对火绒新旧版本的几个看法和建议

显示全部楼层 · 发表于 2024-4-7 15:02:01

本帖最后由 x-天秤座于 2024-4-7 15:08 编辑

首先就是关于火绒日志的问题，新旧版本（4.0-6.0）都一样，日志记录不区分“允许”和“阻止”。问题是，我们只需要根据阻止的日志去排除，然后修改相应规则（特别是自定义），如果能双击该记录就能弹到具体的规则则最好。
但是据论坛一位大佬说他就日志问题给火绒建议了超过10年，但是火绒坚决不改，不知道是什么原因。那么请问火绒搞规则功能特别是自定义规则功能，但是又不给人以方便又是何解？
---参考一下冰盾的日志窗口及有的功能吧。

其次是规则窗口，对已有规则，必须右拉选择编辑才行，双击直接打开编辑窗口不好吗？鼠标移到规则上也没有提示。
再说添加规则的窗口，源应用程序那里一个规则只能一个（有些程序是不能靠通配符包含的），遇有规则多个源应用程序的得建多个规则，不麻烦吗？目标应用程序那里---文件、注册表、执行三个窗口，也只能一次添加一个然后确定、确定...，一次添加多个不好吗（直接在窗口里面复制粘贴进来）。
这里举个例子，例如我禁止regsvr32.exe、rundll32.exe、powershell.exe、mshta.exe、office程序等执行高危脚本的规则，冰盾可以一个规则搞定的（两次复制粘贴就行了），但是火绒却要好几个规则，而且每个规则确认每个程序添加后还一个确认、再一个确认...，累不累？
---同样请参考冰盾的规则编辑窗口。

目前查杀率不是很好，论坛里面的建议上云、加信誉系统（像360那种）目前不是很靠谱（资源方面）。
那么可不可以集成一个沙盒功能，可设置手动添加对一个或多个文件和文件夹强行入沙（以下是Sandboxie功能，集成了就不用另外装它）。
因为恶意软件要么从网上、要么从移动存储设备进来。从网上下来的首先基本上在temp和C:\users目录（特别是目前的远控等恶意软件就喜欢在这个目录释放文件和运行，参考论坛里面火绒工程师的几次分析文章），可以让用户把这些文件夹和移动盘符强行入沙，再加个文件和文件夹排除功能，例如排除鹅厂微信在users的四个执行文件。
文件夹入沙，对新加入所有执行程序都有效（360只能具体文件，不能文件夹入沙，残废），不同文件名的执行文件都跑不掉。
发现有问题，就直接倒沙，并删除该执行文件，从而达到防护效果。
对样本测试也方便，建一个*\test文件夹，然后将该文件夹强入沙，把样本都下载在里面运行，方便得不得了。
---冰盾也内置了一个沙盒规则在执行类似功能，当然还需要改进。

我并不是吹捧冰盾贬低火绒，只是他山之石可以攻玉，学习完全是可以的。毕竟国产安全软件那几个也不怎么样，火绒好好发展下去，打垮毒霸、江民和鹅厂指日可待，用户口碑变好后也有机会取代360，粗浅看法和建议，谢谢。

显示全部楼层 · 发表于 2024-4-7 17:40:02

您好，关于您提的6.0的相关建议，我们本地确认下，非常感谢您的反馈。

显示全部楼层 · 发表于 2024-4-7 19:44:40

火绒工程师发表于 2024-4-7 17:40
您好，关于您提的6.0的相关建议，我们本地确认下，非常感谢您的反馈。

还有一个从4.0开始就不解的情况，很奇怪居然没人问过。就是火绒的联网控制和IP协议的优先等级和之间的逻辑联系好像有bug，按道理来说IP协议应该优先的，但实际不是。

举个现实的例子：svchost.exe联网有TCP和UDP，前者TCP常连接微软的服务器（我们通常要禁），后者UDP的协议连接，不能禁。
正常的情况：在联网控制那里禁止svchost.exe联网（TCP连网站），IP协议那里设置的UDP依然可以正常连接---simplewall防火墙就是这样。但是火绒在联网控制那里禁svchost联网后，IP协议那里的UDP连接也无效---6.0的最新15版本我试了，和4.0、5.0版本都是。必须取消联网控制那里的禁止，但是打开后它TCP和UDP都能连接，IP协议的存在就没有意义了。端口协议我没试过，不想装木马实验，就怕在联网那里允许木马联网，端口协议这里把端口禁止了照样无效。

意思就是，应该走正常逻辑：IP协议优先，它是协议（包括里面设置端口黑名单），不能受联网控制的影响（svchost.exe被禁止了，但是因为协议的存在照样能UDP连）。

显示全部楼层 · 发表于 2024-4-7 19:47:30

x-天秤座发表于 2024-4-7 19:44
还有一个从4.0开始就不解的情况，很奇怪居然没人问过。就是火绒的联网控制和IP协议的优先等级和之间的逻 ...

TCP那个用host屏蔽就可以了

显示全部楼层 · 发表于 2024-4-7 21:05:17

DisaPDB 发表于 2024-4-7 19:47
TCP那个用host屏蔽就可以了

它要联好几个网站，而且是不定时呢，懒得去记网址，而且这个本就是火绒设计的不对，应该由它改正。

显示全部楼层 · 发表于 2024-4-8 09:52:44

5.0版本无法安装，需要打什么补丁，我的是精简版的系统，补丁工具下载后无法安装

显示全部楼层 · 发表于 2024-4-8 10:24:08

31339 发表于 2024-4-8 09:52
5.0版本无法安装，需要打什么补丁，我的是精简版的系统，补丁工具下载后无法安装

您好，若您的操作系统为精简版的系统，安装sha2补丁可能会导致黑屏等无法正常使用的情况出现，还请谨慎操作。建议您安装原版操作系统后再安装火绒。

显示全部楼层 · 发表于 2024-4-8 10:28:26

x-天秤座发表于 2024-4-7 19:44
还有一个从4.0开始就不解的情况，很奇怪居然没人问过。就是火绒的联网控制和IP协议的优先等级和之间的逻 ...

您好，当前两个功能目前没有优先级区分，相关动作优先匹配上哪个策略就会生效哪一个，感谢您的反馈。

显示全部楼层 · 发表于 2024-4-17 17:32:45

您好，关于您提供的建议给您答复：
已有收录的建议：点击编辑热区扩大问题：需求ID:5709
日志根据允许阻止区分（可做搜索区分）：需求ID:4893
虚拟沙箱工具：需求ID:5409
自定义防护建议已收录：ID:5719

[讨论] 对火绒新旧版本的几个看法和建议

评分