老猪（费费）的两封回信

aoyang

以前没有留意，今天留意了下，还真把我给吓住了！
运行一个样本后，费尔的监控提示产生了2个生成物。我就点击“清除”按钮，随后那个生成物的制作者马上被删
除了。后来我在dos下，用dir命令查看，发现文件还存在！ 我明明是点击“清除”了啊，怎么还是有？
后来怀疑是自己搞错了，又运行了那个样本，但是几次的结果都一样。真不明白为什么费尔不能清除？？
这个属于“子母型”病毒，母的清除掉了，难道子的就不能清除掉？希望费尔能改正这个问题。
注：以上操作是关掉了费尔的“阻止对可执行文件的写操作”功能。




下面是官方的老猪回信：
您好：
感谢你的反馈。是这样的，其实这个感染预警当初设计的目的只是为了防止病毒感染正常文件的，所以它预先假定了进程文件有问题，但它将要改写的目的文件却是正常的，举例来说假如一个病毒去感染一个正常文件A，那么清除时将不能清除A，因为A应该是正常的。所以目前的感染预警功能在显示作用文件时只是为了提示用户，并没有把它也列为危险对象，也不对它进行清除。
对于新生成的病毒文件，将会由动态防御模块来负责拦截和清除，所以生成物system.exe如果执行将会被动态防御拦截。如果你对感染预警功能比较熟悉和了解，也可以同时打开“阻止对可执行程序的写操作”一项，将可以从根本上阻这些东西的生成，达到更好的防御效果。
但你带来的信息也同时给了我们一些启示，将会考虑在以后版本中进一步拓展这方面的功能。
谢谢，祝好！
朱雁冰
---------------------------------
费尔安全实验室
网站： http://www.filseclab.com
邮箱： filsoft@filseclab.com

前段时间，我在中天看见某高人说费尔的动态防御的启发最近表现不错。。。。。但是最终和微点的主动防御还是有差距，我当时就反驳了他，费尔的动态不是属于启发式是属于行为判断。第二天我就给老猪发了邮件去资源。以下是老猪的回信：

您好：
感谢你的来信。费尔的动态防御部分是属于行为性的判断，与传统的启发式扫描不同，一般传统的启发式是基于对文件数据进行静态二进制代码分析的，以评估文件是否具有风险性。但动态防御是基于行为性的，也就是它只在被检测对象真正执行起来时才会获得它的行为特征，从而根据这些行为来判断它是不是具有风险。当然，费尔也有自己的启发式扫描引擎，但它不属于动态防御部分。
微点的主动防御也是使用行为性特征来动态判断活动程序是否具有风险，这一点它们之间的设计理念和工作原理是很相似的。性能都很优秀，不过由于这种技术也有着自己的一些缺点就是可能出现误判，所以费尔的动态防御中特别加入许多防误判机制进行控制，还加入了“在线扫描”功能来帮助用户进一步确定被报警文件的安全性，以缓解这方面的茅盾。
费尔托斯特安全是以静态病毒特征库为主、主动防御为辅的，凭借着它比较庞大的病毒库，再加上它灵敏先进的主动防御技术，我们相信在将来它应该会表现的更出色。
感谢你的祝福和关注，我们会继续努力的。
谢谢，祝好！
朱雁冰
---------------------------------
费尔安全实验室
网站： http://www.filseclab.com
邮箱： filsoft@filseclab.com

我个人看到上面两封回信感觉。。。总之就是心里很爽(@_#)  我对老猪对费费充满了信心

zzh161

沙发~~~~~~顶下，老朱的回信解释的还算比较清楚啊，不过我觉得费尔的误报还是太多，经常装软件要先关掉费尔

cbz107

嘿嘿！考虑在下一个版本……

chow2006

满有耐心和诚意的。

zzh161

升值的机会很大啊，大家快出手买啊

bluenice

楼主动作蛮快啊，费尔还是需要进一步改进，总的来说不错

jnsszxg

老猪如果再这样继续努力下去，相信费尔会是一个不错的选择，我也发过邮件，也回了我，感觉服务不错

4269811

反正都是终身的用户~~~就一直用到V8 V9 V10。。。。。嘿嘿~~~

hsjj2005

选择费尔正确，呵呵，有希望！当然微点也很不错。

wmh2008

希望费尔永远坚持这种态度