火绒安全软件

标题: 建议 [打印本页]
作者: 冰棍好烫啊!    时间: 2020-1-26 15:24
标题: 建议
我建议火绒每过一段时间更换进程名和文件名
有很多程序检测杀毒软件,检测到火绒进程就显示有杀毒软件,需要退出杀毒软件
这样不大安全,
所以我认为火绒经常更换进程名可以不被病毒检测,更安全
作者: 绿坝-花季护航    时间: 2020-1-26 15:35
都是病毒了你还去运行干啥?
作者: CNGEGE    时间: 2020-1-26 17:29
占用系统资源专为你服务?
作者: 火绒运营专员    时间: 2020-1-26 17:57
您好,您的需求节后帮您转交给产品童靴收录,感谢您的反馈,祝您鼠年大吉!
作者: 绿坝-花季护航    时间: 2020-1-27 17:57
如果病毒说退出你就把杀毒软件退了的话,还是建议换一个人用电脑.
作者: 绿坝-花季护航    时间: 2020-1-27 19:45
不知道就老老实实用杀软,你要是退出就自己承担风险
作者: 冰棍好烫啊!    时间: 2020-1-27 19:51
绿坝-花季护航 发表于 2020-1-27 19:45
不知道就老老实实用杀软,你要是退出就自己承担风险

你没听懂我的意思?火绒这样可以加大对病毒的防控,不然我提建议干嘛?
作者: 绿坝-花季护航    时间: 2020-1-27 19:56
本帖最后由 绿坝-花季护航 于 2020-1-27 19:59 编辑
冰棍好烫啊! 发表于 2020-1-27 19:51
你没听懂我的意思?火绒这样可以加大对病毒的防控,不然我提建议干嘛? ...

火绒什么时候修改文件?修改文件名/注册表项时防护失效,这时候完全没有防护,叫加大对病毒的防控?世界上哪个杀毒软件会这样瞎搞?这玩意又不是辅助杀毒软件
作者: 冰棍好烫啊!    时间: 2020-1-27 19:59
绿坝-花季护航 发表于 2020-1-27 19:56
火绒什么时候修改文件?修改文件名/注册表项时防护失效,叫加大对病毒的防控?世界上哪个杀毒软件会这样瞎搞? ...

进程伪装,文件隐藏不知道吗?
作者: 冰棍好烫啊!    时间: 2020-1-27 20:00
绿坝-花季护航 发表于 2020-1-27 19:56
火绒什么时候修改文件?修改文件名/注册表项时防护失效,这时候完全没有防护,叫加大对病毒的防控?世界上哪个 ...

听不懂人话就别瞎说
作者: 绿坝-花季护航    时间: 2020-1-27 20:08
冰棍好烫啊! 发表于 2020-1-27 20:00
听不懂人话就别瞎说

更换进程名和文件名是进程伪装?不要狂吠好吗
作者: 冰棍好烫啊!    时间: 2020-1-27 20:39
绿坝-花季护航 发表于 2020-1-27 20:08
更换进程名和文件名是进程伪装?不要狂吠好吗

你这都不知道就别来这论坛了好吗,进程伪装不知道?谁告诉你更换文件名了?隐藏文件不知道?
作者: 绿坝-花季护航    时间: 2020-1-27 20:40
冰棍好烫啊! 发表于 2020-1-27 20:39
你这都不知道就别来这论坛了好吗,进程伪装不知道?谁告诉你更换文件名了?隐藏文件不知道? ...
我建议火绒每过一段时间更换进程名和文件名

这是谁写的?
作者: 冰棍好烫啊!    时间: 2020-1-27 20:42
绿坝-花季护航 发表于 2020-1-27 20:08
更换进程名和文件名是进程伪装?不要狂吠好吗

说话能不能有点水平?
作者: 绿坝-花季护航    时间: 2020-1-27 20:43
冰棍好烫啊! 发表于 2020-1-27 20:42
说话能不能有点水平?

你自己说的话都不看?可真有水平
作者: 冰棍好烫啊!    时间: 2020-1-27 20:48
绿坝-花季护航 发表于 2020-1-27 20:43
你自己说的话都不看?可真有水平

能不能有点素质?听不懂人话就吓喷别人?
作者: 绿坝-花季护航    时间: 2020-1-27 20:50
本帖最后由 绿坝-花季护航 于 2020-1-27 20:52 编辑
冰棍好烫啊! 发表于 2020-1-27 20:48
能不能有点素质?听不懂人话就吓喷别人?

我建议你回去看看是谁先瞎喷人的
真是服气,自己说的话过一秒就忘了
,帖子就在这里,你好好看看谁没素质
作者: 冰棍好烫啊!    时间: 2020-1-27 20:52
绿坝-花季护航 发表于 2020-1-27 20:50
我建议你回去看看是谁先瞎喷人的
真是服气,自己说的话过一秒就忘了

你看看你自己发的第一个发的,你就知道了。一开始我还忍着,之后看你这么没素质我也懒得忍了
作者: 绿坝-花季护航    时间: 2020-1-27 20:56
冰棍好烫啊! 发表于 2020-1-27 20:52
你看看你自己发的第一个发的,你就知道了。一开始我还忍着,之后看你这么没素质我也懒得忍了 ...
如果病毒说退出你就把杀毒软件退了的话,还是建议换一个人用电脑.
你说这句?
作者: 冰棍好烫啊!    时间: 2020-1-27 21:01
绿坝-花季护航 发表于 2020-1-27 20:56
你说这句?

我觉得你这句话像是在损人
作者: 绿坝-花季护航    时间: 2020-1-27 21:04
冰棍好烫啊! 发表于 2020-1-27 21:01
我觉得你这句话像是在损人

行吧,我向你道歉,确实我不应该这样讲
作者: 冰棍好烫啊!    时间: 2020-1-27 21:08
绿坝-花季护航 发表于 2020-1-27 21:04
行吧,我向你道歉,确实我不应该这样讲

我也向你道歉,之前我也不该那么讲
作者: HuoRong、Huo    时间: 2020-2-6 17:28
您好,您的建议这边已知悉,请问您在平时的使用体验过程中是否有接触过“进程伪装”软件,这些软件是否存降低火绒防护的情况?如果存在,请简单描述一下,并提供一下样本,我们会进行内部分析。
作者: 冰棍好烫啊!    时间: 2020-2-7 09:24
HuoRong、Huo 发表于 2020-2-6 17:28
您好,您的建议这边已知悉,请问您在平时的使用体验过程中是否有接触过“进程伪装”软件,这些软件是否存降 ...

应该是不会的,你看下这个软件,win10x64 1903现在可以用,win7也可以.



经过测试,可以伪装进程名称和进程路径,有进程隐藏的效果,但是没进程隐藏那么危险

进程伪装后,进程名和路径被伪装成svchost.exe,只有PID是正常的

进程伪装不影响进程防杀
作者: 冰棍好烫啊!    时间: 2020-2-7 09:28
HuoRong、Huo 发表于 2020-2-6 17:28
您好,您的建议这边已知悉,请问您在平时的使用体验过程中是否有接触过“进程伪装”软件,这些软件是否存降 ...

压缩包里的MyDriver.sys是进程伪装驱动

GuardDriver是进程防杀驱动

调用驱动是易语言写的,进程隐藏.exe加载MyDriver.sys

先加载驱动,输入Pid之后点dw驱动通讯,就行了


下载地址 https://www.lanzous.com/i94bvfa
作者: HuoRong、Huo    时间: 2020-2-7 09:41
冰棍好烫啊! 发表于 2020-2-7 09:28
压缩包里的MyDriver.sys是进程伪装驱动

GuardDriver是进程防杀驱动

您好,网上确实存在一些工具可以实现类似进程伪操作,但是不一定存在病毒或恶意行为。您提到的这款程序在伪装进程后都执行了哪些危险操作?火绒是否正常拦截?请简单说明一下。
作者: 冰棍好烫啊!    时间: 2020-2-7 09:45
HuoRong、Huo 发表于 2020-2-7 09:41
您好,网上确实存在一些工具可以实现类似进程伪操作,但是不一定存在病毒或恶意行为。您提到的这款程序在 ...

我这里没有发现危险操作,火绒也没有拦截,除了加载驱动,这不是网上的什么软件,是精易论坛上一个人开源的驱动.
作者: HuoRong、Huo    时间: 2020-2-7 10:49
冰棍好烫啊! 发表于 2020-2-7 09:45
我这里没有发现危险操作,火绒也没有拦截,除了加载驱动,这不是网上的什么软件,是精易论坛上一个人开源的驱 ...

您的反馈这边已经清楚,但是因为没有实际的威胁场景来做支撑,目前无法进行判断。如果您在运行类似程序后,有发现被执行了恶意操作且火绒无法正常拦截的情况,请您及时提交反馈,这边和您沟通确认后会进行内部分析,感谢您的支持!
作者: 冰棍好烫啊!    时间: 2020-2-7 11:02
HuoRong、Huo 发表于 2020-2-7 10:49
您的反馈这边已经清楚,但是因为没有实际的威胁场景来做支撑,目前无法进行判断。如果您在运行类似程序后 ...

之前火绒不是也报导过有什么激活工具检测火绒进程吗?但是如果火绒用进程伪装的话,它就没法检测火绒进程,可以提高火绒用户的安全,现在还是有很多软件检测杀毒软件进程,如果有进程就故意回避,降低查杀率,所以我建议使用进程伪装(进程隐藏也行)
作者: 冰棍好烫啊!    时间: 2020-2-7 11:10
HuoRong、Huo 发表于 2020-2-7 10:49
您的反馈这边已经清楚,但是因为没有实际的威胁场景来做支撑,目前无法进行判断。如果您在运行类似程序后 ...

之前火绒报导的"快压" https://bbs.huorong.cn/thread-47982-1-1.html
不就是检测杀毒软件的进程名?
如果检测到杀毒,就故意回避,不进行恶意操作,使火绒用户不知道某些恶意操作的危险
但是如果使用的进程伪装,就无法检测,用户就可以知道程序是否安全,因为检测杀毒软件进程名的大多都是危险软件
作者: 冰棍好烫啊!    时间: 2020-2-7 11:11
HuoRong、Huo 发表于 2020-2-7 10:49
您的反馈这边已经清楚,但是因为没有实际的威胁场景来做支撑,目前无法进行判断。如果您在运行类似程序后 ...

假如感染上了某个病毒,这个病毒有可能会强制结束火绒进程,使用户无法启动火绒
进程伪装后,就无法强制结束火绒进程,这样就可以提高火绒进程的安全
作者: HuoRong、Huo    时间: 2020-2-7 11:17
冰棍好烫啊! 发表于 2020-2-7 11:02
之前火绒不是也报导过有什么激活工具检测火绒进程吗?但是如果火绒用进程伪装的话,它就没法检测火绒进程, ...

您提到的应该是“FakeKMS”,我们曾经有过报道,该病毒会伪装成"小马激活"、"KMS"等知名激活工具,劫持浏览器首页、静默安装软件等,还会通过内核级对抗手段躲避安全软件查杀。不过我们已经可以查杀该病毒,当运行程序时会直接被文件实时监控检测并报毒,所您不用过于担心。
作者: 冰棍好烫啊!    时间: 2020-2-7 11:22
HuoRong、Huo 发表于 2020-2-7 11:17
您提到的应该是“FakeKMS”,我们曾经有过报道,该病毒会伪装成"小马激活"、"KMS"等知名激活工具,劫持浏 ...

我的意思是如果有一些新型病毒,火绒及其他杀毒软件还没法查杀的时候,使用的进程伪装,可以提高火绒的安全性
作者: 冰棍好烫啊!    时间: 2020-2-7 11:25
HuoRong、Huo 发表于 2020-2-7 11:17
您提到的应该是“FakeKMS”,我们曾经有过报道,该病毒会伪装成"小马激活"、"KMS"等知名激活工具,劫持浏 ...

就比如说在该病毒还没被发现之前,想要查找火绒进程,如果查到了,就不进行危险操作,提高隐蔽性.
那时候杀毒软件无法查到病毒,是很危险的,如果没查到火绒进程的话,很快就会该病毒就会被发现并查杀,提高效率.
作者: 火绒运营专员    时间: 2020-2-7 18:24
您好,改变杀毒软件进程名以避免病毒躲避的作用微乎其微,其中有3点情况需要考虑:
1.改了进程名也一样可以被识别,即使进程名随机更换,但依然可以通过程序名、数字签名识别。
2.对一般用户来说无法识别,进程名来回变,会对用户造成困扰,会误以为是病毒。
3.安全软件检测病毒与病毒是否识别安全软件无关,与病毒的行为有关。
综上,这个建议我们考量后决定不做考虑。
作者: 冰棍好烫啊!    时间: 2020-2-7 19:25
火绒运营专员 发表于 2020-2-7 18:24
您好,改变杀毒软件进程名以避免病毒躲避的作用微乎其微,其中有3点情况需要考虑:
1.改了进程名也一样可以 ...

好吧
作者: 562698506    时间: 2020-2-7 20:58
冰棍好烫啊! 发表于 2020-2-7 11:10
之前火绒报导的"快压" https://bbs.huorong.cn/thread-47982-1-1.html
不就是检测杀毒软件的进程名?
如果 ...
因为检测杀毒软件进程名的大多都是危险软件
已经明白是危险软件了 还用它干啥,想运行危险软件,就直接退了火绒,安全自己弄好



欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4