近日,卡米网友从产品性能到核心技术,向火绒提出了12个问题。无论提问者是网友还是朋友,火绒团队都非常愿意一起讨论这些问题。我们试着一一回答如下。
1、我经常在卡米样本区转移。我发现在许多测试中,火绒和国外著名的杀软剂修复了许多病毒,360也修复了一些病毒。然而,在中国的金山,计算机管家几乎删除了病毒。火绒官方人员,火绒对感染病毒的修复能力个人感觉很强,请火绒官方软件回答这个问题。
答:感染性病毒(virus)将恶意代码插入正常文件,如果直接删除,用户文件也会丢失。显然,处理这类病毒的最佳方法是清除病毒插入的恶意代码,保留原始文件,不给用户造成损失。
火绒认为,反病毒引擎必须具备清除感染性病毒和宏病毒而不是删除的能力。如果我们选择这条困难的道路,我们将永远努力工作。
如遇火绒无法有效清除的样品,请随时与我们联系。
二、火绒的报法很多都是HVM一开始,这是火绒虚拟沙盒的报告。官员们,火绒虚拟沙盒在病毒检测中起着重要作用吗?因为火绒病毒库很小,很多病毒不依赖虚拟沙盒是检测不到的。
答:首先,在火绒发动机中\\"虚拟沙盒\\"以虚拟机技术为基础,是重要的检测技术手段之一,确实起到了很大的作用,这与传统的静态检测有很大的不同,也是火绒的技术特点之一。详情请参考:http://down4.huorong.cn/doc/technology/cobra.pdf。
其次,火绒的病毒库很小,因为我们使用新的引擎和其他底层技术,而不是以牺牲检测率为代价,请放心,火绒不会追求\\"小\\"本末倒置。
再次,\\"虚拟沙盒\\"它是火绒发动机不可分割的一部分,不能脱离谈话,在实际应用中不会出现\\"不依赖虚拟沙盒\\"这种情况。病毒库与虚拟沙盒有关,但并非完全相关,说来复杂,详见白皮书:http://down4.huorong.cn/doc/technology/sandbox.pdf。
最后,如遇火绒检测不到的可疑样本,请随时与我们联系。
三、听火绒论坛有人说火绒脚本行为沙盒很强,未知脚本检出率很高,你怎么想呢
答:脚本病毒的变形和混淆是一个常见的反病毒问题,传统的特征检测方法不能很好地处理,关于火绒\\"沙盒的脚本行为\\"请参阅:http://down4.huorong.cn/doc/technology/script.pdf。
四、样本区测试火绒时,往往是扫描没有发现风险,双击报毒,问官员,这是怎么回事?这对电脑没有危险吗?扫描不报毒。
回答:\\"天鹅绒安全软件\\"除本地扫描引擎外,还建立了多种立体防御系统,以及基于系统监控的动态病毒行为识别等防御措施。你说扫描不报,双击报毒应该属于这类,也就是说静态扫描没有检测到。\\"漏网之毒\\",很明显,火绒还有动态防御等措施脑更安全。
火绒官网的\\"火绒安全解决方案\\"第三章有专门介绍。
5、官方说火绒有未知病毒防御。这是指未知病毒被火绒的恶意行为拦截,系统加固,防止未知病毒的风险行为,使未知病毒无法破坏计算机吗?防御未知病毒的能力如何?
答:未知病毒防御是一个广泛的概念。火绒还通过多种手段防御未知病毒,包括恶意行为拦截、系统加固和防火墙参与。
至于未知病毒的防御效果,也要看什么样的未知病毒,有些方面我们还可以。譬如火绒的\\"攻击拦截漏洞\\"能有效拦截功能\\"永恒之蓝\\"据统计,95%以上的勒索病毒感染是未知,据统计,95%以上的勒索病毒感染案例都是通过这个漏洞进入用户电脑的——你可以说火绒对这种未知勒索病毒的防御做得很好。
六、火绒有计划加入人工智能引擎和云引擎吗?由于360集成,360的检出率很高QVM在扫描样本时,我几乎30%的报告都是云QVM报法对查杀防御能力有很大帮助。
回答:\\"人工智能引擎\\"这是近年来的热门话题。与其他新老厂商不同,火绒安全团队对此持谨慎态度,或者有不同的选择。
\\"人工智能引擎\\"、\\"机器学习引擎\\"等等,本质上是基于统计算法的有限特征的机器建模,当然是有用的,但从结果来看,算法的结果是统计意义上的分类结果,这种结果是模糊以解释的。
该算法可以提高反病毒实验室的整体分析和响应效率,但如果直接应用于终端用户,则应考虑使用带来的误报和不可解释性。在适当的时间和场景下使用火绒\\"人工智能\\"、\\"机器学习\\"等算法。
至于云,火绒也会在适当的时候引入。
此外,在火绒公开的技术白皮书中,火绒对统计引擎和云引擎的态度有更详细的说明:http://down4.huorong.cn/doc/technology/cobra.pdf
七、火绒是否有计划加入邮件保护和隔离沙箱,由于火绒检出率不高,我认为应该有隔离沙箱隔离运行的可疑文件。
答:1、邮件保护,\\"火绒企业版\\"此功能已添加,个人版本也将添加到下一个版本中。
答:1、邮件保护,\\"火绒企业版\\"此功能已添加,个人版本也将添加到下一个版本中。2.隔离沙箱,必要时引入火绒。您说\\"火绒检出率不高\\",以上两个功能是否否添加上述两个功能与此无关。如遇火绒无法检测的可疑程序,请随时与我们联系。
八、强烈建议火绒独立控制家长的功能,放在工具箱里
答:谢谢,您的建议已转移给产品经理进行评估。
九、就我个人而言,我认为火绒的防御能力仍然很强。它不仅拦截了已知病毒,还拦截了系统加固和一些风险行为。你觉得火绒系统加固怎么样?
答:谢谢您的认可。不管是\\"系统加固\\"或者其他防御措施,基本上是基于对病毒行为的认知,所以天鹅绒团队总是以病毒分析为核心工作,而不是简单地添加样本。
十、虽然官方说火绒占用率很低,但我认为火绒占用率更高CPU,导致电脑卡慢,特别是在打开最高保护级别和扫描时,火绒的启动也相对缓慢。
答:火绒在打开最高保护水平和高速扫描时会占用更高的比例CPU,使用此功能的前提是用户暂时没有其他任务,希望尽快完成扫描任务,如办公室午休时间。反病毒引擎的扫描过程本质上是计算,需要占用CPU时间来获得,而对于时间来说,CPU时间占用取决于计算的复杂性。简单文件哈希计算、统计向量化和匹配操作的计算量可以忽略不计,而启发性评估、虚拟沙箱等操作是强数据计算操作,因此反病毒引擎占据了真实的扫描过程CPU正常合理。当然,火绒一直在努力优化扫描缓存机制等整体效率。第一次扫描次扫描可能比较慢,后续再扫描可能比较快。如遇卡顿、启动缓慢等情况,请随时与我们联系。
十一、火绒现在有漏洞入侵拦截和勒索诱捕功能,现在火绒勒索保护应该可以吗?
答:火绒对预防和控制勒索病毒相当有信心。1.火绒防火墙\\"攻击拦截漏洞\\"功能(不是\\"入侵拦截漏洞\\")这是我们最有力的手段。该模块从网络数据层面分析、识别和拦截漏洞攻击模型(如高风险漏洞的永恒蓝色),防止勒索软件等所有威胁程序的入侵,并记录攻击发起者IP地址,方便攻击追溯,彻底根除单位网络中的感染源。2.火绒病毒防御-恶意行为监控模块还具有勒索诱捕功能,也可以起到一定的作用,但远非\\"攻击拦截漏洞\\"那么强。3.正如我们反复强调的,火绒产品是\\"反病毒、主动防御和防火墙\\"多重防御系统的深度融合,也是防止勒索软件的多重措施。从部署\\"火绒企业版\\"对于政府和企业用户来说,一些单位勒索病毒疫情非常严重,这是单位网络面临的最大问题,尤其是那些仍在使用的单位Win7、XP内网用户。处理这些勒索病毒疫情的火绒产品效果明显,多重措施并重,基本可以根治(官网和微信微信官方账号有几个案例)。
十二、样本区火绒检出率怎么低?但是智能量的检出率很亮,火绒不是有强大的虚拟沙盒吗?请官员解释。
回答:火绒在《谢谢你的质疑,让我们解释一二》中回答了检出率这个话题。详见:https://zhuanlan.zhihu.com/p/41235525。如果您在实际应用中遇到问题,请随时与我们联系。