费尔监控没有启发？

yurius

在样品区试毒，发现报Heuri.ERNM的病毒只有在扫描的时候才能扫出来，解压或者运行都没有提示，还好运行的时候主动防御报了，为什么会这样呢？

aoyang

看别处看见的转过来看看

但如果总是热衷于尝试安装各种下载来的软件，或故意运行病毒来测试杀软，
那中毒的机遇多多也就不奇怪了，
窃以为使用某款自己中意的杀软，
为的是让电脑能安全地工作，
而没必要像杀软公司的员工那样不停的测试考验它，
当然，要作为像玩游戏那样折腾杀软，也算一种乐趣和学习，
但却因此而嫌弃每一款所用过的杀软，就有点说不过去了。
试想想，如果哪位强人为了证明某人是否是一个正常的人，
把他抓来进行各式各样的检查测验，
肯定一个好好的人也会变得不正常了。

yurius

先说说有没有这个问题吧

你不是一直都测试样本吗

aoyang

那要看你的设置图了，截个图上来看看
你这个报告应该是报壳的一种
是样本区哪个样本了，来个连接

yurius

http://bbs.kafan.cn/viewthread.php?tid=96925&extra=page%3D1

这个应该是真正的启发吧
勾上“启动启发式扫描”就报Heuri.ERNM，就算不勾“探测未知壳”也可以
将“使用病毒扩展库”勾上的话，就是报Packed.FSG.a

现在看来，监控会报壳（Packed.FSG.a、Heuri.Possible/Packed）
但就是不会报Heuri.ERNM，难道这个不是启发吗，难道比纯报壳更容易误报
这不是很奇怪吗

aoyang

这个应该算是启发报的了
在去掉“病毒扩展库”和“探测未知壳”这两个报壳功能后，启发式扫描扫出来的。
这个样本你是运行不了的，会告诉你没权限，除非你关闭实时监控或者关闭启发扫描才可以运行。

yurius

问题就是去掉“病毒扩展库”和“探测未知壳”这两个报壳功能后
启发式可以扫描出来，解压运行就是没有提示，直接就是动态防御拦截

难道是系统问题？我同时还装了小红伞，不过没有开监控
而且普通的病毒还有报壳监控都会报啊，就这个不报

aoyang

这个问题有我觉得好象应该是这样，不过不一定正确。看官方人员怎么说了。
一个加了未壳的，解压过程就会被拦截，如果是已知壳就没反应。
比如你试着解压这个样本
http://bbs.kafan.cn/viewthread.php?tid=96045&highlight=D4D8DD
是加的未知壳，在不勾选“探测未知壳”的情况下扫描和解压都没反应，选上以后解压就拦截了。

yurius

是啊，报壳是可以监控拦截的，但启发就不行

报Heuri.ERNM的样本你可以监控得到吗，如果不是我的系统问题，就应该是一个bug了吧

能不能向官方反映一下

aoyang

虽然解压的时候没反应，但是解压出来以后，你运行会提示你没有权限，你也运行不了。
除非关闭实时监控，或者关闭启发扫描。
你发了这个帖子，官方人员有空的时候会来看的。到时候就知道是怎么回事了。