日有卡飯網(wǎng)友向火絨提出12個問題,從產(chǎn)品性能到核心技術(shù)。這些問題非常棒,無論提問者是網(wǎng)友還是友商,火絨團隊都非常愿意一起探討。我們嘗試一一作答如下。
一、本人經(jīng)常在卡飯樣本區(qū)轉(zhuǎn),發(fā)現(xiàn)很多次測試里面,火絨和國外知名殺軟對很多病毒都是修復(fù),360也修復(fù)了一些,但是國內(nèi)的金山,電腦管家對病毒幾乎都是刪除。火絨官方人員,火絨對感染型病毒的修復(fù)能力個人感覺很強大,請火絨官方軟件解答一下這個問題。
回答:感染型病毒(virus)會將惡意代碼插入到正常文件中,如果直接刪除,用戶文件也會丟失。很顯然,針對這類病毒最好的處理方法是:將病毒插入的惡意代碼清除,保留原始文件,不給用戶造成損失。
火絨認為,對感染型病毒以及宏病毒盡量采用清除而非刪除處理,是反病毒引擎必須具備的能力。我們選擇了這條比較難的路,會一直努力。
如果遇到了火絨不能有效清除的樣本,請隨時聯(lián)系我們。
二、火絨的報法中很多都是HVM開頭,這是火絨虛擬沙盒的報法,請問官方人員,火絨的虛擬沙盒在病毒檢測中是不是起了重大作用?因為火絨的病毒庫很小,不依靠虛擬沙盒很多病毒應(yīng)該都檢測不出來吧。
回答:首先,火絨引擎中的"虛擬沙盒"基于虛擬機技術(shù),是重要的檢測技術(shù)手段之一,作用的確很大,這和傳統(tǒng)的靜態(tài)檢測有很大區(qū)別,也是火絨的技術(shù)特點之一。詳情請參閱:http://down4.huorong.cn/doc/technology/cobra.pdf。
其次,火絨的病毒庫小,是因為我們采用新的引擎等底層技術(shù)所致,絕不是以犧牲檢測率為代價的,請放心,火絨不會為了追求"小"而本末倒置。
再次,"虛擬沙盒"是火絨引擎不可分割的部分,沒法摘開了談,實際應(yīng)用中不會出現(xiàn)"不依靠虛擬沙盒"這樣的情況。病毒庫與虛擬沙盒有關(guān)系,但并非完全關(guān)聯(lián),說來復(fù)雜,詳情請參閱白皮書:http://down4.huorong.cn/doc/technology/sandbox.pdf。
最后,如果遇到了火絨檢測不到的可疑樣本,請隨時聯(lián)系我們。
三、聽火絨論壇有人說火絨的腳本行為沙盒很強大,對未知腳本檢出率很高,大家覺得呢?
回答:腳本病毒變形和混淆是常見的反病毒難題,傳統(tǒng)的特征檢測方式不能很好地應(yīng)對,關(guān)于火絨"腳本行為沙盒"請參閱:http://down4.huorong.cn/doc/technology/script.pdf。
四、樣本區(qū)測試火絨時很多時候都是掃描未發(fā)現(xiàn)風險,雙擊報毒,請問官方人員,這是怎么回事?這不會對電腦產(chǎn)生危險嗎?掃描又不報毒。
回答:"火絨安全軟件"構(gòu)建了多重的、立體的防御體系,除了本地掃描引擎以外,還有基于系統(tǒng)監(jiān)控的動態(tài)病毒行為識別等防御措施。您說的掃描不報,雙擊報毒應(yīng)該屬于這類,也就是說,對于靜態(tài)掃描沒有檢測到的"漏網(wǎng)之毒",火絨還有動態(tài)防御等舉措來攔截,很顯然,這只會讓電腦更安全。
火絨官網(wǎng)的"火絨安全解決方案"第三章對此有專門介紹。
五、官方說火絨有未知病毒防御,請問這是指未知病毒被火絨的惡意行為攔截和系統(tǒng)加固阻止了未知病毒的風險行為而使得未知病毒無法破壞電腦嗎?火絨的未知病毒防御對抗未知病毒的能力如何?
回答:未知病毒防御是個寬泛的概念,火絨對于未知病毒的防御,同樣通過多種手段,多重防御,既有惡意行為攔截,也有系統(tǒng)加固,還有防火墻的參與。
至于對未知病毒的防御效果,也要具體看是哪些種類的未知病毒,有些方面我們做得還可以。譬如火絨的"漏洞攻擊攔截"功能,能夠有效攔截"永恒之藍"等高危漏洞傳播的病毒,無論已知還是未知,而據(jù)統(tǒng)計,95%以上的勒索病毒感染案例,是通過這個漏洞進入用戶電腦的--您可以說,針對這一類未知勒索病毒的防御,火絨做得還行。
六、火絨是否有計劃加入人工智能引擎及云引擎?360的檢出率很高是因為360集成了QVM引擎,我在掃描樣本時幾乎30%的報法都是云QVM的報法,這對查殺防御能力有很大的幫助。
回答:"人工智能引擎"是近年來的熱門話題,跟其他新、老廠商不同的是,火絨安全團隊對此抱著謹慎的態(tài)度,或者說,有著不同的選擇。
"人工智能引擎"、"機器學習引擎"等等其本質(zhì)上是對有限特征基于統(tǒng)計學算法的機器建模,這些技術(shù)當然有用,但從結(jié)果上來說,算法得到的結(jié)果是統(tǒng)計學意義上的分類結(jié)果,并且這個結(jié)果是模糊且不可闡述的。
這類算法在反病毒實驗室內(nèi)部應(yīng)用可以提高整體分析、響應(yīng)效率,但若直接應(yīng)用到終端用戶,則要考慮使用它帶來的誤報和不可闡述性等問題。火絨會在適當?shù)臅r機、適當?shù)膱鼍跋聭?yīng)用"人工智能"、"機器學習"等算法。
至于云,火絨同樣會在適當?shù)臅r候引入。
另外,火絨對于統(tǒng)計學引擎以及云引擎的態(tài)度,在火絨公開的技術(shù)白皮書中有更詳細的說明:http://down4.huorong.cn/doc/technology/cobra.pdf
七、火絨是否有計劃加入郵件防護和隔離沙箱,火絨既然檢出率不高,我覺得應(yīng)該有一個隔離沙箱隔離運行可疑文件。
回答:1、郵件防護,"火絨企業(yè)版"已經(jīng)加入該功能,個人版也將在下個版本中加入。
2、隔離沙箱,火絨在必要時會考慮引入。
您說"火絨檢出率不高",我們保留意見,是否加入上面兩個功能,于此無關(guān)。
如果大家在實際中遇到了火絨不能檢測的可疑程序,請隨時聯(lián)系我們。
八、強烈建議火絨把家長控制這個功能獨立起來,放在工具箱里面
回答:謝謝,您的建議已轉(zhuǎn)交產(chǎn)品經(jīng)理評估。
九、我個人認為火絨的防御能力還是很強的,不僅僅是對已知病毒的攔截,還有系統(tǒng)加固攔截一些風險行為,大家覺得火絨的系統(tǒng)加固怎么樣呢?
回答:謝謝您的認可。不管是"系統(tǒng)加固"還是別的防御措施,根本上都是基于對病毒行為的認知,因此火絨團隊始終將病毒分析作為核心工作來做,而不是獲取樣本后簡單的加庫。
十、雖然官方說火絨的占用很低,但我覺得火絨比較占用CPU,導(dǎo)致電腦卡慢,尤其是開啟最高防護級別和掃描的時候,火絨的開機啟動也比較緩。
回答:火絨在開啟最高防護級別和高速掃描時會占用較高的CPU,使用該功能的前提是,用戶暫時沒有其他任務(wù),想要盡快完成掃描任務(wù),譬如辦公室午休時間。
反病毒引擎的掃描過程,本質(zhì)上來說是計算,計算是需要占用CPU時間來獲得的,而對于CPU時間占用的多少則取決于計算的復(fù)雜度。簡單的文件哈希計算、統(tǒng)計學向量化及匹配等操作的計算量是可以忽略不記的,而啟發(fā)式評估、虛擬沙盒等操作則是數(shù)據(jù)強計算型的操作,所以反病毒引擎在真正的掃描過程當中占用CPU是正常且合理的。
當然,火絨一直在嘗試優(yōu)化整體效率,例如引入掃描緩存機制等。安裝后第一次掃描可能會比較慢,后續(xù)再次掃描就會比較快。
如果您遭遇到卡頓、啟動緩慢等情況,請隨時聯(lián)系我們。
十一、火絨現(xiàn)在已經(jīng)有漏洞入侵攔截和勒索誘捕功能了,那現(xiàn)在火絨的勒索防護應(yīng)該可以了吧?
回答:對于防治勒索病毒,火絨還是蠻自信的。
1、火絨防火墻中的"漏洞攻擊攔截"功能(不是"漏洞入侵攔截")是我們最有力的手段,該模塊從網(wǎng)絡(luò)數(shù)據(jù)層面分析并識別并攔截漏洞攻擊模型(比如高危漏洞永恒之藍),阻止勒索軟件等所有威脅程序的入侵,并能夠記錄攻擊發(fā)起者的IP地址,方便進行攻擊溯源,徹底鏟除單位網(wǎng)絡(luò)中的感染源。
2、火絨病毒防御-惡意行為監(jiān)控模塊中還有勒索誘捕功能,該功能也能起到一定作用,不過遠沒有"漏洞攻擊攔截"那么強。
3、正如我們反復(fù)強調(diào)的,火絨產(chǎn)品是"反病毒、主動防御和防火墻"深度融合的多重防御體系,針對勒索軟件的防范,也是多重措施。
從一些部署了"火絨企業(yè)版"的政府、企業(yè)用戶來看,有些單位勒索病毒疫情非常嚴重,是單位網(wǎng)絡(luò)面臨的最大問題,特別是那些還在使用Win7、XP的內(nèi)網(wǎng)用戶。火絨產(chǎn)品處理這些勒索病毒疫情效果比較明顯,多重舉措并重,基本上能根治(官網(wǎng)和微信公眾號中有若干案例)。
十二、火絨怎么在樣本區(qū)檢出率很低呢?而智量的檢出率卻很亮眼,火絨不是有強大的虛擬沙盒嗎?請官方人員做個解釋。
回答:關(guān)于檢出率這個話題,火絨曾在《感謝您的質(zhì)疑,容我們解釋一二》里作過回答。具體內(nèi)容請看:https://zhuanlan.zhihu.com/p/41235525。
再啰嗦一句,如果您在實際應(yīng)用中遇到問題,請隨時聯(lián)系我們,隨時。
我在幫助大家解決問題時,會見到這樣的內(nèi)容:
“這東西打不開怎么辦!!!”
“Office怎么安裝不上?!”……
遇到錯誤不知如何解決甚至如何搜索?
遇到錯誤不知如何有效求助?
其實Windows早已默默的將諸多信息記錄成日志,以便你排查問題。當然,因為是記錄日志,想追蹤窗口之類的就甭想了而且也并非所有內(nèi)容都能記錄——不過絕大部分我們需要的都有記載,足夠使用。
本文以Win10 1703為基礎(chǔ),其他系統(tǒng)略同(XP以及更老的系統(tǒng)也差不多一樣)。
打開
只介紹我經(jīng)常用的辦法:
·右擊“此電腦”——管理——系統(tǒng)工具——事件查看器(因系統(tǒng)不同,右擊的圖標名稱可能名為“我的電腦”/“計算機”/“這臺電腦”,這些大家應(yīng)該都懂~)
·Windows+R 運行:eventvwr
就是這個了:
1.左側(cè):展開“Windows日志”,根據(jù)情況選擇“應(yīng)用程序日志”/“系統(tǒng)日志”/“安裝程序日志(Win7:Setup,Win10:設(shè)置)”;
2.右側(cè):選擇查看其中的錯誤/警告等信息,在下方即可看到日志記載的信息。
【注意】雖然“常規(guī)”中顯示的記錄可能只有一行,但是錯誤信息可能有多行,所以建議將下方分隔欄向上適當拖動,以使下方更多顯示,否則可能會認為錯誤信息只有一行(見上圖);
1.若是Windows的錯誤,首先建議在微軟中國(https://www.microsoft.com/zh-cn)搜索,語言不限,一般能找到答案。;其次是專業(yè)問答社區(qū)搜索,比如我們機械師論壇,還有遠景、卡飯等眾多論壇;
2.文章的搜索,或者說大部分Discuz!的搜索都很坑,我們可以用搜索運算符解決。
1.百度/必應(yīng) 搜索格式:
關(guān)鍵字-(教程)如:
如:
機械師筆記本site:toutiao.com
2.【注意】不同元素要有空格分隔;site為指定網(wǎng)站內(nèi)搜索,后面不能是www或http開頭;后面的-(卡飯教程)等字詞是為了去掉萬惡的卡飯教程的干擾;關(guān)鍵字、site等元素位置不限。
3.搜狗/好搜/有道(實質(zhì)為好搜)這三個搜索引擎因沒有完善的運算機制,上述方法不可用。
有效篩選
因為信息量較多,所以我是先建立一套自定義視圖,方便查看。右擊“自定義視圖”——“創(chuàng)建自定義視圖”,“事件級別”除了“信息”以外全部勾選;
“事件日志”勾選“windows日志”中的“應(yīng)用程序日志”、“系統(tǒng)日志”、“設(shè)置”三個類別,起個名字,確定OK~
以后一旦遇到問題,直接看自定義視圖,能方便一些。
程序無法運行-win7 sp1 x64系統(tǒng)應(yīng)用程序的錯誤日志
VC2008運行庫已經(jīng)安裝了,怎么會出現(xiàn)這個錯誤日志,錯誤日志顯示與VC2008 9.0 21022 8有關(guān),可是我電腦里只安裝了VC2008 9.0 30729和VC2008 9.0 30729 4148,又沒有安裝VC2008 9.0 21022 8
這個問題是QQ游戲不能玩,屬于“應(yīng)用程序”類別。通過事件查看器發(fā)現(xiàn)錯誤,其中(尤其在詳細信息頁面)發(fā)現(xiàn)關(guān)鍵字“Microsoft.VC90.DebugCRT”可知是VC運行庫的問題,卸載重裝VC運行庫后問題解決。
無法正常開機
開機進入安全模式,運行msconfig,選擇“引導(dǎo)”,勾選:“引導(dǎo)日志”,確定重啟。重啟必定是失敗的,但此時已經(jīng)詳細記錄了到哪里失敗以及原因,重新進入安全模式,打開事件查看器,即可找到失敗原因,然后在網(wǎng)上搜索相關(guān)解決方式。
查看藍屏原因
首先要進行設(shè)置。右擊 計算機/此電腦 等 —— 高級系統(tǒng)設(shè)置 —— 啟動和故障恢復(fù) —— 勾選 “將事件寫入系統(tǒng)日志”,之后就可以在事件查看器查看藍屏原因了。
無法修復(fù)Office
樓主曾經(jīng)莫名遇到的問題,Office打不開,修復(fù)不成功。打開事件查看器后,發(fā)現(xiàn)是 找不到注冊表的某個鍵 ,于是自己打開注冊表編輯器,手動創(chuàng)建了一個,問題解決。
在哪里求助
如果根據(jù)上面的方式發(fā)現(xiàn)自己依然不知道如何排除錯誤,可以在卡飯/遠景等論壇,或者軟件官方論求助解答。微軟產(chǎn)品求助也建議在微軟社區(qū)當然每個品牌的的官網(wǎng)論壇都是可以去弄的比如機械師官方論壇。
求助需要的信息
你要做的:打開事件查看器,將其中相關(guān)的錯誤復(fù)制上來。
·右擊相關(guān)的錯誤——復(fù)制——將詳細信息復(fù)制為文本
·【不推薦】左側(cè)右擊對應(yīng)欄目——將所有事件另存為
這種方法體積較大,只有在上一條方法不行的情況下再這樣。
接下來,將內(nèi)容粘貼到求助帖上。同時告知:
·Windows 版本(右擊 我的電腦/計算機/這臺電腦/此電腦 ——屬性)
·現(xiàn)象
·之前做過些什么
·為了解決這個錯誤,你做過哪些,但是失敗了
說到這希望能幫助大家 然后系統(tǒng)很脆弱的 不要隨便亂搞 一面一時半會的玩不了機器