只是一部分，不能当作全部
• 其他功能缺失。比如沙箱、安全购物、反广告、流量扫描、邮件防护、家长控制、系统优化等功能，要么缺失，要么功能太弱
• 以火绒的人力物力，是否能够支撑一款全功能安全软件的持续开发和维护？我个人觉得，难！连日常病毒库更新都不能保证，如何全功能？
  

二、关于功能取舍问题

• 学会取舍，有舍才有得，舍弃自己不擅长的，或者追赶不了的，发挥自己最大的优势
  

• 在传统特征码、防火墙等方面和国内外一线厂商一较长短，是不明智的，不会得到一般用户的认同。试问，有多少人单奔着火绒心里是踏实的？有多少人不是装着别的杀毒软件再装一个火绒用作主防补充？
• 花费大量人力物力去开发和维护传统特征码，是不现实的。无论你如何努力，在缺少用户的情况下，这方面永远追不上成熟厂家。
• 为何不能舍弃传统特征码，而专注于智能主防+手动HIPS+智能防火墙呢？
  

• 集中所有人力物力，在智能主防+手动HIPS+防火墙上寻求突破，让强项更强，弱项更弱
  

• 主防方面，用户看不到规则，规则由开发团队维护是可行的。当然，我也并不喜欢COMODO及卡巴的数字签名信任策略，很多有数字签名的流氓会被放过
• 手动HIPS方面，有太多需要调整的地方了。我认为整个构架都需要改变。
• 系统防护这一块，规则是定义好了的，用户可以选择开启哪些规则，这一点很好，很多常见的需要保护的FD和RD都在这个默认规则里面了
  

       但是这个地方的排除很有问题，体验性很差，如果程序没有触犯到规则，就无法添加排除规则。添加的排除规则也不能修改为通配符，使用时间长了之后最后会导致在自动处理设置页面出现大量的排除规则，无法整理，无法分类，也无法减少和优化。用户在碰到触犯内置规则被提示时，也未必懂得如何添加排除，最后可能就是X掉提示窗了事，规则成为废品。
       对此，我有两点建议：1、增加云端判断或者内置白名单库，减少弹窗（如果选择严格防护，弹窗还是很多的）；2、或者将自动处理设置（排除规则）开放给用户自定义，并允许通配符。如下图：假设在D:\ABC 文件夹中有a.exe b.exe  c.exe 三个文件，如果都触犯了内置规则，可以通过弹窗创建排除规则，但是会出现三个排除规则。如果允许使用通配符，则用户可以设置一条规则搞定：  D:\ABC\*.exe



4、自定义防护规则设置方面，体验性就更差了


       第一、不能分组，不能排序，FD和RD不能在一个分组规则里实现。用户在使用过程中不断打磨自身规则，随着时间的增加，这个地方的规则会越来越多，但是不能排除不能分组，会导致用户对这里的维护、规则优化越来越困难。规则多了之后，你根本找不到自己想要找的那条规则，最起码，得允许用户搜索规则吧？    第二，排除问题，和上述内置规则的排除存在同样的情况，排除不能自定义是相当麻烦的事情。

三、关于主防和HIPS架构优化问题

• 主防和HIPS优先级。主防> 内置HIPS规则 > 自定义HIPS规则
• 学习卡巴及COMODO的分组模式。先将系统中的程序和文件按功能分组，分为 系统文件、浏览器、邮件客户端、自启动目录、驱动与服务、下载软件、社交软件、播放器、网络安全软件、受限制软件、不信任软件等，其中再分别设定FD、RD、AD规则和防火墙规则作为默认规则。程序启动时，如果是已知程序并已经在内置分组中，则自动套用分组规则；如果是已知程序但未在内置分组中，则首先调用云端库进分组，然后自动套用默认分组规则；如果是未知程序且云端无法判断，则弹窗通知用户，引导用户套用某一个默认的分组规则，并允许对规则进行微调。
• AD功能进行完善，补充更多的监控点，并且允许用户对某一程序进行AD规则的调整。
• 排除规则允许自定义，允许通配符。
• 防火墙融入HIPS分组规则中，被判定为受限制软件、不信任软件时自动禁止联网。
  

以上仅为个人观点，舍弃弱项，发挥强项，才是火绒真正的出路
传统特征码方面，一旦火绒走上良性的发展道路，有钱了，OEM一个就行，没有必要在现阶段浪费人力物力资源

这样痴痴爱着你

感谢您对火绒的支持，我已经把您的建议反馈给我们的产品经理了

玄虚道

个人觉得国内不管是技术方面还是产品易用性以及用户体验方面 而且不比国外的差
这点360做的是最好的，360任何产品最强的就是产品易用性和用户体验做的非常好
而且一个产品除了技术，这两点也非常重要
而且360的技术也是有目共睹的，效果在那摆着呢 用户量在那摆着呢
我觉得还有一点也很重要，就是一个病毒不管通过什么方法，他肯定要放出，然后肯定要有人中招！
那么他能过多久云呢（以前说能过三天就算牛B的）过云，能过QVM吗 能过主防吗（再说360技术不仅仅是这些）
而且360云检测机制是（只要是未知文件 360自动上传检测）别再给我说增加体积这招了（已经没用了）
白加黑病毒现在对360已经没用了
而且有免杀即便暂时过了360，能过多久？（这个很重要）再说360可以更新规则（以后他的任何变种免杀都没啥用了）
云达到一定数量的时候就无敌（更何况360还有很多其他核心技术 都是很牛很厉害的比如云主防 云QVM 包括本地的等等技术）
360的技术牛人很多（比如MJ 比如MD的S大 墨者的作者 冰刃的作者等等）不知道的大牛可能更多
而且多次发现微软核心漏洞 微软多次公开致谢（没点技术能做到吗）
技术就不说了（大家都知道的云查杀 云主防 QVM等等）没公开的技术说不定更多
而且你做的产品首先是要给大家（社会大众使用的）
如果一个产品技术再好得不到普及也是失败的
毕竟大家都不是电脑专家（如果你是高手 你完全可以忽略这些东西了）
而且国外的产品易用性 用户体验做的不好，因为他不知道中国人到底需要什么
有的还水土不服 比如卡巴不查杀恶意批处理（说无法识别是不是用户行为）
这点说不过去啊，用户安装你就是让你保护我的，不然就失去安装你的意义了
而且国外的一样存在误杀甚至比国内的更严重
360有海量白名单以及开发软件公司自动送检的（基本常用的 以及送检的不会有误报）
再说只要联网就没所谓的绝对隐私可言（谷歌还为美国政府收集用户信息呢）
现在没什么绝对的安全（每个企业背后都有一个利益集团）
再说360以前流氓过，再说那都是以前的事了，360有360的目的。不过比起某度来说 算的了什么。
再说现在360很安心的做产品了
而且有的产品使用还很复杂（而且需要有一定的判断能力）
中国人10个人里面能有三个真正懂电脑的就算不错了
不信你可以看看你周围的朋友 亲戚 爸爸 妈妈 姐姐 弟弟 同学等等他们会用这些吗
他们天天都在干什么 都在使用什么！
再者一般使用电脑的人无非就是看看电影 聊天 听歌 玩玩游戏以及办公才会使用到
再说谁也不会天天没事干，天天研究什么病毒 什么系统之类的
用户使用一个产品的目的很简单，简单 方面 免费 效果好 我就用谁
全国我不能说都使用360，至少我去过的地方城市
比如街头一些门店 电脑城 机关 公司电脑，个人电脑见到最多的就是360
不然HIPS软件效果这么好，为什么一直无法普及 为什么一直是小众用户手中的玩物呢！
该用的还是会继续用 心态一定要放好！我们要承认事实 确无力改变事实
就比如QQ骂的人多吧 照样都在用（现在出门基本都是问你QQ号和微信号的）
腾讯游戏骂的人在多，但是他的游戏还是玩的人最多
360骂的人再多，还是使用最多的杀毒软件 还是占有率第一
小米骂的人再多，还是国内出货量第一
http://bbs.kafan.cn/thread-1785761-1-1.html
http://bbs.kafan.cn/thread-1784907-1-1.html
http://bbs.kafan.cn/thread-963649-1-1.html
http://bbs.kafan.cn/thread-1786775-1-1.html
http://bbs.kafan.cn/thread-1804926-1-1.html


http://bbs.kafan.cn/thread-1808004-1-1.html
http://bbs.kafan.cn/thread-1307807-1-1.html
http://bbs.kafan.cn/thread-1308020-1-1.html
http://bbs.kafan.cn/thread-1807775-1-1.html
http://bbs.kafan.cn/thread-1806078-1-1.html


【大家不用回复我了，我只是发表一下个人的看法和大众的现实需求】

1094947421

不敢苟同，仅路过，不是水，不想说，貌似哪里见过类似贴。

脏兮兮的冰块

     这也是一种路子，但是如果这么规划，那火绒就没有出头日了，单纯的主防没什么前途，当然明白的人知道是好的，但是有几个明白人呢，99%的网民都不懂这些的。

    天朝大多数网民还是贱：你告诉他这个好，他懒得用，给他流氓装上删不掉了他就懒得删了。
    接着在使用的时候不停的恐吓+诱导，帮你拦截了多少东西，帮你清除了多少垃圾，你要是把我删了你电脑就完了。
    小白一听，卧槽这东西真厉害，就用着了。
    仔细想想，数字 某度 某管 某霸不都是这样发家，靠流氓达到用户量稳住阵脚的。

    感觉火绒要走的路很远

yutian8888

1094947421 发表于 2015-2-6 21:50
不敢苟同，仅路过，不是水，不想说，貌似哪里见过类似贴。

哪里见过，说说看？

我在这里码字码了个把小时，你居然说以前见过   见鬼了

yutian8888

脏兮兮的冰块 发表于 2015-2-6 22:42
这也是一种路子，但是如果这么规划，那火绒就没有出头日了，单纯的主防没什么前途，当然明白的人知道 ...

互联网盈利的方式有很多。。。。。
想想COMODO就明白了。先不说它别的业务，这货最开始就只是一个防火墙，那个时代的防火墙都是手动的，弹窗满天飞

斗胆来个想法，火绒如果通过默认规则搞定现在网络上横行的各种流氓、弹窗
再加上疯狂的互联网宣传攻势，会不会一夜成名？会不会像互联网救世主一样万人瞩目？
就看刘老板愿不愿意冒这个险了。。。。。百度、腾讯、金山、360，都不好惹啊！

yutian8888

yutian8888 发表于 2015-2-6 23:22
互联网盈利的方式有很多。。。。。
想想COMODO就明白了。先不说它别的业务，这货最开始就只是一个防火墙 ...

纯主防，最不济还有被收购的可能，刘老板还能赚一笔
特征码，谁买？

玄虚道

脏兮兮的冰块 发表于 2015-2-6 22:42
这也是一种路子，但是如果这么规划，那火绒就没有出头日了，单纯的主防没什么前途，当然明白的人知道 ...

.
【具体看3楼】

360收购的企业 公司 软件（比如安易信 比如世界之窗 MD纯HIPS以及墨者安全）
技术牛人（比如MJ 比如S大 比如冰刃的作者等等）投资了不在少数（360还投资了不少公司 比如迅雷 比如某播）

所以我说一个产品除了技术，易用性和用户体验也非常重要！
而且一定要符合市场 符合用户需求
你做的产品首先是要给大家（社会大众使用的）
如果一个产品技术再好得不到普及也是失败的
毕竟大家都不是电脑专家（如果你是高手 你完全可以忽略这些东西了）
而且国外的产品易用性 用户体验做的不好，因为他不知道中国人到底需要什么
有的还水土不服 比如卡巴不查杀恶意批处理（说无法识别是不是用户行为）
这点说不过去啊，用户安装你就是让你保护我的，不然就失去安装你的意义了
而且国外的一样存在误杀甚至比国内的更严重
360有海量白名单以及开发软件公司自动送检的（基本常用的 以及送检的不会有误报）
再说只要联网就没所谓的绝对隐私可言（谷歌还为美国政府收集用户信息呢）
现在没什么绝对的安全（每个企业背后都有一个利益集团）
中国人10个人里面能有三个真正懂电脑的就算不错了
不信你可以看看你周围的朋友 亲戚 爸爸 妈妈 姐姐 弟弟 同学等等他们会用这些吗
他们天天都在干什么 都在使用什么！
再者一般使用电脑的人无非就是看看电影 聊天 听歌 玩玩游戏以及办公才会使用到
再说谁也不会天天没事干，天天研究什么病毒 什么系统之类的
用户使用一个产品的目的很简单，简单 方面 免费 效果好 我就用谁
全国我不能说都使用360，至少我去过的地方城市
比如街头一些门店 电脑城 机关 公司电脑，个人电脑见到最多的就是360
不然HIPS软件效果这么好，为什么一直无法普及 为什么一直是小众用户手中的玩物呢！
该用的还是会继续用 心态一定要放好！我们要承认事实 确无力改变事实
就比如QQ骂的人多吧 照样都在用（现在出门基本都是问你QQ号和微信号的）
腾讯游戏骂的人在多，但是他的游戏还是玩的人最多
360骂的人再多，还是使用最多的杀毒软件 还是占有率第一
小米骂的人再多，还是国内出货量第一

而且360的技术也是有目共睹的，效果在那摆着呢 用户量在那摆着呢
我觉得还有一点也很重要，就是一个病毒不管通过什么方法，他肯定要放出，然后肯定要有人中招！
那么他能过多久云呢（以前说能过三天就算牛B的）过云，能过QVM吗 能过主防吗（再说360技术不仅仅是这些）
而且360云检测机制是（只要是未知文件 360自动上传检测）别再给我说增加体积这招了（已经没用了）
白加黑病毒现在对360已经没用了
而且有免杀即便暂时过了360，能过多久？（这个很重要）再说360可以更新规则（以后他的任何变种免杀都没啥用了）
云达到一定数量的时候就无敌（更何况360还有很多其他核心技术 都是很牛很厉害的比如云主防 云QVM 包括本地的等等技术）
360的技术牛人很多（比如MJ 比如MD的S大 墨者的作者 冰刃的作者等等）不知道的大牛可能更多
而且多次发现微软核心漏洞 微软多次公开致谢（没点技术能做到吗）
技术就不说了（大家都知道的云查杀 云主防 QVM等等）没公开的技术说不定更多
再说360以前流氓过，再说那都是以前的事了，360有360的目的。不过比起某度来说 算的了什么。
再说现在360很安心的做产品了
而且有的产品使用还很复杂（而且需要有一定的判断能力）
中国人10个人里面能有三个真正懂电脑的就算不错了

【大家不用回复我了，我只是发表一下个人的看法和大众的现实需求】

.

2314805817

不造楼主有木有认真用过火绒和认真看过火绒官人透露出来的规划
引擎+主防，是火绒的立足之本
二者不可放弃
在国内几乎全云的大环境下，一旦断网，后果是什么？

甭说能过云的病毒本地也拦不了。这玩意和HIV一样，HIV只破坏免疫系统，真正摧毁人的是免疫系统缺陷后其他病毒大肆传播，却无法阻拦。
无心无说的ddos攻击，个人认为还是比较可信的。不能因为做了错事就把人一棒子打死。

火绒的主防可以在断网时有很强的防御能力
本地引擎也可以在断网时监控、查杀
个人愚见，火绒在将来加入的云还是要为本地服务，云快速收集样本后扫出特征，补充本地毒库，云只是辅助的手段。
之前测精睿日包时，发现火绒的修复能力也不错，要好于国内三大，可以抓住这一点做文章。
企业版太遥远，暂且不管。个人版防火墙目前联网控制也够用了。易用为主，不能弹窗吓跑用户。

火绒要赶在国内三大完善自己的本地引擎和主防前完善自己，等待一场“HIV”爆发，届时将是改朝换代之日。