本帖最后由 夜微凉 于 2013-7-9 22:55 编辑
1.为什么开机后费尔加载防御很慢?
答:默认设置会靠后启动,先启动核心的,再逐渐全额加载,降低对电脑启动速度影响。配置中去掉“降低对电脑启动速度的影响”应该有改善。亲测去掉这个选项后加载快了,如果对开机速度没有苛刻要求的可以考虑去掉这个选项,我去掉后开机速度没有慢多少,就是加载桌面时慢几秒而已。但是默认加载也基本不会影响安全,核心的仍会第一时间启动。
2.费尔的修复能力怎么样?
答:动态防御的修复能力基本上已经很好了。对感染后的文件修复以后会提升。目前对宏病毒修复能力有待加强,但识别还行,主要用于防范。
3.为什么还没有云联动?
答:现在的动态防御是和云联动的,扫描的云联动以后会有,现在在集中精力做其他方面。
4.费尔高启发误报很高怎么办?
答:启发的误报控制的还可以,但无法根除。高启发类的技术总会存在一定的误报,遇到后请及时反馈,我们加白修正。目前看反馈的误报量在逐渐下降,在好转。普通用户默认设置就可以,不容易产生误报。
5.费尔的员工有多少?用户量有多少?市场主要在哪?
答:目前费尔拥有员工十几人,团队不大,主要负责国内,国外有一些朋友在帮忙。用户400万左右,市场主要在大陆、台湾和新加坡,现在主要在做引擎输出,和一些海外合作项目的开发。用户量大陆多,但资金来源多是靠国外费尔。在加拿大的市场,晚起步需要一个过程。费尔到那边主要做本土化的工作,然后再考虑如何推出去。不过在其他更多国家也有进展,前景乐观。
6.费尔是否会参加一些国际测试?
答:会,2012年12月份以后会参加VB100,只要支持的系统每月都会积极参加。v8支持32和64位系统,应该会经常参加。
7.为什么我的防御开机后一直不加载?为什么安装后无法更新?为什么授权出问题了?
答:这种疑难问题最为难处理,因为我们无法重现抓不到,用户偶尔才出现,远程操作和调试也困难,需要不断摸索碰机会。请出现此类问题的用户积极反馈。推荐方法是重装费尔
8.费尔下一版本会有什么变化?
答:首先说明一下,费尔下一个版本不会是FIS,FIS将会于明年出来,而且可能会偏晚一些。费尔下一个版本是V8 R2,R2将支持对apk文件的识别,把云鉴定加入右键菜单,但是暂时依然不会把云鉴定与扫描联动。同时还会集中完善一些细节方面,修正部分BUG。
9.费尔MVM虚拟机,有什么作用,时间数值调整后会怎样?
答:MVM虚拟机是一个极度复杂的虚拟仿真系统,它能解析并模拟几乎全部的CPU指令、数千个API函数,并对木马、病毒经常涉及的一些硬件进行仿真,让目标程序在一个虚拟的隔离环境中运行,并将自己的真实意图充分暴露,一旦发现有恶意目的即可被侦测,而同时也决不会影响真实系统。MVM中的启发分析系统分为两部分:静态启发,动态启发。静态启发不需要依赖于虚拟机可以独立工作。但无法有效识别加壳和变形病毒,而动态启发部分则可以有效弥补这一点。MVM虚拟时间长,侦测率相对会更高,但同时误报也会更高,经常使用边缘程序的人不建议开的过高,不会处理误报的也不建议开的过高,请用户根据自己需要和能力适当设置,普通用户默认设置即可。另外根据反馈,启发过高可能导致系统略卡,具体请大家自行测试,我最高启发,虚拟机防御10000毫秒,扫描30000毫秒不卡 。
10.云鉴定的原理和相关问题解释?
(1)动态防御和云是联动的,如果双击某样本,动态防御没有拦截,而此时,云鉴定也没完成。一段时间后,再次双击样本,动态防御拦截,因为云鉴定完成并判毒了,那么第一次动态防御放过的会不会回滚?而且云鉴定完成后,不会对于第一次的双击报毒,只有第二次双击才会报毒?
答:会一并回滚,第二个问题的话,这是因为时间延迟,第一次双击云端还没有来得及反馈结果的原因。如果样本持续不退出那么等待云端有结果后不用第二次双击也会报警。
(2)费尔云鉴定的原理是什么?
答:云端的鉴定目前主要分启发和行为鉴定,其实费尔的动态防御2.0就是完整的云端鉴定系统,所以一般不需要再提交到云上。但是把样本放在云端虚拟机上跑会更大胆一些,所以有时鉴定的结果会与本地有所不同。但由于本地更接近真实和实际环境,所以我们还是建议以本地的动态防御的鉴定结果为准。有时候动态防御要等到云鉴定完成才报毒,那一般是主防与云联动引发云端的非行为鉴定器起作用了,行为鉴定在本地就能做出来。这种样本一般是在用户电脑中当时没有发作危害行为,但可能在其他用户的电脑中发作过,在云端查询到后再反馈回来,这段延迟别后回滚一下也可以完整清除。这种云的模式就是iRobot8 EVAENT中枢神经系统,也是EVANET安全神经网络系统第二阶段功能的体现。
11.费尔防火墙与费尔全功能版、注册、价格等相关消息与解释?
答:很多人问防火墙与全功能版的问题,可以肯定的是,防火墙会有的,FIS也会有的。
新版防火墙将支持64位,支持win7 win8 ,新版防火墙的内核将更加强壮。提供更加专业和更灵活的规则控制。可能在个人版中提供企业级的网关过滤功能。防火墙发布时间官方消息为明年年中偏后。防火墙应该还会有单独版,以单墙形式出现。但是费尔全功能版会整合防火墙,形成真正的费尔全功能安全软件,或者叫费尔互联网安全套装之类的。
收费问题上,官方价格是119终身版,多用户版的话有更大优惠,淘宝价格偏低一些,但是淘宝没有安全保障,丢失激活码后很难找回。但官方购买的可以凭借购买信息找回。另外未来的防火墙是否收费,这个尚且不知,理论上是收费的。到FIS出来之前激活的FAV激活码可用于以后的FIS,但FIS出来以后FAV激活码将不可以激活FIS,这也说明FIS价格会比FAV更高,同时也说明,单墙会收费(推测)。
另外请牢记你的激活码与注册信息,换电脑换系统只要输入激活码和原注册信息即可激活。新用户最好到官方备案,以防丢失激活码或者激活码归属争端(一般指二手激活码和淘宝买的账号)。
12.费尔导致蓝屏怎么办?
答:费尔蓝屏情况是个例的,大部分没有问题。蓝屏一般与系统坏境有关,蓝屏后请注意看蓝屏代码,是否是费尔造成,蓝屏首先考虑是否还有其他安全软件存在。如果是费尔导致的,请开启并找到核心内存转储(完全内存转储)【win7为例:控制面板-系统和安全-系统-高级系统设置-启动和故障恢复-写入调试信息-选择核心内存转储】,不要小内存转储。打包dump文件(C盘windows文件夹里面)发送到filseclab@163.com,并说明系统坏境和是否有其他安全软件,如果可能说明一下一般什么操作时蓝屏就最好了。由于官方对于蓝屏是集中更新的方法解决的,所以你的蓝屏问题不会很快解决,需要等到下一次集中更新。等待期间你可以修改设置,比如调低自保动态防御等看看能不能解决或者缓解。蓝屏个例情况需要用户积极反馈,不能只光催促官方解决却不提供相关信息。另外我也会积极督促官方解决这些问题。
13.如何找回丢失的激活码?
答:可靠方法有两个。第一,官方渠道(“中国共享软件注册中心(斑马网)”、“105数字商城”、“华军软件商城”)购买的找回方法:http://www.filseclab.com/zh-cn/findcode.htm。第二,非官方购买的,可以通过备案的信息找回,备案方法:http://bbs.kafan.cn/thread-1291297-1-1.html。所以非官方渠道购买的最好去备案。还一个不是特别靠谱的方法就是告诉官方你的注册邮箱,让官方给你找,这个方法目前适用,但不提倡,非不得已不要使用这个方法(比如你是很早以前购买的,订单号和激活码都忘了也没有备案的情况下),因为有人可能用这个方法恶意窃取他人激活码,容易产生纠纷。
14.费尔动态防御评分机制是什么?
答:针对卡饭动态防御测试结果的质疑可以放心,卡饭测试时的命名规则是不会触发动态防御的名称规则的,也就是说测试结果是没有问题的,用户可以自己下载并改名测试。具体原因是费尔动态防御的名称规则通常是在实际病毒测试过程中,病毒发作后实际生成的一些奇怪的、有规律性的、而且出现率比较高的文件名称,比如非常出名的 svch0st.exe,iexpl0re.exe,以及对个别病毒有针对性的文件名称,比如:k23449222.sys 就是一个病毒常常生成的文件,它有 k+8个数字的规律。这些规律都是根据实际的病毒总结出来的,而不是随意制定的,所以卡饭的文件名:081212-1-4.exe 这种格式并不会触发它的文件名规则。另外根据动态防御评分级别可以判断是否有文件名参与评分,动态防御显示的格式类似 47.13008900,可以从小数点后面倒数第三位的数字来判断,如果这个数是 1,3,5,7,9,b或d表示有名称参与评分,否则表示没有名称参与评分,这个例子倒数第三位是9,所以有名子参与评分。名称参与评分也是一个复杂的过程,比如像 svch0st.exe,iexpl0re.exe这种很明显的伪装就会被加上很高的分数,而对于 k23449222.sys 就往往还需要配合其他条件,比如它运行在 C:\Windows\System32 目录下就会加上很高的分数,而运行在非系统目录就会加上较低的分数。根据我们实际测试结果,病毒往往随机生成一些无规律纯数字文件名或16进制数字文件名,所以对于数字文件名往往会被增加一些分数,当然这存在一定的误报风险,所以都会辅助其它条件加减分后综合判断。总之,这些规则都是根据实际测试病毒时总结出来的。经我们实际测试,此方法确实是行之有效的,可以及时发现并阻止特定种类病毒衍生出来的新的变种,当然这个技术只是用来针对某些特定种类的病毒,对于没有这些规律的病毒还需要依靠动态防御的其它技术来判定。其它技术主要还包括线程插入,DLL注入,自我隐藏进程,自我隐藏目录,加壳等几十种判定技术,牵扯到技术机密就不一一列举。
15.设置费尔简单介绍?
答:对于这个问题,我的观点还是因人而异。纯小白建议不要启用专家模式,一切默认即可。费尔设置无非就是为了防御更强或者更流畅,费尔V8设置中启发的高低,MVM时间长短,动态防御和注册表防御高低是决定费尔防御力的关键所在,这些值越高防御越强,但是同时的误报和资源占用也增加,尤其是启发和MVM对CPU影响极大,如果没有足够能力判断误报或者没有耐心去信任,就不要调的太高。我的建议是实时防御和嵌入扫描启发选择基本就行了,手动扫描可以开到最高。动态防御如果有判断力的话建议开到最高,中和高等虽然只差一个但是远不是一个档次。
16.费尔关键设置详细介绍?
答:实时防御
主要动作的意思是报毒后怎么操作,自动改名还是删除还是隔离还是清除,还是只报告不做任何操作,个人建议选择只报告,发现毒后弹窗提醒就是。
次要动作的意思是当主要动作失败了接下来怎么做,比如主要动作是清除,发现病毒但是这个病毒无法清除,这时次要动作就有作用了,个人建议选择只报告。
启发式扫描,实时防御时你想要多大的启发值,按启发高低有基本、静态、动态、最高四个等级,动态和最高都拥有虚拟机脱壳能力。静态等级以上可以设置MVM虚拟机时间。启发和虚拟机越高侦测率越高,CPU占用越大,误报越大。个人建议基本就行了,勾选恶意代码分析检测宏病毒。
扫描压缩文件,即实时检测压缩文件,默认即可,
以下没什么解释,默认即可,如果启发选择基本的话,使用断点恢复就不用勾选了。
手动扫描
和实时防御设置界面一样,功能一样,推荐主要操作次要操作只报告。
启发看个人需要,根据电脑配置和判断误报能力,启发级别任选。个人建议启发最高,MVM虚拟机时间30000毫秒,勾选恶意代码分析。
压缩文件扫描建议最大文件设置为20-30MB,去掉不自动处理压缩文件
使用断点恢复,即扫描过程中可以停止扫描,记录扫描位置,下次接着扫描,建议勾选。
智能提速,加快扫描速度,建议勾选。
日程扫描
即计划扫描,在主界面工具里可以设置,设置同手动扫描。
嵌入扫描
可以下载保护,扫描即时聊天工具接收的文件,扫描邮件等,设置推荐同实时防御(扫描压缩文件保持默认设置)。
动态防御
即主动防御,费尔精髓所在,个人建议开到最高,如果不能判断误报请默认。
注册表防御
默认是不开启的,可以保护注册表不被篡改,但是弹窗比较专业,不懂的不建议开启
负载均衡
智能调节病毒库载入量,配置足够时默认全部加载,只有资源不足时才会智能调节,主要指占用内存。低内存机子选择指定内存载入量和内存限额,具体多少看你的配置自行选择,个人建议默认。
自我保护
费尔的自保设置,个人建议默认即可,以免发生不可预知问题
系统加固
包含系统保护、蓝屏保护、缓冲区溢出保护等,个人建议默认即可,有能力的识别的用户可以都选择”询问我如何处理“不选择其他
剩下设置不是很重要,不用管
17.费尔病毒库问题?
答:病毒库无法更新的情况请更换服务器或者稍后再试,还是不行请重装。病毒库错误的情况请重新下载病毒库,或者重装
18.费尔卡右键怎么办?
答:参考这里http://bbs.kafan.cn/forum.php?mod=viewthread&tid=1493204&highlight=%BF%A8%D3%D2%BC%FC
| 
[复制链接]
发表于 2012-11-28 13:25:59
发表于 2012-11-28 13:28:07
