最近有网友问了12个关于天鹅绒的问题,从产品性能到核心技术。这些问题都很好,无论提问者是网友还是朋友,天鹅绒团队都很愿意一起讨论。我们试着逐一回答如下。

第一,我经常在卡凡的样本区转来转去,发现在很多测试中,天鹅绒和国外著名的杀毒软件都修复了很多病毒,360也修复了一些病毒,但是在中国金山,电脑管家几乎都删除了病毒。天鹅绒官方人员,天鹅绒有很强的修复传染性病毒的能力。请天鹅绒官方软件回答这个问题。

答:被感染的病毒会在正常文件中插入恶意代码,如果直接删除,用户文件也会丢失。显然,对付这类病毒最好的办法就是去掉病毒插入的恶意代码,保留原文件,不给用户造成损失。

天鹅绒认为,反病毒引擎有必要尽可能地移除传染性病毒和宏病毒,而不是删除它们。我们选择了这条艰难的道路,并将继续努力。

如果您遇到火绒无法有效去除的样品,请随时联系我们。

第二,火绒的很多举报方式都是从HVM开始的,这是火绒虚拟沙盒的举报方式。请问官方tinder虚拟沙盒在病毒检测中是否有重要作用?因为tinder的病毒数据库很小,很多病毒不依靠虚拟沙盒是检测不出来的。

答:首先,火绒引擎中的“虚拟沙盒”是基于虚拟机技术的,虚拟机技术是重要的检测技术之一,效果很大,与传统的静态检测有很大不同,也是火绒的技术特点之一。详情请参考http://down4.huorong.cn/doc/technology/cobra.pdf.

其次,天鹅绒的病毒数据库小,是采用新引擎等底层技术造成的,不是以牺牲检测率为代价的。请放心,天鹅绒不会为了追求“小”而本末倒置。

第三,“虚拟沙箱”是火绒引擎不可分割的一部分,不可讨论,“不依赖虚拟沙箱”的情况在实际应用中不会出现。病毒数据库和虚拟沙盒有关,但不完全相关。很复杂。详情请参考白皮书:http://down4.huorong.cn/doc/technology/sandbox.pdf。

最后,如果您遇到火绒无法检测到的可疑样品,请随时联系我们。

第三,听天鹅绒论坛。有人说天鹅绒的脚本行为沙盒很厉害,未知脚本的检测率很高。你怎么想呢?

回答:脚本病毒扭曲和混淆是常见的反病毒问题,传统的特征检测方法无法很好的处理。关于火绒“脚本行为沙盒”,请参考http://down4.huorong.cn/doc/technology/.pdf.

第四,在样品区测试火绒时,大部分时候扫描都没有发现风险。双击报告中毒。请问官方,这是怎么回事?这对电脑不是很危险吗?扫描不报毒。

答:“天鹅绒安全软件”构建了多重立体防御体系。除了本地扫描引擎,它还有基于系统监控的动态病毒行为识别等防御措施。你说的是扫描不会被举报,双击举报病毒应该属于这一类。也就是说,对于“静态扫描未检测到的毒物,火绒也有动态防御措施拦截。显然,这样只会让电脑更安全。

天鹅绒官网“天鹅绒安全解决方案”第三章对此有专门介绍。

5.官方称天鹅绒有未知病毒防御。这是否意味着未知病毒被天鹅绒的恶意行为拦截,未知病毒的风险行为被安全加固阻止,使得未知病毒无法破坏计算机?tinder对未知病毒的未知病毒防御能力如何?

答:未知病毒防御是一个宽泛的概念。天鹅绒对未知病毒的防御也是通过各种手段和多重防御,包括恶意拦截、安全加固和防火墙参与。

至于对未知病毒的防御效果,就看是哪几种未知病毒了,有些方面我们是可以做到的。比如天鹅绒的“漏洞攻击拦截”功能,可以有效拦截“永恒蓝”等高风险漏洞传播的病毒,无论是已知还是未知。据统计,超过95%的ransomware感染案例都是通过这个漏洞进入用户电脑的——你可以说天鹅绒在防御这类未知的ransomware方面做得很好。

6.天鹅绒有加入人工智能引擎和云引擎的计划吗?360的高检出率是因为360与QVM发动机集成在一起。我扫描样本的时候,几乎30%的举报方式都是云QVM举报方式,对查杀和防御能力很有帮助。

回答:“人工智能引擎”是近年来的热门话题。与其他新老厂商不同,天鹅绒安全团队对此持谨慎态度,或者有不同的选择。

“人工智能引擎”、“机器学习引擎”等等本质上都是基于统计算法对有限特征的机器建模。这些技术当然有用,但是从结果来看,算法得到的结果都是统计分类结果,结果模糊不清,不可阻挡。

这种算法在反病毒实验室的应用,可以提高整体分析和响应效率,但如果直接应用到终端用户,就要考虑到虚警、不可解释等问题。天鹅绒将在合适的时间和合适的场景中应用“人工智能”和“机器学习”等算法。

至于云,火绒也会适时推出。

此外,天鹅绒对统计引擎和云引擎的态度在天鹅绒:http://down4.huorong.cn/doc/technology/cobra.pdf出版的技术白皮书中有更详细的解释

七.天鹅绒有加入邮件保护和隔离沙箱的计划吗?既然天鹅绒的检测率不高,我觉得应该有一个隔离沙箱来隔离可疑文件。

答案:1。邮件保护。“天鹅绒企业版”已经添加了这个功能,下一个版本也会添加个人版。

2.隔离沙箱,必要时考虑引入火绒。

你说“火绒检出率不高”,我们有所保留。以上两个功能加不加无关紧要。

如果您在实践中遇到tinder无法检测到的可疑程序,请随时联系我们。

八、强烈建议天鹅绒把家长控制的功能分离出来,放到工具箱里

回答:谢谢。您的建议已转发给产品经理进行评估。

九、我个人认为天鹅绒的防御能力还是很强的,不仅拦截已知病毒,还拦截一些安全加固中的冒险行为。如何看待天鹅绒安全加固?

回答:谢谢大家的赞同。无论是“安全加固”还是其他防御措施,都是基于对病毒行为的认知。所以天鹅绒团队始终以病毒分析为核心工作,而不是简单的获取样本后再添加数据库。

十、虽然官方说火绒的使用率很低,但我觉得火绒占用CPU,导致电脑卡慢,特别是最高防护等级和扫描开启时,火绒启动慢。

回答:最高防护等级和高速扫描开启时,天鹅绒会占用更高的CPU。使用该功能的前提是用户暂时没有其他任务,想尽快完成扫描任务,比如办公室午休。

反病毒引擎的扫描过程本质上是计算,占用CPU时间,CPU时间的多少取决于计算的复杂度。简单的文件哈希计算、统计矢量化、匹配等操作可以忽略,而启发式评估、虚拟沙盒等操作都是数据密集型操作,反病毒引擎在实际扫描过程中占用CPU是正常合理的。

当然,天鹅绒一直在努力优化整体效率,比如引入扫描缓存机制。安装后,第一次扫描可能会很慢,后续扫描会更快。

如果您遇到困难或起步缓慢,请随时联系我们。

十一、火绒现在有漏洞入侵拦截和讹诈诱捕功能,那么现在火绒的讹诈防护应该可以了吧?

答:天鹅绒对于防范和处理勒索是相当有信心的。

1.天鹅绒防火墙中的“漏洞攻击拦截”功能是我们最有力的手段。该模块从网络数据层面对漏洞攻击模型进行分析、识别和拦截,阻止所有威胁程序的入侵,并能记录攻击发起者的IP地址,便于追踪攻击来源,彻底根除单位网络中的传染源。

2.天鹅绒病毒防御——恶意行为监控模块也有勒索诱捕功能,也能起到一定的作用,但远不如“漏洞攻击拦截”强大。

3.正如我们一再强调的那样,火绒产品是一个“反病毒、主动防御和防火墙”深度融合的多重防御系统,也是一种多重防范手段。

据一些已经部署“天鹅绒企业版”的政府和企业用户反映,一些单位的ransomware疫情非常严重,是单位网络面临的最大问题,尤其是那些仍在使用Win7和XP的内网用户。天鹅绒产品在应对这些勒索软件疫情上效果明显,多种措施同等重要,基本可以根治疫情。

12.为什么样品区火绒检出率很低?但是,智力的检出率很亮。天鹅绒没有强大的虚拟沙盒吗?求官方解释。

回答:关于破案率这个话题,天鹅绒曾经在《谢谢提问,我们来解释一两个》中给出了答案。详情请见:https://zhuanlan.zhihu.com/p/41235525。

再次,如果您在实际应用中遇到问题,请随时联系我们。

1.《火绒 关于火绒的12个技术问题》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。

2.《火绒 关于火绒的12个技术问题》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。

3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/jiaoyu/1676542.html