查看: 34943|回复: 104
收起左侧

[分享] 关于火绒的反病毒引擎Cobra(眼镜蛇)介绍+火绒安全概览+简略心得(2015-2更新主帖)~

  [复制链接]
月影天心
发表于 2015-1-12 17:08:04 | 显示全部楼层 |阅读模式
本帖最后由 月影天心 于 2015-2-2 17:25 编辑

反馈问题及建议,建议直接火绒官方论坛反馈,问题的回复和处理将更加高效:http://bbs.huorong.cn

本帖于2015-2更新。



以下转自火绒官方说明,出处
COBRA简介:
    火绒安全实验室针对国内病毒安全新形势专门研发的“Cobra”杀毒引擎。新引擎以HVM虚拟化为基础,并整合了火绒通杀、启发、快速木马、宏等病毒查杀模块。以很小的病毒库与资源消耗达到较为理想的扫描效果,避免用户玩游戏时需要关闭安全软件的尴尬局面。

引擎结构:
火绒引擎核心调度器
    针对扫描目标调度相关的扫描核心进行处理,包括:感染型扫描、宏扫描,启发扫描、多模扫描...等

火绒对象类型识别引擎
    负责对扫描对象的内容识别类型,指导火绒”调度逻辑“并未行为分析系统提供静态属性判断支持。

火绒虚拟脱壳引擎
    通过火绒HVM虚拟机实现深度虚拟执行,灵活“控制”执行。

火绒自适应病毒DNA数据库
     通过细粒度分解、重组复用病毒特征。在保证低膨胀率的基础上实现高检出率。

HVM介绍:
    反病毒虚拟机是杀毒软件的基础支持技术,是杀毒软件引擎的标准配置。而HVM虚拟化技术是传统杀毒软件使用的虚拟机下一代解决方案:通过HVM技术将病毒代码控制在“指令沙盘”中运行,利用病毒自身的解密、脱壳等代码将病毒还原。由于采用硬件虚拟化其指令的“执行”效率比纯模拟的方式效率提高数十倍,为脱壳、启发等扫描应用提供了坚实的基础支持。

    火绒2.0版本将已有的HVM一步的改进发展为多平台的通用虚拟化cpu解决方案(支持mac、linux、windows等x86平台系统),大大提升了对壳、通杀、启发模块的基础支持、并为后期硬件产品等其它安全产品对火绒引擎的使用打下基础。

引擎对宏、感染型病毒的清除:
    由于代码感染类病毒的特殊性(特别是WORD文档类宏),对这类病毒的清除而不是删除变得尤为重要。在清除病毒代码后尽量保证用户的有用文档的可用性是我们追求的最终目标。

引擎支持平台:
     Windows x86 /x64
     Linux x86/x64
     MacOSX  x86/x64

最后:
     杀毒引擎是杀毒软件的基础,但好的杀毒软件离不开热心用户的支持。欢迎给火绒提交问题、不能有效查杀的样本。
     火绒用户中心:http://i.huorong.cn
     引擎支持的脱壳测试列表(目前支持300多种不同种类(版本)的壳):http://bbs.huorong.cn/thread-39-1-1.html

个人心得:
    火绒查杀引擎以下一代虚拟化技术(硬件虚拟化)为根基,其架构和执行效率(查杀速度、解包速度等)还是非常不错的,查杀率略有不足,这和官方人手不足、样本收集力度不足、暂无云机制等多个因素有关,当然引擎本身的启发也需要加强。所幸的是,经过几个月的内部修整和优化,自2015-1-28日2.5.0.55版本开始,火绒更新将步入常态化,每周三一个大版本,每周一、三、五更新病毒库,无大版本更新则顺延,有紧急程序问题或病毒爆发,也会即时修正及更新病毒库,大赞~~~
    主防方面是火绒的重点,火绒新版本大幅改进了防御机制,采用多步+单步拦截,单步体系能够很好的保护重要文件、核心项目与注册表免受各种流氓软件和恶意程序的篡改,单步开高后相当于一个手动HIPS,每个程序都能定制行为权限;多步则是防御未知威胁的利器,依托多步智能主防,仅通过考察程序行为,在未入库的情况下即能识别并拦截绝大多数威胁。之前在虚拟机下跑了几个感染型样本,效果还是很不错的。

   此外,火绒2.5采用了新的同步阻断模式,与之前的异步阻断相比,同步阻断能够在威胁侵害的同时进行拦截并进行还原修复流程(即时),而不是等到行为运行结束后再进行拦截、回滚(差时),因此安全性更高。配合多步规则,火绒防护未知威胁的力度还是不错的。

   新版本中,官方细化了对动作发起进程的监控粒度,增加了对CMD启动BAT、RUNDLL32启动DLL等宿主类程序的处理。这样的好处是能够更加精确地处理“白加黑”类攻击方式。

   本人认为,在目前的网络环境下,保持良好的上网习惯,虽然目前查杀稍有不足,但整体防御力度十分优秀的火绒完全可以单奔(兼容性也非常好)~


自由定制,也可以自己DIY相应规则增强火绒的拦截力度:


自定规则,非常简单、好用:




通讯防护,注意在x64下是没有这个模块的:


再来几张网络管理模块,功能比较简单,但实用性还是很强的,实现对电脑内所有联网程序的统一管理:


轻松查看偷偷上传数据的程序:


能够轻松禁用或者限制不想联网的程序,如果担心隐私上传,就果断的将它们咔嚓掉吧:


自定义相关规则,为每一个程序自由控制联网细节:


自主研发的查杀引擎,以硬件虚拟化指令为基础,架构和效率都非常不错,查杀速度非常非常快:




简洁详尽的日志系统,软件可以根据用户设置的时间段自动清除日志,非常人性化:


不错的升级设计,很多杀软病毒库或版本过期了,要么主界面放一个鲜红的“X”,要么“威胁你”“系统正处于危险中”之类云云,火绒的升级提示与主界面无缝贴合,且非常温和,每次升级还能大致看到升级了哪些模块,这点做的还是非常人性化的,最后在今后的版本中能在升级界面中增加官网详细更新日志的入口,这样更能满足手动升级强迫症患者的需要


火绒剑,非常不错的ARK工具:


启动项管理,还需要功能繁杂、体积硕大、不时耍耍流氓的各类“卫士”么?


很不错的程序行为监控,任何程序的行为一目了然,也是虚拟机下研究病毒行为的利器:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3分享 +1 魅力 +1 人气 +1 收起 理由
heaven888 + 1
aiping + 1 码字辛苦
屁颠屁颠 + 1 感谢提供分享

查看全部评分

卡布达
发表于 2015-1-12 17:09:32 | 显示全部楼层
支持国产
月影天心
 楼主| 发表于 2015-1-12 17:20:42 | 显示全部楼层


火绒算是目前国产里面,仅存的干净、好用、专一,且保持较为旺盛的更新势头的杀软了(不算各大的国际版)
llcy
发表于 2015-1-12 17:22:33 | 显示全部楼层
火绒不错
2314805817
发表于 2015-1-12 17:47:41 来自手机 | 显示全部楼层
本帖最后由 2314805817 于 2015-1-12 21:39 编辑

测精睿包
修复还是不错的
HVM这个名字有点。。
二小姐吃香
发表于 2015-1-12 17:47:43 | 显示全部楼层
没用过火绒,楼主能不能截个工具箱的图?
Symantec.
头像被屏蔽
发表于 2015-1-12 18:53:05 | 显示全部楼层
           UI看起来很山寨
到处闲逛
发表于 2015-1-12 20:54:42 | 显示全部楼层
简洁但不简单,支持新秀
645201
发表于 2015-1-12 21:40:03 | 显示全部楼层
穿山甲都脱不了 还300种
月影天心
 楼主| 发表于 2015-1-13 08:15:27 | 显示全部楼层
二小姐吃香 发表于 2015-1-12 17:47
没用过火绒,楼主能不能截个工具箱的图?

如图,火绒与目前国内杀软追求杂七杂八的功能不同,火绒没有任何额外与安全无关的功能,也没有太多辅助功能(火绒剑基本能满足使用了),专注于最基本的反病毒需求:
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-16 20:54 , Processed in 0.129264 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表