恶意木马1X

00006666

隔山打空气 发表于 2025-6-4 21:47
云白名单也不好说，因为不少用户喜欢用奇奇怪怪的程序，他们也看重火绒低误报低打扰的特性，这种情况下云 ...

所以说，火绒的这个误报-用户体验的矛盾如果解决不了，火绒就算用上了最先进的技术也解决不了根本问题，只能陷入技术堆的越来越多，但是默认都不开启的死循环。

隔山打空气

00006666 发表于 2025-6-4 21:50
所以说，火绒的这个误报-用户体验的矛盾如果解决不了，火绒就算用上了最先进的技术也解决不了根本问题， ...

这个360也没完全解决（

一问基本都说乱弹窗的 误报高的 QVM202误报居高不下那云HIPS都显得无所谓了

00006666

隔山打空气 发表于 2025-6-4 21:58
这个360也没完全解决（

一问基本都说乱弹窗的 误报高的 QVM202误报居高不下那云HIPS都显得无所谓了

360那是跟火绒完全相反，360根本不在乎用户体验，反正广告这么多也没有用户体验一说了，然后他们选择选择加防护，只要能拦截的都会打开，根本不管误报多不多了，宁肯错杀三千也不放过一个，甚至越是特殊时期，就越多荒唐的拦截项目出现，之前在hw期间甚至有往桌面复制任何非白exe文件都能弹框拦截这种荒唐的事情。现在银狐爆发时期，又开始恢复文件名查杀大法了，只要文件名跟银狐差不多，又不在白名单，直接给你拦截掉。

00006666

隔山打空气 发表于 2025-6-4 21:47
云白名单也不好说，因为不少用户喜欢用奇奇怪怪的程序，他们也看重火绒低误报低打扰的特性，这种情况下云 ...

所以要我说，这两个厂商要是能综合一下，不要太看重用户体验，也不要过于追求全面拦截，说不定就能整出一个比较完美并且大家又喜欢的杀软了。

比如火绒要是能争取上一个云信誉库，能解决不少问题。

隔山打空气

00006666 发表于 2025-6-4 22:12
所以要我说，这两个厂商要是能综合一下，不要太看重用户体验，也不要过于追求全面拦截，说不定就能整出一 ...

我还是建议遥测+延迟下放 这样也能解决不少问题 不过代价就是紧急情况处理不了 先扔几个拉黑顶一顶前线吧

00006666

隔山打空气 发表于 2025-6-4 22:16
我还是建议遥测+延迟下放 这样也能解决不少问题 不过代价就是紧急情况处理不了 先扔几个拉黑顶一顶前线吧

无论如何，火绒现在这种，防护有一大堆默认不打开，那肯定是不行，火绒防护差就是这样来的，本来说不定能拦截，可能内存扫描能检测，结果他出于用户体验考虑直接不开这个功能了，那结果可想而知。

Fadouse

双击 S1 Kill

00006666

隔山打空气 发表于 2025-6-4 22:16
我还是建议遥测+延迟下放 这样也能解决不少问题 不过代价就是紧急情况处理不了 先扔几个拉黑顶一顶前线吧

其实这个白名单问题，我觉得可能肉鸡哥是很明白这个意义的，比如急救箱能用白名单匹配过滤一些关键硬件/软件驱动/白名单软件启动项后，对于非白名单的自启驱动/EXE自启项/可疑非白名单的启动项/任务计划等就能直接清除了，比如经常能看到急救箱扫描显示清除不需要的自启动项目等等，能在避免严重误报导致系统崩溃的情况下实现有效的查杀，但是在火绒，没有白名单，你只能在用一些别的规则来识别了，难度就大了很多。

所以我觉得以后火绒应该首先会去解决白名单问题，没有白名单很难实现可靠防护，以及本来能做到的事情但受限于没有白名单而被迫放弃。

包括像现在360，为什么断网防护差，因为他断网没有白名单了，要不要拦截就成了一个问题了，没法判断程序的安全性了，所以他们选择不拦截部分行为，那好了，木马作者断网直接加载驱动干360了，一直也在跟360反馈这个问题，不知道什么时候能改，至于反馈的结果，就是他们现在增加不少规则开始能拦截非白程序本身发起的断网行为了，误报肯定也是有，你一个正常的程序由于没加白，也有可能在操作网络的时候被弹框拦截，而且还是有不少拦不住的，能断网的项目太多了。

inhh1

00006666 发表于 2025-6-4 22:47
其实这个白名单问题，我觉得可能肉鸡哥是很明白这个意义的，比如急救箱能用白名单匹配过滤一些关键硬件/ ...

360断网放白力度太大了，BEST我测下来被银狐断网也不少，EDR遥测是废了，但是主防还是可以正常击杀（虽然断网状态没被复原就是了）

00006666

inhh1 发表于 2025-6-4 23:11
360断网放白力度太大了，BEST我测下来被银狐断网也不少，EDR遥测是废了，但是主防还是可以正常击杀（虽然 ...

所以要我说，360的问题也是很严重的，不知道什么时候能改。