huorong 关于火绒的12个技术问题

最近有网友问了12个关于天鹅绒的问题，从产品性能到核心技术。这些问题都很好，无论提问者是网友还是朋友，天鹅绒团队都很愿意一起讨论。我们试着逐一回答如下。

第一，我经常在卡凡的样本区转来转去，发现在很多测试中，天鹅绒和国外著名的杀毒软件都修复了很多病毒，360也修复了一些病毒，但是在中国金山，电脑管家几乎都删除了病毒。天鹅绒官方人员，天鹅绒有很强的修复传染性病毒的能力。请天鹅绒官方软件回答这个问题。

答:被感染的病毒会在正常文件中插入恶意代码，如果直接删除，用户文件也会丢失。显然，对付这类病毒最好的办法就是去掉病毒插入的恶意代码，保留原文件，不给用户造成损失。

天鹅绒认为，反病毒引擎有必要尽可能地移除传染性病毒和宏病毒，而不是删除它们。我们选择了这条艰难的道路，并将继续努力。

如果您遇到火绒无法有效去除的样品，请随时联系我们。

第二，火绒的很多举报方式都是从HVM开始的，这是火绒虚拟沙盒的举报方式。请问官方tinder虚拟沙盒在病毒检测中是否有重要作用？因为tinder的病毒数据库很小，很多病毒不依靠虚拟沙盒是检测不出来的。

答:首先，火绒引擎中的“虚拟沙盒”是基于虚拟机技术的，虚拟机技术是重要的检测技术之一，效果很大，与传统的静态检测有很大不同，也是火绒的技术特点之一。详情请参考http://down4.huorong.cn/doc/technology/cobra.pdf.

其次，天鹅绒的病毒数据库小，是采用新引擎等底层技术造成的，不是以牺牲检测率为代价的。请放心，天鹅绒不会为了追求“小”而本末倒置。

第三，“虚拟沙箱”是火绒引擎不可分割的一部分，不可讨论，“不依赖虚拟沙箱”的情况在实际应用中不会出现。病毒数据库和虚拟沙盒有关，但不完全相关。很复杂。详情请参考白皮书:http://down4.huorong.cn/doc/technology/sandbox.pdf。

最后，如果您遇到火绒无法检测到的可疑样品，请随时联系我们。

第三，听天鹅绒论坛。有人说天鹅绒的脚本行为沙盒很厉害，未知脚本的检测率很高。你怎么想呢?

回答:脚本病毒扭曲和混淆是常见的反病毒问题，传统的特征检测方法无法很好的处理。关于火绒“脚本行为沙盒”，请参考http://down4.huorong.cn/doc/technology/.pdf.

第四，在样品区测试火绒时，大部分时候扫描都没有发现风险。双击报告中毒。请问官方，这是怎么回事？这对电脑不是很危险吗？扫描不报毒。

答:“天鹅绒安全软件”构建了多重立体防御体系。除了本地扫描引擎，它还有基于系统监控的动态病毒行为识别等防御措施。你说的是扫描不会被举报，双击举报病毒应该属于这一类。也就是说，对于“静态扫描未检测到的毒物，火绒也有动态防御措施拦截。显然，这样只会让电脑更安全。

天鹅绒官网“天鹅绒安全解决方案”第三章对此有专门介绍。

5.官方称天鹅绒有未知病毒防御。这是否意味着未知病毒被天鹅绒的恶意行为拦截，未知病毒的风险行为被安全加固阻止，使得未知病毒无法破坏计算机？tinder对未知病毒的未知病毒防御能力如何？

答:未知病毒防御是一个宽泛的概念。天鹅绒对未知病毒的防御也是通过各种手段和多重防御，包括恶意拦截、安全加固和防火墙参与。

至于对未知病毒的防御效果，就看是哪几种未知病毒了，有些方面我们是可以做到的。比如天鹅绒的“漏洞攻击拦截”功能，可以有效拦截“永恒蓝”等高风险漏洞传播的病毒，无论是已知还是未知。据统计，超过95%的ransomware感染案例都是通过这个漏洞进入用户电脑的——你可以说天鹅绒在防御这类未知的ransomware方面做得很好。

6.天鹅绒有加入人工智能引擎和云引擎的计划吗？360的高检出率是因为360集成了QVM引擎。我扫描样本的时候，几乎30%的举报方式都是云QVM，对杀防能力帮助很大。

回答:“人工智能引擎”是近年来的热门话题。与其他新老厂商不同，天鹅绒安全团队对此持谨慎态度，或者有不同的选择。

“人工智能引擎”、“机器学习引擎”等等本质上都是基于统计算法对有限特征的机器建模。这些技术当然有用，但是从结果来看，算法得到的结果都是统计分类结果，结果模糊不清，不可阻挡。

这种算法在反病毒实验室的应用，可以提高整体分析和响应效率，但如果直接应用到终端用户，就要考虑到虚警、不可解释等问题。天鹅绒将在合适的时间和合适的场景中应用“人工智能”和“机器学习”等算法。

至于云，火绒也会适时推出。

此外，天鹅绒对统计引擎和云引擎的态度在天鹅绒:http://down4.huorong.cn/doc/technology/cobra.pdf出版的技术白皮书中有更详细的解释

七.天鹅绒有加入邮件保护和隔离沙箱的计划吗？既然天鹅绒的检测率不高，我觉得应该有一个隔离沙箱来隔离可疑文件。

答案:1。邮件保护。“天鹅绒企业版”已经添加了这个功能，下一个版本也会添加个人版。

2.隔离沙箱，必要时考虑引入火绒。

你说“火绒检出率不高”，我们有所保留。以上两个功能加不加无关紧要。

如果您在实践中遇到tinder无法检测到的可疑程序，请随时联系我们。

八、强烈建议天鹅绒把家长控制的功能分离出来，放到工具箱里

回答:谢谢。您的建议已转发给产品经理进行评估。

九、我个人认为天鹅绒的防御能力还是很强的，不仅拦截已知病毒，还拦截一些安全加固中的冒险行为。如何看待天鹅绒安全加固？

回答:谢谢大家的赞同。无论是“安全加固”还是其他防御措施，都是基于对病毒行为的认知。所以天鹅绒团队始终以病毒分析为核心工作，而不是简单的获取样本后再添加数据库。

十、虽然官方说火绒的使用率很低，但我觉得火绒占用CPU，导致电脑卡慢，特别是最高防护等级和扫描开启时，火绒启动慢。

回答:最高防护等级和高速扫描开启时，天鹅绒会占用更高的CPU。使用该功能的前提是用户暂时没有其他任务，想尽快完成扫描任务，比如办公室午休。

反病毒引擎的扫描过程本质上是计算，占用CPU时间，CPU时间的多少取决于计算的复杂度。简单的文件哈希计算、统计矢量化、匹配等操作可以忽略，而启发式评估、虚拟沙盒等操作都是数据密集型操作，反病毒引擎在实际扫描过程中占用CPU是正常合理的。

当然，天鹅绒一直在努力优化整体效率，比如引入扫描缓存机制。安装后，第一次扫描可能会很慢，后续扫描会更快。

如果您遇到困难或起步缓慢，请随时联系我们。

十一、火绒现在有漏洞入侵拦截和讹诈诱捕功能，那么现在火绒的讹诈防护应该可以了吧？

答:天鹅绒对于防范和处理勒索是相当有信心的。

1.天鹅绒防火墙中的“漏洞攻击拦截”功能是我们最有力的手段。该模块从网络数据层面对漏洞攻击模型进行分析、识别和拦截，阻止所有威胁程序的入侵，并能记录攻击发起者的IP地址，便于追踪攻击来源，彻底根除单位网络中的传染源。

2.天鹅绒病毒防御——恶意行为监控模块也有勒索诱捕功能，也能起到一定的作用，但远不如“漏洞攻击拦截”强大。

3.正如我们一再强调的那样，火绒产品是一个“反病毒、主动防御和防火墙”深度融合的多重防御系统，也是一种多重防范手段。

据一些已经部署“天鹅绒企业版”的政府和企业用户反映，一些单位的ransomware疫情非常严重，是单位网络面临的最大问题，尤其是那些仍在使用Win7和XP的内网用户。天鹅绒产品在应对这些勒索软件疫情上效果明显，多种措施同等重要，基本可以根治疫情。

12.为什么样品区火绒检出率很低？但是，智力的检出率很亮。天鹅绒没有强大的虚拟沙盒吗？求官方解释。

回答:关于破案率这个话题，天鹅绒曾经在《谢谢提问，我们来解释一两个》中给出了答案。详情请见:https://zhuanlan.zhihu.com/p/41235525。

再次，如果您在实际应用中遇到问题，请随时联系我们。