几点建议

杀软病综合医院

火绒工程师 发表于 2019-5-6 13:54
您好，病毒如果已经文件监控识别出来了，就会被拦截，不会执行。防止被病毒针对是安全软件的自我保护问题， ...

问题在于行为鉴别总有漏洞和快慢，最近样本区测试表现结果就是虽然拦截了但部分文件被加密

杀软病综合医院

火绒工程师 发表于 2019-5-6 13:54
您好，病毒如果已经文件监控识别出来了，就会被拦截，不会执行。防止被病毒针对是安全软件的自我保护问题， ...

1名称随机只能防以名字判断的病毒，可以做思路扩展，就是模仿病毒变种一样，A电脑和B电脑安装的火绒并不一样，这样病毒无法针对了。比如前几天样本区针对火绒的卸载程序，主要针对路径c,d盘默认路径下的火绒自己的卸载程序，如果路径一样，名字名不一样，那病毒怎么指定文件呢呢？现在自保不是那么的重要，重点还是精准识别，快速反应
2虚拟沙箱有个问题就是不能真实的模拟环境，有些病毒需要寄生程序才发作。模拟更加真实的环境沙箱需要增加大量文件，不如对沙箱功能单独安装到其他盘，空间大了随便折腾，甚至类似虚拟机也无不可。
3创建大量文件主要是针对陌生程序，陌生程序不是天天装，费点事但胜在安全。可以设置为可选项，由用户自行选择，实际这是对反应速度的短板的预防措施，用文件数量给自己的程序争取时间，技术方面也不难实现，现在主要看顶不顶用，不顶用就没必要加。

火绒工程师

杀软病综合医院 发表于 2019-5-6 14:51
问题在于行为鉴别总有漏洞和快慢，最近样本区测试表现结果就是虽然拦截了但部分文件被加密

您好，麻烦您上传一下无法处理的样本，我们本地看一下，感谢您的反馈。

杀软病综合医院

火绒工程师 发表于 2019-5-6 15:28
您好，麻烦您上传一下无法处理的样本，我们本地看一下，感谢您的反馈。

https://bbs.kafan.cn/thread-2148788-1-1.html

扫描能识别的情况都好说，但以后肯定会有更隐蔽的病毒出现，杀毒软件跑在前面就不怕了

安全守护者

杀软病综合医院 发表于 2019-5-6 15:28
1名称随机只能防以名字判断的病毒，可以做思路扩展，就是模仿病毒变种一样，A电脑和B电脑安装的火绒并不 ...

其实，虚拟沙箱可以像360那样。。。