查看: 2344|回复: 8
收起左侧

[讨论] 对火绒新旧版本的几个看法和建议

[复制链接]
x-天秤座
发表于 2024-4-7 15:02:01 | 显示全部楼层 |阅读模式
本帖最后由 x-天秤座 于 2024-4-7 15:08 编辑

首先就是关于火绒日志的问题,新旧版本(4.0-6.0)都一样,日志记录不区分“允许”和“阻止”。问题是,我们只需要根据阻止的日志去排除,然后修改相应规则(特别是自定义),如果能双击该记录就能弹到具体的规则则最好。
但是据论坛一位大佬说他就日志问题给火绒建议了超过10年,但是火绒坚决不改,不知道是什么原因。那么请问火绒搞规则功能特别是自定义规则功能,但是又不给人以方便又是何解?
---参考一下冰盾的日志窗口及有的功能吧。

其次是规则窗口,对已有规则,必须右拉选择编辑才行,双击直接打开编辑窗口不好吗?鼠标移到规则上也没有提示。
再说添加规则的窗口,源应用程序那里一个规则只能一个(有些程序是不能靠通配符包含的),遇有规则多个源应用程序的得建多个规则,不麻烦吗?目标应用程序那里---文件、注册表、执行三个窗口,也只能一次添加一个然后确定、确定...,一次添加多个不好吗(直接在窗口里面复制粘贴进来)。
这里举个例子,例如我禁止regsvr32.exe、rundll32.exe、powershell.exe、mshta.exe、office程序等执行高危脚本的规则,冰盾可以一个规则搞定的(两次复制粘贴就行了),但是火绒却要好几个规则,而且每个规则确认每个程序添加后还一个确认、再一个确认...,累不累?
---同样请参考冰盾的规则编辑窗口。

目前查杀率不是很好,论坛里面的建议上云、加信誉系统(像360那种)目前不是很靠谱(资源方面)。
那么可不可以集成一个沙盒功能,可设置手动添加对一个或多个文件和文件夹强行入沙(以下是Sandboxie功能,集成了就不用另外装它)。
因为恶意软件要么从网上、要么从移动存储设备进来。从网上下来的首先基本上在temp和C:\users目录(特别是目前的远控等恶意软件就喜欢在这个目录释放文件和运行,参考论坛里面火绒工程师的几次分析文章),可以让用户把这些文件夹和移动盘符强行入沙,再加个文件和文件夹排除功能,例如排除鹅厂微信在users的四个执行文件。
文件夹入沙,对新加入所有执行程序都有效(360只能具体文件,不能文件夹入沙,残废),不同文件名的执行文件都跑不掉。
发现有问题,就直接倒沙,并删除该执行文件,从而达到防护效果。
对样本测试也方便,建一个*\test文件夹,然后将该文件夹强入沙,把样本都下载在里面运行,方便得不得了。
---冰盾也内置了一个沙盒规则在执行类似功能,当然还需要改进。

我并不是吹捧冰盾贬低火绒,只是他山之石可以攻玉,学习完全是可以的。毕竟国产安全软件那几个也不怎么样,火绒好好发展下去,打垮毒霸、江民和鹅厂指日可待,用户口碑变好后也有机会取代360,粗浅看法和建议,谢谢。

火绒工程师
发表于 2024-4-7 17:40:02 | 显示全部楼层
您好,关于您提的6.0的相关建议,我们本地确认下,非常感谢您的反馈。
x-天秤座
 楼主| 发表于 2024-4-7 19:44:40 | 显示全部楼层
火绒工程师 发表于 2024-4-7 17:40
您好,关于您提的6.0的相关建议,我们本地确认下,非常感谢您的反馈。

还有一个从4.0开始就不解的情况,很奇怪居然没人问过。就是火绒的联网控制和IP协议的优先等级和之间的逻辑联系好像有bug,按道理来说IP协议应该优先的,但实际不是。

举个现实的例子:svchost.exe联网有TCP和UDP,前者TCP常连接微软的服务器(我们通常要禁),后者UDP的协议连接,不能禁。
正常的情况:在联网控制那里禁止svchost.exe联网(TCP连网站),IP协议那里设置的UDP依然可以正常连接---simplewall防火墙就是这样。但是火绒在联网控制那里禁svchost联网后,IP协议那里的UDP连接也无效---6.0的最新15版本我试了,和4.0、5.0版本都是。必须取消联网控制那里的禁止,但是打开后它TCP和UDP都能连接,IP协议的存在就没有意义了。端口协议我没试过,不想装木马实验,就怕在联网那里允许木马联网,端口协议这里把端口禁止了照样无效。

意思就是,应该走正常逻辑:IP协议优先,它是协议(包括里面设置端口黑名单),不能受联网控制的影响(svchost.exe被禁止了,但是因为协议的存在照样能UDP连)。
DisaPDB
发表于 2024-4-7 19:47:30 | 显示全部楼层
x-天秤座 发表于 2024-4-7 19:44
还有一个从4.0开始就不解的情况,很奇怪居然没人问过。就是火绒的联网控制和IP协议的优先等级和之间的逻 ...

TCP那个用host屏蔽就可以了
x-天秤座
 楼主| 发表于 2024-4-7 21:05:17 | 显示全部楼层
DisaPDB 发表于 2024-4-7 19:47
TCP那个用host屏蔽就可以了

它要联好几个网站,而且是不定时呢,懒得去记网址,而且这个本就是火绒设计的不对,应该由它改正。
31339
头像被屏蔽
发表于 2024-4-8 09:52:44 | 显示全部楼层
5.0版本无法安装,需要打什么补丁,我的是精简版的系统,补丁工具下载后无法安装
火绒工程师
发表于 2024-4-8 10:24:08 | 显示全部楼层
31339 发表于 2024-4-8 09:52
5.0版本无法安装,需要打什么补丁,我的是精简版的系统,补丁工具下载后无法安装

您好,若您的操作系统为精简版的系统,安装sha2补丁可能会导致黑屏等无法正常使用的情况出现,还请谨慎操作。建议您安装原版操作系统后再安装火绒。
火绒工程师
发表于 2024-4-8 10:28:26 | 显示全部楼层
x-天秤座 发表于 2024-4-7 19:44
还有一个从4.0开始就不解的情况,很奇怪居然没人问过。就是火绒的联网控制和IP协议的优先等级和之间的逻 ...

您好,当前两个功能目前没有优先级区分,相关动作优先匹配上哪个策略就会生效哪一个,感谢您的反馈。
火绒工程师
发表于 2024-4-17 17:32:45 | 显示全部楼层
您好,关于您提供的建议给您答复:
已有收录的建议:点击编辑热区扩大问题:需求ID:5709
日志根据允许阻止区分(可做搜索区分):需求ID:4893
虚拟沙箱工具:需求ID:5409
自定义防护建议已收录:ID:5719

评分

参与人数 1人气 +1 收起 理由
x-天秤座 + 1 版区有你更精彩: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 10:46 , Processed in 0.132821 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表