费尔改进意见

我心约定

朱老师：
     您好！
     关于病毒误报问题我今天在再说几点改进意见
     一.首先可以说费尔在执行电脑扫描的时候有一部分病毒误报。而扫描电脑时软件对照的病毒样本是病毒库里储存的已知的病毒样本。在这样的情况下还出现误报。那是不是就说明在病毒库里有的病毒样本是不准的。或者说在入库之前没有经过严格的病毒检验。从而造成了在执行电脑扫描的时候出现误报？
    我建议：
我们应该从现在开始对病毒库里的病毒样本逐一的进行严格的病毒测试。经过测试后的病毒样本方可入库。确保在依照病毒库扫描病毒的情况下出现误报（不包括启发式扫描）从而减少误报！
    二.动态防御引擎
    建议
1.灵活  智能  准确  严谨
    动态防御应该建立起一个白名单。对于一些常用的软件就不要在报警 如 QQ 迅雷 千千静听  等.不报警并不等于不监视
2.病毒进程特征库
   我以前提过这个理念我们确实也用了。但是我总觉得用的不全面
我们现在的动态防御警报只显示给用户的是有没有产品名称和数字签名。我们是不是应该让动态防御的警报给用户提供更多的程序行为资料？我举一个例子
       动态防御威胁警报
    1.危险进程*****   
2.此进程相似于*****的病毒进程
3.  ***程序试图运行/自动运行
4.程序位置*****  一般情况下此位置不应该有该文件
5.此程序作用文件*****
6.产品名称   没有发现
7.数字签名   没有发现
8.修改注册表    发现  
9.修改位置      HKEY-****-****
10.修改键值          ****
11.此程序使用/运行历史   没有历史
12.是否有自动运行历史      有
13.综合评定危险等级 *级
14.危险分值****
有10项符合再报警
最后用用户决定

   注册表监控
     
    不仅监视关键地方的修改  还要增加多方面的监视  比如 IE首页
  要先拦截又提示

    望认真考虑
谢谢！
        大家觉得怎么样啊？

cbz107

动态防御有信任列表，不过监视但不报警这个……

chow2006

判断是不是病毒不是依据已知的病毒样本,而是病毒特征码.而所以误报,是因为文件具有某些符合病毒特征码的地方.

bluenice

而且费尔的动态防御要是能把可以文件生成的文件一并删除就好了。

不然每次还要手动去删除那些可以文件产生的文件。

本人不喜欢病毒产生的垃圾文件。