发现红伞和费儿走的一条路

aoyang

其实费尔也不是太差，别老说和某某不是一个档次之类的话，我怀疑些人根本没用过，更谈不上了解，就算曾经使用过，你也不一定了解这款软件的功能和设置，他的潜力还是比较大的。当然是你要是能正确使用和设置，基本上想中毒是比较难的。
http://bbs.pcvista.cn/read.php?tid=9088  我不是发广告帖，不需要注册也可以浏览，这是一篇我写的关于费尔的介绍，虽然有点长，但是我相信你看完之后也会有一点了解，当然我只是写了个大概和最基本的介绍。
另外关于费尔报壳的争论，在卡饭的费尔区也有两个帖子争论得热火朝天，无奈我表达能力有限制，最后还是官方用最标准的表达方式解释了一下:
费尔在新版本V7中加入了对于加壳文件的报告功能。并且分为两种：一是已知壳类型，二是未知壳类型。对于那些已知壳类型的文件，费尔把其归类到“扩展库”中，当遇到这类文件他会报告“发现带壳程序”，并且会注明此文件使用的是何种加壳算法，比如“Packed.FSG.a”、“Packed.Yoda.a”。当选中“使用扩展库”选项时就有可能出现这种报告。对于一些不知是何种加壳类型的文件，费尔也有智能判断的功能，它的“探测未知壳”功能就是用来扫描那些不知是何种加壳类型的程序。所以“探测未知壳”、“使用扩展库”都具有报告加壳文件的功能。这两项默认都不选择，安装上的软件实始情况下是不会对加壳文件报告的，除非是自己选上又忘记了。对加壳的报告只是给用户一个参考提示，并不是说报告文件有毒。

aoyang

我还是把原文转过来吧，我写的，欢迎批评指正


不太会表达，简单说明。关于动态防御的介绍，其实就是和主动防御差不多的，相信大家都有所了解，我也不说了。

费尔分三道防御：1、病毒特征库  2、主动防御  3、病毒预警感染
费尔病毒特征库是对已知的病毒木马进行判断（对于这个病毒特征库的介绍我想就免了吧，大家应该都了解的）如果不小心误在某小下载站点下载了什么伪装成正常软件的木马病毒，而病毒又没入库，那么在运行的时候费尔动态防御可以拦截绝大多数未知木马病毒（没有谁敢说是百分百的拦截）

下面的图是我在卡饭论坛测试的一个木马病毒样本，有用费尔的朋友在线扫描无反应，说费尔挂了。于是我就运行了一下，出现下面的报警。


不过由于这种技术（也就是说的主动防御或者动态防御）也有着自己的一些缺点就是可能出现误判，所以费尔的动态防御中特别加入许多防误判机制进行控制，还加入了“在线扫描”功能来帮助用户进一步确定被报警文件的安全性，以缓解这方面的茅盾。 如下图


注册表监控制是在非常敏感的地方加强保护，不是所有修改注册表都报警，这样就大大的降低了烦人的报警提示。


如果连主动防御都过了，还有一道病毒预警感染这一关。

上图是在关闭实时监控，主动防御的情况下，最后一道防御成功拦截威金对系统文件的感染。

关于病毒感染预警的理解可以是这样：
1、开启病毒预警：任何的程序在尝试改写（也就是木马病毒感染正常系统程序）或者生成可执行文件都会被报警。当然是你自己正在升级、安装文件则可排除在外，否则很有可能就是你系统里的病毒或者木马在做怪
2、阻止对任何可执行文件的写操作：这个就包括了所有可执行文件的运行都会被阻止，不允许运行。包括你所有的运行EXE的病毒或者木马还有软件
开启了这两个选项目，可以有效的阻止威金、熊猫、金猪、电眼男等一系列可执行文件的感染。当然不只包括这些病毒木马，只要是可执行文件的都可以有效预防和阻止 （前段时间威金、熊猫大肆横行，最近那叫啥金猪的也许会像熊猫一样四处传播，许多网友深受其害，如果使用了费尔的这个功能就可以完全避免）
当你需要安装软件的时候或者升级操作系统补丁的时候就把这两个选项去掉，我平时就是这样的。
病毒感染预警的最终目的是：有效的阻止你在上网浏览网页时木马病毒偷偷自动下载到本地硬盘然后偷偷运行发作。
后面几张图就是最新熊猫病毒的预防测试图。最后一张图就是费尔的个功能的设置。





下面是动态防御的一个成功案列
最新黑防灰鸽子，右键扫描无毒，运行后动态防御拦截。

不点清除，直接关闭，动态防御马上发现并且报警，出现下图。


下面这个是病毒感染预警成功案列，逃过了病毒特征库和动态防御。
可能是一个恶意程，行后会删除程序自身，最后死机，重启动之后根据朋友反应好象没有什么危害。


这一切还算比较强大的功能都在建立在低能耗，非常低的系统资源占用率。下图是我的监控全开的情况下，CPU和物理内存使用情况（默认的更低）一共两个进程，另外一个费尔消息服务（也就是官方有什么最新情况，或者提示你升级病毒库之类的）没什么用，可以禁止启动。基本上也就算是只有一个进程。



可能不善于表达，我自己都自己我在说些什么。能看懂的算你运气好，看不懂的我也没办法。

下面是费尔界面的几张截图



  





  












有人说费尔用起来还不太适应，的确有可能刚开始使用的时候会对费尔的某些特殊功能不太适应，这就对了，那些功能就是尔比较有特色的功能，而且也是非常实用的。比如费尔的“病毒感染预警”之“阻止对可执行文件写操作”这两个功能选择上以后，你在安装某些软件或者软件、系统更新升级的时候都会报告非法的写操作。这一招是防止病毒自动运行的绝招（比如就浏览某网，忽然弹出一个对话框出来，提示浏览器非法的写操作，见图

那么你就得小心了，浏览器企图不经过你的允许擅自下载可执行文件）虽然现在费尔V7的“阻止对可执行文件写操作”做得还不是太完美，不过以后官方会逐步完善强大的。
还有费尔杀注册机和一些破解软件很厉害，我的建议是最好不用注册机或者破解软件，当然你可以百分百的确认无毒，那么你可以把装软件的一整个文件夹添加进费尔信任区，在扩展设置里面进行设置，保存后关闭费尔，再重打开就生效了。
费尔的防御措施我觉得做得比较好，只要你不主动去运行病毒，基本中毒的情况还是比较少的。平时大家使用软件的时候都喜欢baidu上找，其实这并不好，我用的软件都是官方正版，下载点就是官方地址或者天空华军下载点。如果费尔提示病毒，那么可以无视，直接排除就OK。其他小站下载的软件，有时候会提示木马之类的，这样的情况直接删除，虽然有个别情况可能是误报，但是毕竟小站的东东难免他不捆绑什么木马在里面，还是小心为好。
当然平时经常装软件或者其他什么的，建议使用默认设置，费尔的动态防御还是比较强大的，基本也能保护你电脑的安全了。如果平时就是上上网，聊天听音乐、玩游戏，那么就可以按这个图中的设置，应该是非常安全的了）
需要注意的是，安装软件的时候记得把“病毒感染预警”和“阻止对可执行文件写操作”两项去掉，否则你的软件有可能会不能正常安装，安装完毕以后别忘记再勾上。

另外费尔还有一个很BT的功能，这就需要有一定的基础的人才行了。
那就是：“启动病毒免预”
那我们应该怎么免预呢？
1、选中 软件设置 中的 启动病毒免疫功能 选项。
2、切换到 电脑扫描 面板，选择“自动进行文件免疫”。
3、在“选择要扫描的文件和文件夹”中单击“我的电脑”前面的空框图标使得它变成选中状态。
4、点击“开始扫描”。
5、这时电脑会全面扫描，在扫描的过程中如果遇到需要免疫的 EXE/SCR/COM 文件时会自动免疫，并且在“免疫文件”中显示已免疫的文件个数。

完成电脑扫描以后，费尔对电脑内的所有 EXE/SCR/COM 可执行文件进行“提取DNA”（免预，保存文件核心数据）并存入数据库中。以后当此文件被任何程序访问到时都要先通过检测，与以前保存的核心数据比较，如果没有发生改变才允许使用。当文件被病毒感染后就会导致这些数据发生变化，这时会被发现而认定为“免预受损”。 当然这个功能不推荐使用，除非你非常熟知这方面的知识。

最后还说两句，目前的费尔做得还不错，别人有的他也有了，别人没有的他也有。虽然有些地方做得还不是太完美，但是相信在以后会慢慢强大起来的。

费尔对付木马病毒有下面几个手段
1、本地特征码病毒库（也就是静态扫描，传统的杀软就是看谁的病毒库强大）
2、动态防御（最近比较流行的，也就是根据行为来判断是否是木马病毒）
3、病毒感染预警和阻止对可执行文件写操作（这一招简单实用，在浏览网页的时候开启这个会安全很多）
4、病毒免预（这个功能很早就有了，但是一般热不好掌握，所以不不推荐大家使用，高手高手高高手可尝试一下）

可能你觉得我打的字太多了，太罗嗦，也许没几个人会看完。没事，看个大概就OK。

aoyang

原帖由 周杰伦 于 2007-5-14 07:22 发表
费尔的误报率比红伞高很多呢，红伞的误报率已经降低了，现在已经不怎么会误报了，启发，费尔和红伞根本不能相提并论的

关于误报这个问题，我想知道你的证据是什么，现在说话都要讲究证据，最好是像我这样图文并茂的说明。
如果只是象你这样说：某某好，某某万岁，谁都会[:27:]

jlennon

aoyang

原帖由 jlennon 于 2007-5-18 03:58 发表

拖出去活埋24小时

mofunzone

费尔不过是加了一个hips的软件罢了，被ls的吹的那么神
antivir+sns或者ssm都比费尔强，即使ssm没有fd，费尔没有底层防护
而且antivir很快就有professional suit，加入了hips之后，只会比费尔更强的

aoyang

原帖由 mofunzone 于 2007-5-18 06:30 发表
费尔不过是加了一个hips的软件罢了，被ls的吹的那么神
antivir+sns或者ssm都比费尔强，即使ssm没有fd，费尔没有底层防护
而且antivir很快就有professional suit，加入了hips之后，只会比费尔更强的

[:27:] 我觉得你有点搞笑，你以为就是加了个hips吗，所以我说你不了解了。另外我吹了什么？怎么吹了。

mofunzone

那好，你说你那不叫hips叫什么？
我又不是没用过费尔，开启报壳之后连opera都报，这样的东西有什么意义？
开启动态分析后我打开kmplayer，还要上报3个dll去分析
实际费尔就是个hips罢了，动态监控就是个ad+fd，还有个注册表监控
费尔所能做到的一切，sns的av版都能做到，费尔一切的行为分析，eq都可以做到
说白了费尔就是hips+av罢了，没什么新鲜的

[ 本帖最后由 mofunzone 于 2007-5-17 21:05 编辑 ]

aoyang

原帖由 mofunzone 于 2007-5-18 12:53 发表
那好，你说你那不叫hips叫什么？
我又不是没用过费尔，开启报壳之后连opera都报，这样的东西有什么意义？
开启动态分析后我打开kmplayer，还要上报3个dll去分析
实际费尔就是个hips罢了，动态监控就是个ad+f ...

[:27:] 你不要以为用过就代表你很了解，另外报壳的问题，你好象都没看到我在41楼的回复。
说白了费尔就是hips+av罢了，没什么新鲜的    恐怕你在说这句话的时候也没好好看我在42楼的介绍说明。
不要以为用过几天就很了解了，其实你还早得很呐。
另外刚才你说我把费尔吹得很神，我怎么吹了

mofunzone

既然你认为费尔不是hips+av
那么请告诉我你任何能用费尔做的事情我用antivir+eq做不了的
至于你是不是在吹，在这里不做评论，因为费尔就是hips+av，而看你每次在样本区说费尔剿灭全部鸽子就好笑，因为我总觉得，eq也可以这样打广告了