关于F-Secure流量扫描的问题

hansyu

之前装过FSCS15.3和FSS，这个流量扫描怎样才能触发？
通常访问AMTSO的测试连接，其他带流量扫描的都能在edge下载到本地前阻止，日志显示也是阻止的网址。
FSCS和FSS都是杀的本地临时文件，而不是阻止流量。
另外浏览器防护不装插件是不能起作用的吗？在设置中没有注明一定要装插件，但是不装插件访问恶意网址并不会阻止。

多变的风向

他几乎没有流量扫描 都是查杀本地文件 那个浏览器插件好像是检查网址信誉的 其实作用不大 FS的网页防护很鸡肋

hansyu

多变的风向 发表于 2023-3-28 00:27
他几乎没有流量扫描 都是查杀本地文件 那个浏览器插件好像是检查网址信誉的 其实作用不大 FS的网页防护很鸡 ...

但是设置里有流量扫描这个选项，我没见起过作用。
浏览器防护设置里有阻止危险和钓鱼页面的选项，不装插件这个选项似乎不起作用。
我想知道是不是一定要装插件这个选项才有用。

a8855942

要防护全面点免费就蜘蛛测试版。

GreatMOLA

是的，我刚刚也测试了这个功能。
只要关掉那个浏览器插件，就无法拦截测试文件 hxxps://www.eicar.org/download/eicar.com.txt 在浏览器中的直接加载。
但是如果是下载的话，就可以发现下载行为，是通过Temp文件的特征来发现的。
为什么FS没有直接进行流量扫描呢，我认为应该是网站使用了Https的原因。
在Https的协议加持下，如果不是从接管系统的数字证书加载，将证书替换的前提（例如ESET、Bitdefender、卡巴斯基等等）出发，直接的流量扫描对Https都是没有效果的。
对此你可以测试一下，流量扫描在Http协议的情况下应该是有效果的。但是现在大多数网站都是Https了，不替换掉SSL证书的话的话进行流量扫描效果不是特别明显。

hansyu

GreatMOLA 发表于 2023-4-28 23:52
是的，我刚刚也测试了这个功能。
只要关掉那个浏览器插件，就无法拦截测试文件 hxxps://www.eicar.org/dow ...

确实没有注意到可能是https的问题，但是找不到能测试的http链接……
话说不替换证书是因为隐私问题吗？好像美系的都没有流量扫描，带流量扫描的都是欧洲企业，但欧洲隐私保护法律比美国严格吧？

GreatMOLA

hansyu 发表于 2023-4-29 11:09
确实没有注意到可能是https的问题，但是找不到能测试的http链接……
话说不替换证书是因为隐私问题吗？ ...

美系也有类似功能，但是工作原理貌似不太一样。个人认为流量扫描有两种不同的技术路线。一种是前面提到的那三家，替换SSL证书，用完整病毒库来过滤浏览器的所有http流量。或是像FS这样单纯扫描http流量；还有一种就是像Norton这样的IPS，在网络层以攻击特征来过滤流量，这种过滤方式不依赖大量的病毒特征，而是仅仅通过攻击特征来判断。
所以虽然两种都是流量扫描，但是实现方式不一样。
https://bbs.kafan.cn/thread-1281915-1-1.html

hansyu

GreatMOLA 发表于 2023-4-29 11:28
美系也有类似功能，但是工作原理貌似不太一样。个人认为流量扫描有两种不同的技术路线。一种是前面提到的 ...

然而诺顿IPS这种方式不能阻挡钓鱼类页面，帮助里也写着URL过滤不支持浏览器，浏览器必须安装插件才能发挥作用。卡巴、ESET、BD、小a这种全局流量扫描不需要安装浏览器插件。

GreatMOLA

hansyu 发表于 2023-4-29 11:35
然而诺顿IPS这种方式不能阻挡钓鱼类页面，帮助里也写着URL过滤不支持浏览器，浏览器必须安装插件才能发挥 ...

其实是可以的，只是铁壳开始用扩展之后直接开始摆烂而已。
IPS定义里的 Malicious Domain 就是你说的那种。

hansyu

GreatMOLA 发表于 2023-4-29 11:39
其实是可以的，只是铁壳开始用扩展之后直接开始摆烂而已。
IPS定义里的 Malicious Domain 就是你说的那 ...

反正我是没明白为什么要单独把浏览器分出来，难道是要逼用户装插件？