FS监控排除的问题

Vanny

最近试用FS，用的是FSCS 7.12的，总的来说很好，可是刚刚遇到一个小问题
我一直在用的一个虚拟光驱——VDM，被FS拦截了，说是有毒，可是我提交到VirSCAN.org,结果如下

a-squared	3.5.0.22	2008.07.22	2008-07-22	-	2.611
AntiVir	7.8.1.11	7.0.5.157	2008-07-23	-	2.241
Arcavir	1.0.5	200807221650	2008-07-22	-	1.259
AVAST!	3.0.1	080723-0	2008-07-23	-	0.090
AVG	7.5.51.442	270.5.5/1568	2008-07-23	-	2.129
BitDefender	7.60825.1383111	7.20160	2008-07-23	-	2.736
CA (VET)	9.0.0.143	31.6.5976	2008-07-23	-	0.739
ClamAV	0.93.3	7796	2008-07-23	PUA.Packed.NPack-3	0.070
Comodo	2.11	2.0.0.594	2008-07-23	-	0.428
CP Secure	1.1.0.715	2008.07.23	2008-07-23	-	6.097
Dr.Web	4.44.0.9170	2008.07.23	2008-07-23	-	3.321
ewido	4.0.0.2	2008.07.23	2008-07-23	-	2.768
F-Prot	4.4.4.56	20080722	2008-07-22	Possible W32/Heuristic-210!Eldorado (not disinfectable)	6.652
F-Secure	5.51.6100	2008.07.22.11	2008-07-22	-	2.892
Ikarus	T3.1.01.34	2008.07.23.71143	2008-07-23	Packed.Win32.Klone.af	3.270
Microsoft	1.3704	2008.07.23	2008-07-23	-	4.642
mks_vir	2.01	2008.07.22	2008-07-22	-	2.711
Norman	5.93.01	5.93.00	2008-07-22	-	4.588
nProtect	2008-07-23.01	1697661	2008-07-23	-	3.437
Quick Heal	9.50	2008.07.22	2008-07-22	-	1.620
Sophos	2.75.4	4.31	2008-07-23	Mal/Packer	2.116
Sunbelt	3.1.1536.1	2156	2008-07-18	-	0.413
The Hacker	6.2.96	v00387	2008-07-22	-	0.392
VBA32	3.12.8.1	20080722.1403	2008-07-22	-	2.657
ViRobot	20080723	2008.07.23	2008-07-23	-	0.486
VirusBuster	4.5.11.10	10.82.19/596243	2008-07-22	-	1.496
卡巴斯基	5.5.10	2008.07.23	2008-07-23	-	0.170
安博士V3	2008.07.23.00	2008.07.23	2008-07-23	-	0.866
江民杀毒	11.0.706	2008.07.23	2008-07-23	-	1.373
熊猫卫士	9.05.01	2008.07.22	2008-07-22	-	2.104
瑞星	20.0	20.54.22.00	2008-07-23	-	1.920
赛门铁克	1.3.0.24	20080722.003	2008-07-22	-	0.143
趋势科技	8.700-1004	5.425.00	2008-07-22	-	0.065
迈克菲	5.2.00	5344	2008-07-22	-	4.180
金山毒霸	2008.1.14.15	2008.7.23.17	2008-07-23	-	0.717
飞塔	2.81-3.11	0.0	2008-07-23	-	0.139

很奇怪，FS扫描不报，后来看了这个帖子知道原因了
http://www.kpfans.com/bbs/viewthread.php?tid=159542

帖子里，V大，你说：
扫描不报而监控报的问题

一般来说，FS手工扫描用的引擎是 Libra 、AVP、Orion 、Draco （扫描 Rootkit 和全盘扫描还用到 Blacklight 引擎），而监控除了以上引擎外，还加上 Gemini 、 Pegasus 做为第二道防线。

通常FS扫描不报而监控报的“病毒”，大都是 Pegasus 监控引擎所使用的 Norman 毒库报的。


“排除”设置的问题

在FS 实时监控的 “Antivirus ”（防病毒）页面设置的排除，只包括了 Libra 、AVP、Orion 等引擎，对于 Pegasus 引擎是不起作用的。

如果想让 Pegasus 不报警，暂时在 “System Control”（系统控制）里把“Enable System Control ”（启用系统控制）的勾去掉就可以了。


想问Ｖ大，我找了很久，Enable System Control 还是找不到，郁闷了

wonne153

“Pegasus 监控引擎所使用的 Norman 毒库报的”错
因为Pegasus 监控不止使用norman的库，而norman的作用也不只是提供扫描的作用，norman的作用在于配合系统控制在程序启动运行的过程中监控是否有恶意行为或是否符合定义特征，
监控中出现阻止程序运行，只要允许就可以了
因为FS的系统控制是匹配多个引擎工作的，第一步骤是检查是否又恶意行为，就算发现也不会直接删除，只是阻止+提示，第二步是匹配特征验证这步和norman的关系就比较大了，这一步派别危险级别，第三步则是匹配多个引擎检查是否是病毒特征
就好比Dr.web的升级功能在运行时会被询问是否允许，点击允许并记住规则，可运行完后却被FS阻止，这点就完全说明FS的系统控制是多级匹配+多次轮询匹配

Vanny

呃~~~看来我要去换一个虚拟光驱了

vsirius

Enable System Control 设置如图：

fancies

VDM有的版本确实FS会报的，记得有个LIPEICONG的大大做的的通用PE里面集成的VDM就会被FS报，后来在网上找了MSCD龙帝国专用单文件版就没有问题了，传给你吧~

不是病毒，是被沙盘拦下来的，也就是系统控制
你只需要排除一下就好了，建议你下载v大的8.4版本，这个版本改进了设置，要方便些

Vanny

原帖由 vsirius 于 2008-7-24 08:30 发表
Enable System Control 设置如图：

谢谢V大，知道了。

另外，谢谢5楼的兄弟

论坛上明明有免费的嘛

harrytien

同楼上，学习了[:27:]