囧，测试中发现的火绒监控趣像

√×√×√√×

囧，在测试某外{过}{滤}挂样本的时候发现的一个有趣现象 囧囧

囧，样本在运行的时候会在系统system64(32)目录下释放一个衍生物，具体功能不明可能是拿来写启动项也可能是服务的，该衍生物可以被火绒准确的扫描出。但问题来了，第一次运行样本的时候火绒的监控，准确的说是默认的推荐监控等级会监测到该衍生物的产生并弹窗警告。
囧，但在处理删除之后，第二次运行、第三次运行，甚至重启系统后的第四次运行，都会在system64(32)目录下释放相同衍生物并且可扫描出，火绒的监控却反而再没有动静了，从头至尾咱只看到了首次运行样本时监控会有所反应。
最后，直到把监控从默认推荐等级调到最高程度的时候火绒的监控才会重新开始报警，真不知默认推荐的监控具体有什么用，囧囧囧

囧，更要命的是唯一一次的首次报毒监控日志在第一次重启系统后还可以翻得到，第二次重启系统后火绒居然自己就给删除了！ 囧囧囧囧
假设说是清除本页的锅的话，那么干嘛把我只有一页日志的23号的监控日志留着啊 囧囧囧

囧囧，不用找我要Q要样本，本人不协助任何官人处理任何问题，纯粹吐槽也 囧囧囧囧囧

pal家族

监控漏毒是杀软的硬伤，还是联系下官方查找下问题吧！
毕竟，这么严重的问题，是影响到产品口碑的。。。。lz甚至会被认为是专门黑火绒。。国内区挺可怕的。
lz安好

√×√×√√×

pal家族 发表于 2016-1-25 22:00
监控漏毒是杀软的硬伤，还是联系下官方查找下问题吧！
毕竟，这么严重的问题，是影响到产品口碑的。。。。 ...

囧，以前或许还会兴致勃勃的去找官人，不解决不罢休纠缠到底的地步，现在没那个精力去协助了纯粹吐吐槽，囧囧，况且咱混国内区时间也很久了，各路各样十八般打滚的都见过，早已习惯不怕被黑 囧囧囧囧囧

vm001

接着楼主的帖子还有个更有趣的，往系统启动文件夹里写文件，火绒默认规则只拦截写入exe，然而如果写入lnk是不拦截的（指向exe），这样就可以过掉火绒的启动项防护，另外一个现象就是exe也可以过掉火绒，exe先注入explorer，然后由explorer来写入（要不停的重复动作）然后火绒会拦截，这样explorer就会被火绒高崩溃，重启explorer可以看到exe进去了，如果使用自定义规则防护启动文件夹现象同上.....

一起越过

√×√×√√× 发表于 2016-1-25 22:18
囧，以前或许还会兴致勃勃的去找官人，不解决不罢休纠缠到底的地步，现在没那个精力去协助了纯粹吐吐槽， ...

活久见~~~

发现问题吐个槽说一说就被认为是黑XX的人也真是醉了.

那还谁稀的用它.

谢新

囧，楼主这是不让程序员回家过年啊哈哈（开个玩笑）估计没有环境没样本很难重现定位吧，预言官方还会找你，助人为乐  逃）此帖看到少许老面孔（或许真的老了）囧囧囧

jone_jys

既然楼主测试了火绒，说明对火绒还是有感兴趣，既然有些许兴趣还是提供样本吧。。。