卡饭论坛 » 国内杀毒软件讨论区 » 费尔 » 关于动态防御！

tian832 发表于 2008-8-30 21:53

关于动态防御！

费尔的动态防御是主动防御吗？  和微点的主动防御有相同和不同之处吗？？？？？？？

chenzhan 发表于 2008-8-30 22:36

不知道有什么不同之处，但动态防御就是主动防御。只要能防范未知病毒都是主动防御，微点也不能作为主动防御的业界规范。

燕踏飞泉 发表于 2008-8-30 22:37

这个还是高手解释下比较好~~~[:xi35:]
感觉微点的主防更强大~~~[:xi36:]

cbz107 发表于 2008-8-30 22:52

费尔动态防御系统是一个实时防护引擎，它只对已经运行的程序进行检测，而且绝大多数情况下会在木马或病毒做出破坏前将其终止。经测试证明它是行之有效的保护软件，由于其出色的对未知病毒和木马的防护能力，可以让安装有此软件的用户更具安全感。

[:xi29:] 汗，我说不清有什么关系，但和微点是绝对不同的。

zwl2828 发表于 2008-8-30 22:53

貌似需要官方解释。

tcgg1983 发表于 2008-8-30 23:11

微点是行为判断  病毒不运行微点不查杀       费尔动态防御就是你解压带病毒包  在里面病毒运行前它就能提前报告了   至少我用2者是这样的

忧郁浪子 发表于 2008-8-30 23:21

回复 6楼 tcgg1983 的帖子

不只是这么简单，费尔的也是基于行为判断的。
不过完善度和成熟度上应该暂时比微点落后很多

ghsy_2007 发表于 2008-8-30 23:35

费尔的动态防御其实就是一个简单的HIPS
别说是胡说八道，经过了证实的，去年曾经和老猪（也不一样，总之就是费尔官方的QQ）提到过这个事。

tangty_1992 发表于 2008-8-31 08:23

费尔的动态防御报了你也不知道到底是不是病毒，只是说有威胁。而微点直接就报病毒。

chen月 发表于 2008-8-31 09:09

楼上正解

楼上正解

chow2006 发表于 2008-8-31 10:22

回复 9楼 tangty_1992 的帖子

兄弟未遇到过微点报未知木马、病毒的？
你的直接报是什么意思？
费尔要做到微点这样的直接报也可以，只要将“可疑程序”改成“未知木马、未知病毒”。

cbz107 发表于 2008-8-31 10:25

[quote]原帖由 [i]tcgg1983[/i] 于 2008-8-30 23:11 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4685836&ptid=318397][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
微点是行为判断  病毒不运行微点不查杀       费尔动态防御就是你解压带病毒包  在里面病毒运行前它就能提前报告了   至少我用2者是这样的 [/quote]

需要运行程序，动态防御才会报

单单解压最多是监控报

边缘vip 发表于 2008-8-31 10:54

包子说的对，动态是在准备运行时报，静态时报的只是监控

killerwhale 发表于 2008-8-31 11:04

[quote]原帖由 [i]chow2006[/i] 于 2008-8-31 10:22 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4688402&ptid=318397][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
兄弟未遇到过微点报未知木马、病毒的？
你的直接报是什么意思？
费尔要做到微点这样的直接报也可以，只要将“可疑程序”改成“未知木马、未知病毒”。 [/quote]

我揣测楼上那个的意思是在说误报问题吧
用微点就报过一个有争议行为的飞鸽传书   上报2天解决
用费尔每次装机子动态防御都在误报一大堆东西   那个误报winamp从我用费尔一开始就报    快一年了还在报……[:02:]
后来才知道   原来动态防御是不能随便加白名单的   汗一个[:08:]

[[i] 本帖最后由 killerwhale 于 2008-8-31 11:06 编辑 [/i]]

chow2006 发表于 2008-8-31 12:19

回复 14楼 killerwhale 的帖子

揣测错误[:01:]
你仔细看看9楼的回复

tangty_1992 发表于 2008-8-31 12:26

回复 11楼 chow2006 的帖子

我说的是费尔报的威胁有一大堆不是真正的病毒，而微点的未知病毒木马一般都是真的病毒木马。

tangty_1992 发表于 2008-8-31 12:27

而且费尔报的也不清楚，只是说威胁，具体有什么威胁也不清楚。

cbz107 发表于 2008-8-31 12:42

回复 17楼 tangty_1992 的帖子

动态防御是怎么报警，我也不清楚
但和微点是不同的

如果知道是什么威胁，那不就是相当监控查到了病毒？



报警对象分为以下几个类型：
1. 危险进程：PID用来指出进程编号，紧接着是进程文件的完整路径和名称。根据危险进程所执行的操作后面还可能追加更多的扩展说明，扩展说明有：创建了危险的隐藏进程、注入危险线程到其他程序、注入了危险的DLL到其他程序。
2. 危险DLL程序：发现了危险的DLL程序
3. 危险驱动程序：发现了危险的驱动程序
4. 隐藏进程：发现了危险的隐藏程序，隐藏程序通常采用ROOTKIT技术将自己完全的隐藏起来，通过操作系统和其它工具都无法察觉它，典型案例如“灰鸽子”，费尔动态防护系统可以侦测并销毁隐藏进程。
5. 线程注入程序：目前流行的许多木马都会将自己的一段程序注入到正常的程序中窃取信息，这种技术让防火墙很难发觉。比如将代码植入到IE中，防火墙会认为是IE的连接而放行它，但其实已被木马利用。费尔动态防御系统会侦测线程代码的注入并在第一时间内杀灭它，保障系统安全。
6. DLL注入程序：DLL注入是与线程注入有类似的功效，木马将自己的DLL程序注入到其它程序中实施窃取。费尔动态防御系统可以侦测这种注入。
7. 危险文件：除了以上六种的其它的一般危险文件


数字签名 报警对象的数字签名，如果程序有数字签名一般可以说明此程序本身是安全的，但当被其它程序利用时，仍然可能产生危害，比如被木马插入线程或DLL就可能用正常的程序来窃取信息。目前只探测经微软数字签名和费尔数字签名的程序。

caolizhen 发表于 2008-8-31 12:49

费尔有威胁指数，根据操作的危险性来匹配，而微点一般触犯了内部规划，而且无白名单，数字签证就未知病毒了，而且费尔会有操作提示，微点直接就秒- -[:xi17:] [:xi17:]

宁南笑一 发表于 2008-8-31 12:55

以上帖子越看越迷糊...MS是微点和费尔的比拼帖~[:11:]

查看完整版本: 关于动态防御！