飞塔跟lns冲突怎么写规则？

天蓝色的忧伤

fish 发表于 2015-4-18 15:53
不免费啊

180天提取

薄荷

Forti的新版没试过,LNS我喜欢自己手写所以也没怎么看过Phant0m规则,单凭描述不敢乱猜.
不过Forti和LNS理论上,不是只要有一个就够了吗?

fish

薄荷 发表于 2015-4-24 19:49
Forti的新版没试过,LNS我喜欢自己手写所以也没怎么看过Phant0m规则,单凭描述不敢乱猜.
不过Forti和LNS理论 ...

用的是飞塔没主防没防火墙（free版）的杀软。
本来觉得功能单一冲突最少，结果飞塔网页保护模块被lns滤了。不知道怎么写规则放行。
我发现不只ktango的规则，就算用内置的规则也会出现封锁。

，就一个.

飞塔检测率还不错

fish

，就一个. 发表于 2015-4-26 03:25
飞塔检测率还不错

中等水平。free版没云没主防。
请教，测主防双击病毒包，如果杀软被过相当于中毒，直接再点一下个毒吗？测完再还原快照吗？

，就一个.

fish 发表于 2015-4-26 12:17
中等水平。free版没云没主防。
请教，测主防双击病毒包，如果杀软被过相当于中毒，直接再点一下个毒吗 ...

被过直接记录被过的样本，测试下一个，如果中途杀软被干掉就别测了，都被干掉了还用个毛，直到测试完成就还原测试下一个。

fish

，就一个. 发表于 2015-4-26 14:28
被过直接记录被过的样本，测试下一个，如果中途杀软被干掉就别测了，都被干掉了还用个毛，直到测试完成就 ...

就是说杀软没挂的话，即使病毒不能杀也不还原了，一直往下测？还是说被过一个马上还原再测？

，就一个.

fish 发表于 2015-4-26 14:49
就是说杀软没挂的话，即使病毒不能杀也不还原了，一直往下测？还是说被过一个马上还原再测？

一直测试，知道测试完成 ，统计被过样本数目，然后不要重启再次复查被过的所有样本。再次双击被过的样本，确认没有漏过以后在重启，测试注意杀软主防是否有云联动或者调用本地库。最好测试段位测试纯本地主防，区分是否调用病毒库就是注意看主防弹窗报的名称 如果是可疑行为或者恶意行为就是主防报的，如果是报什么木马XXX，后门XXX，报发很详细，那就是调用本地库就不需计入主防拦截的范畴。

fish

薄荷 发表于 2015-4-24 19:49
Forti的新版没试过,LNS我喜欢自己手写所以也没怎么看过Phant0m规则,单凭描述不敢乱猜.
不过Forti和LNS理论 ...

劳烦看看8楼，应该是这个阻碍了飞塔（纯杀软）的网页保护。就算用自带的规则，也会有类似的阻止。

薄荷

fish 发表于 2015-5-3 15:30
劳烦看看8楼，应该是这个阻碍了飞塔（纯杀软）的网页保护。就算用自带的规则，也会有类似的阻止。

这个规则是阻止远程单SYN标志位入站,禁用这条规则,基本就丧失了端口隐藏性.
如今流行的杀软网页保护模块一般是一种http proxy,对其中的一些mime类型调用专门的特征库进行扫描.

很抱歉最近没有空闲帮助测试这个组合......打开系统防火墙,然后禁用LnS的各条规则,试看哪条允许后正常;用TCPView观察飞塔进程的连接动作.看是否能找出问题所在.