对费尔真是失望透了

引领五基生活

http://bbs.kafan.cn/thread-2097652-1-1.html
这个帖子主楼的样本 双击拦截

恢复快照后  再把这个样本改名为360.exe
成功被过

hup

把动态防御调高应该可以拦截

难道这就是传说中的文件名防御？

引领五基生活

hup 发表于 2017-7-28 15:50
把动态防御调高应该可以拦截

还是不行

hup

引领四基生活 发表于 2017-7-28 16:58
还是不行

悲剧有点

蜀山小剑侠

你好，费尔的动态防御开高，去掉信任签名的✔，关掉云。
再点击20下都会成功拦截！

引领五基生活

蜀山小剑侠 发表于 2017-7-28 17:02
你好，费尔的动态防御开高，去掉信任签名的✔，关掉云。
再点击20下都会成功拦截！

你有认真看贴子吗

电脑发烧友

话说套用费尔的话应该好好了解一下了，我几乎不用却清楚地记着

14.费尔动态防御评分机制是什么？
答：针对卡饭动态防御测试结果的质疑可以放心，卡饭测试时的命名规则是不会触发动态防御的名称规则的，也就是说测试结果是没有问题的，用户可以自己下载并改名测试。具体原因是费尔动态防御的名称规则通常是在实际病毒测试过程中，病毒发作后实际生成的一些奇怪的、有规律性的、而且出现率比较高的文件名称，比如非常出名的 svch0st.exe，iexpl0re.exe，以及对个别病毒有针对性的文件名称，比如：k23449222.sys 就是一个病毒常常生成的文件，它有 k+8个数字的规律。这些规律都是根据实际的病毒总结出来的，而不是随意制定的，所以卡饭的文件名：081212-1-4.exe 这种格式并不会触发它的文件名规则。另外根据动态防御评分级别可以判断是否有文件名参与评分，动态防御显示的格式类似 47.13008900，可以从小数点后面倒数第三位的数字来判断，如果这个数是 1,3,5,7,9,b或d表示有名称参与评分，否则表示没有名称参与评分，这个例子倒数第三位是9，所以有名子参与评分。名称参与评分也是一个复杂的过程，比如像 svch0st.exe，iexpl0re.exe这种很明显的伪装就会被加上很高的分数，而对于 k23449222.sys 就往往还需要配合其他条件，比如它运行在 C:\Windows\System32 目录下就会加上很高的分数，而运行在非系统目录就会加上较低的分数。根据我们实际测试结果，病毒往往随机生成一些无规律纯数字文件名或16进制数字文件名，所以对于数字文件名往往会被增加一些分数，当然这存在一定的误报风险，所以都会辅助其它条件加减分后综合判断。总之，这些规则都是根据实际测试病毒时总结出来的。经我们实际测试，此方法确实是行之有效的，可以及时发现并阻止特定种类病毒衍生出来的新的变种，当然这个技术只是用来针对某些特定种类的病毒，对于没有这些规律的病毒还需要依靠动态防御的其它技术来判定。其它技术主要还包括线程插入，DLL注入，自我隐藏进程，自我隐藏目录，加壳等几十种判定技术，牵扯到技术机密就不一一列举。

根据图中的报毒分数，是带有文件名加分的。

蜀山小剑侠

费尔是国内做的最好的！

Dust-;羅錠

有点搞笑...前面回答的都是什么鬼...