内置动态防御白名单有选择添加？

wingbbq

有一个绿色小程序叫TLPDB，费尔动态防御默认设置也会拦截，点拦截提示界面中的“举报”，本月10日上传了，至今没加入病毒库（说明非恶意程序），也没加入动态防御白名单。

不知道费尔动态防御白名单是不是有选择添加，就是一些非热门程序，即使被默认设置的动态防御错误拦截，也不会加到内置白名单里的？

=====

刚才删除手动添加的白名单，费尔动态防御已经不报tlpdb了，已经修正。
这程序现在应该用得不多了，费尔也会加入白名单，估计是每个误判程序都会添加到内置白名单，但是可能动态防御修正不如病毒库迅速。

=====

费尔回信

你好：
动态防御目前只是以路径为标准。

谢谢，

Christine Liang
费尔安全实验室 〉技术支持组(实习)

=====

动态防御还拦截tlpdb，原来可能忘记点确定，其实没删除掉自定义白名单……
这样的话，猜测费尔可能 不会添加所有主动防御误判的程序到白名单……

PS：上报了三个个病毒库误报文件，几天才修正误报……

[ 本帖最后由 wingbbq 于 2009-2-25 01:26 编辑 ]

中国崛起

首先，推荐使用默认设置，不仅安全性足够，而且可以极大地减少误报；
其次，费尔可以排除监控文件，即当费尔动态防御报警时选择信任即可，但是一定要确定该文件确实无毒，推荐判断方法：
多引擎在线扫描：
http://www.virustotal.com/zh-cn/
http://www.virscan.org/
最后，上报的文件存在误判的可能性，所以在没有修正之前，建议使用排除方法。
谢谢

wingbbq

首先，我已经说明是“使用默认设置”。

其次，该文件已经判断过，加入了动态防御白名单。

最后，版主意思是，只要动态防御默认设置也误判的程序，不论接到几个反馈，都会加入动态防御内置白名单？

中国崛起

只要动态防御默认设置也误判的程序，不论接到几个反馈，都会加入动态防御内置白名单？

对，误判是有的，特别是调到高等级后更严重；
后面一句没大理解，反正动态防御报警，你觉得没问题就信任，然后上报，等待以后升级排除。谢谢。

snoopy2004

动态防御是根据该软件的内置动作来判断是否存在威胁
因此您的软件的动作可能与费尔动态防御默认的某些危险动作相一致，因此会报警

如果通过在线举报软件误报的效果不是很好，请将该软件发送至邮箱
falsealarm@filseclab.com

不过费尔不是有特定的自身白名单功能吗？您也可以自己添加近本机费尔的白名单中，这样再次使用就不会再报警了吧

[ 本帖最后由 snoopy2004 于 2009-2-18 15:19 编辑 ]

wingbbq

TLPDB.exe           862.84/862.84KB     100.00%    在线扫描      没有发现病毒，但这并不能说明此文件百分之百可信。2009/2/10 14:24:42   2009/2/10 14:25:00   
万一再遇到，到时试试直接发邮箱会不会快点。

确定是默认防御等级时也误报的，每个都会排除，现在就没问题了。

=====

首次报告时就添加到用户自定义白名单了，好像过了一周手动删除该项目，费尔还是报，所以才发帖上来确定一下是不是“每个”都会添加到内置白名单。


对了，自定义白名单管理是不是可以完善一下，原来用户手动添加的白名单程序，一旦费尔确认安全，加入内置白名单时，可以自动清除对应手动添加项目。

[ 本帖最后由 wingbbq 于 2009-2-18 15:28 编辑 ]

snoopy2004

原帖由 wingbbq 于 2009-2-18 15:23 发表
TLPDB.exe           862.84/862.84KB     100.00%    在线扫描      没有发现病毒，但这并不能说明此文件百分之百可信。2009/2/10 14:24:42   2009/2/10 14:25:00   
万一再遇到，到时试试直接发邮箱会不会快点。
...

我感觉发邮件确实会更快一些
那应该是误报，你添加到自己的白名单啊

wingbbq

首次报告时就添加到用户自定义白名单了，好像过了一周手动删除该项目，费尔还是报，所以才发帖上来确定一下是不是“每个”都会添加到内置白名单。


对了，自定义白名单管理是不是可以完善一下，原来用户手动添加的白名单程序，一旦费尔确认安全，加入内置白名单时，可以自动清除对应手动添加项目。

snoopy2004

原帖由 wingbbq 于 2009-2-18 15:28 发表
首次报告时就添加到用户自定义白名单了，好像过了一周手动删除该项目，费尔还是报，所以才发帖上来确定一下是不是“每个”都会添加到内置白名单。


对了，自定义白名单管理是不是可以完善一下，原来用户手动添加 ...

哈，但是您加入自己的白名单以后，还怎么知道费尔将来什么时间加入呢？反正都不报
所以如果确实是误报就自己排除吧，添加在里边也不费事，不占空间资源什么的，自己省事嘛

wingbbq

其实是想看看费尔处理快不快。

还问个事，不知道白名单是单单按路径排除，还是路径+文件校验？
就是说，白名单中的文件被替换了，费尔会不会报告？