【我爱测评】关于费尔智能杀毒V8启发扫描的深入测试

悠闲的小强

一、前言
      新版费尔V8公测版发布已有一个多星期了，从安装的那天起就一直想写一篇关于费尔的测试文章，但是碍于手头上的事情比较多，遂未能如愿。最近一直在思考一个问题，就是关于费尔不同的启发级别对杀毒效果的影响。究竟如何设置才能达到最好的防御效果同时又不会过分浪费系统的资源呢？
为了能够深入了解费尔启发杀毒的效果，从今天起我将连续几天对费尔的启发杀毒进行测试，并对测试结果进行分析，希望可以帮助大家更好的了解费尔V8的启发杀毒。      以下为“MVM威胁虚拟机”的官方介绍

V8技术亮点之“MVM威胁虚拟机”

威胁虚拟机（MVM）是费尔智能杀毒8中又一极为复杂的安全系统。构建此系统的主要目的是为了通过扫描的方式来检测未知威胁，弥补特征码的滞后性，增强对新木马和加壳变形病毒的防御能力。经过多年的研发和不断改进，目前费尔MVM虚拟机启发技术无论从技术层面还是实际效果都已经达到同类系统的一流水平。

为了验证其效果，曾邀请英国VB100评测机构 Virus Bulletin 对虚拟机纯启发引擎进行内部测试，在没有黑白名单的支持下，其对WildList识别率超过60%，误报也控制在极低水平，使得VB给其高度评价“Well, it's still doing great considering it's only heuristics and no signatures. It seems to be detecting over 60% of our samples - better than some signature scanners!（它甚至优于某些特征码引擎）”。

威胁虚拟机由两个子系统组成：虚拟机系统和启发分析系统。虚拟机系统用来模拟程序运行并收集程序行为，启发分析系统则根据这些行为来判断目标对象是否有害。

虚拟机系统
MVM中的虚拟机是一个极度复杂的虚拟仿真系统，它能解析并模拟几乎全部的CPU指令、数千个API函数，并对木马、病毒经常涉及的一些硬件进行仿真，比如：硬盘、网卡等等。它的工作原理是让目标程序在一个虚拟的隔离环境中运行，并将自己的真实意图充分暴露，一旦发现有恶意目的即可被侦测，而同时也决不会影响真实系统。目前MVM可以脱近400种壳，能有效的应对加壳、变形等特征码不易对付的病毒。

启发分析系统
MVM中的启发分析系统分为两部分：静态启发，动态启发。

静态启发不需要依赖于虚拟机可以独立工作。它通过反解目标程序的二进制代码直接分析其意图，发现有威胁特点即可被判别，从而达到识别未知威胁的目的。这种方式的优点是速度快，但无法有效识别加壳和变形病毒，而动态启发部分则可以有效弥补这一点。

威胁程序无论是加壳还是变形，最终总要去实现自己的目的，也就是说在运行时它们会自己脱壳。动态启发就可以让其在虚拟机中仿真运行，脱掉自己的外衣，诱使它发作，待目标充分暴露出自己的恶意行为时即被判定威胁，实现动态防御的静态识别。

闲话少叙，下面进入正题。
二、软件信息及设置说明
本机安装的费尔V8的软件信息。


本次测试分别按照以下设置的逐一进行。
说明：由于本次测试是为了考察费尔的启发杀毒能力，因此，测试时禁用病毒库、扩展病毒库和iGene智能基因。
设置1.基本启发

设置2.静态虚拟机-1000毫秒

设置3.静态虚拟机-10000毫秒

设置4.动态虚拟机-1000毫秒

设置5.动态虚拟机-10000毫秒

设置6.最高启发-1000毫秒

设置7.最高启发-10000毫秒

设置8.高级启发

设置9.高级启发配合最高启发-10000毫秒

悠闲的小强

2012年8月15日测试
样本来源：卡饭2012年8月15日样本包 http://bbs.kafan.cn/thread-1353456-1-1.html
样本数量：33
测试结果：
1.基本启发扫描结果

2.静态虚拟机-1000毫秒扫描结果

3.静态虚拟机-10000毫秒扫描结果

4.动态虚拟机-1000毫秒扫描结果

5.动态虚拟机-10000毫秒扫描结果

6.最高启发-1000毫秒扫描结果

7.最高启发-10000毫秒扫描结果

8.高级启发扫描结果

9.高级启发配合最高启发-10000毫秒扫描结果

悠闲的小强

三、扫描测试
2012年8月16日测试
样本来源：卡饭2012年8月16日样本包 http://bbs.kafan.cn/thread-1354199-1-1.html
样本数量：30
测试结果：
1.基本启发扫描结果

2.静态虚拟机-1000毫秒扫描结果

3.静态虚拟机-10000毫秒扫描结果

4.动态虚拟机-1000毫秒扫描结果

5.动态虚拟机-10000毫秒扫描结果

6.最高启发-1000毫秒扫描结果

7.最高启发-10000毫秒扫描结果

8.高级启发扫描结果

9.高级启发配合最高启发-10000毫秒扫描结果

悠闲的小强

2012年8月17日测试(误报测试）
样本来源：卡饭2012年8月17日样本包 http://bbs.kafan.cn/thread-1354964-1-1.html
样本数量：43
测试结果：
1.基本启发扫描结果

2.静态虚拟机-1000毫秒扫描结果

3.静态虚拟机-10000毫秒扫描结果

4.动态虚拟机-1000毫秒扫描结果

5.动态虚拟机-10000毫秒扫描结果

6.最高启发-1000毫秒扫描结果

7.最高启发-10000毫秒扫描结果

8.高级启发扫描结果

9.高级启发配合最高启发-10000毫秒扫描结果

悠闲的小强

2012年8月18日测试
样本来源：卡饭2012年8月18日样本包 http://bbs.kafan.cn/thread-1355648-1-1.html
样本数量：31
测试结果：
1.基本启发扫描结果

2.静态虚拟机-1000毫秒扫描结果

3.静态虚拟机-10000毫秒扫描结果

4.动态虚拟机-1000毫秒扫描结果

5.动态虚拟机-10000毫秒扫描结果

6.最高启发-1000毫秒扫描结果

7.最高启发-10000毫秒扫描结果

8.高级启发扫描结果

9.高级启发配合最高启发-10000毫秒扫描结果

悠闲的小强

2012年8月19日测试
样本来源：卡饭2012年8月19日样本包 http://bbs.kafan.cn/thread-1356307-1-1.html
样本数量：32
测试结果：1.基本启发扫描结果

2.静态虚拟机-1000毫秒扫描结果

3.静态虚拟机-10000毫秒扫描结果

4.动态虚拟机-1000毫秒扫描结果

5.动态虚拟机-10000毫秒扫描结果

6.最高启发-1000毫秒扫描结果

7.最高启发-10000毫秒扫描结果

8.高级启发扫描结果

9.高级启发配合最高启发-10000毫秒扫描结果

悠闲的小强

2012年8月20日测试（误报测试）
样本来源：卡饭2012年8月20日样本包 http://bbs.kafan.cn/thread-1357035-1-1.html
样本数量：15
测试结果：
1.基本启发扫描结果

2.静态虚拟机-1000毫秒扫描结果

3.静态虚拟机-10000毫秒扫描结果

4.动态虚拟机-1000毫秒扫描结果

5.动态虚拟机-10000毫秒扫描结果

6.最高启发-1000毫秒扫描结果

7.最高启发-10000毫秒扫描结果

8.高级启发扫描结果

9.高级启发配合最高启发-10000毫秒扫描结果

悠闲的小强

2012年8月21日测试
样本来源：卡饭2012年8月21日样本包 http://bbs.kafan.cn/thread-1357494-1-1.html
样本数量：30
测试结果：1.基本启发扫描结果

2.静态虚拟机-1000毫秒扫描结果

3.静态虚拟机-10000毫秒扫描结果

4.动态虚拟机-1000毫秒扫描结果

5.动态虚拟机-10000毫秒扫描结果

6.最高启发-1000毫秒扫描结果

7.最高启发-10000毫秒扫描结果

8.高级启发扫描结果

9.高级启发配合最高启发-10000毫秒扫描结果

悠闲的小强

四、总结
    通过最近几天的测试可以发现费尔V8的启发杀毒能力还是非常不错的。下面我将对这次测试的结果进行具体的分析。    首先，为了能让大家更直观的了解每天测试的具体结果，我将每天的扫描结果制作成了一个表格。
   

日期	样本总数	设置1	设置2	设置3	设置4	设置5	设置6	设置7	设置8	设置9
2012-8-15	33	0/0%	10/30.3%	10/30.3%	2/6.0%	4/12.1%	12/36.4%	14/42.4%	0/0%	17/51.5%
2012-8-16	30	0/0%	8/26.7%	8/26.7%	6/20.0%	7/23.3%	8/26.7%	9/30.0%	0/0%	15/50.0%
2012-8-17（误报测试）	43	0/0%	0/0%	1/2.0%	1/2.0%	4/9%	1/2.0%	3/7.0%	0/0%	5/11.6%
2012-8-18	31	1/3.2%	4/12.9%	4/12.9%	4/12.9%	4/12.9%	4/12.9%	4/12.9%	1/3.2%	14/45.2%
2012-8-19	32	0/0%	8/25.0%	8/25.0%	6/18.8%	6/18.8%	10/31.3%	10/31.3%	0/0%	14/43.8%
2012-8-20   （误报测试）	15	0/0%	0/0%	0/0%	0/0%	0/0%	0/0%	0/0%	0/0%	0/0%
2012-8-21	30	1/3.3%	7/23.3%	8/26.7%	2/6.7%	4/13.3%	8/26.7%	11/36.7%	1/3.3%	17/56.7%

    直观感受：   
    在将启发级别逐渐调高后，逐一测试其对同一测试样本的启发检测效果，对比不难发现，随着启发等级的逐渐调高，对同一样本的检测效果逐渐加强。因此，从中我们可以看到虚拟机技术的确是起了作用的，虚拟机启发技术对病毒侦测率的提高绝对是有帮助的，特别是在虚拟机级别不断调高的过程中。在禁用病毒库，将启发级别调至最高，虚拟机时间设置为10000毫秒并开启高级启发的情况下，费尔V8的启发查杀率基本可以保持在40%以上。如此高的查杀率是在完全不依赖病毒库的情况下取得的，完全达到了一流启发杀毒软件的级别。与此同时，通过误报测试可以看出，费尔V8在启发级别较高的情况下，对误报的控制也非常理想。

    深入分析：
    在上面的测试中，如果只讲启发级别设置为基本，则很难看出启发在杀毒中的效果，几乎无法检测到病毒。
    如果使用静态虚拟机测可以检测到部分病毒，通过反复测试，静态虚拟机的启发时间对启发查杀率的影响并不是很大，反而会减慢扫描速度，影响工作效率。
    在启发时间相同的情况下，静态虚拟机的查杀效果要优于动态虚拟机的查杀效果。单就动态虚拟机本身来看，启发时间对查杀效果的影响要大于静态虚拟机。在将启发时间延长的情况下，查杀率会有部分提高。但整体来看，动态虚拟机的效果要逊色于静态虚拟机。
    在最高启发的情况下，查杀率有了明显提高，且在将启发时间延长的情况下，查杀率会有部分提高。
    在单独使用高级启发时，几乎无法检测到病毒，很难看出高级启发技术在杀毒中的效果。但是，高级启发在配合最高启发级别使用时，会使查杀率得到大幅度提高。
    至于误报率，从数据上可以看出，启发控制得非常理想。
    以上是本人在最近一段时间对费尔V8启发杀毒能力的一点点测试感受。就总体效果来说，费尔V8的启发杀毒能力绝对算得上是一流水平，这也说明在过去的五年时间里费尔一直没有停止前进的脚步，这五年的时间我们没有白等。虽然费尔V8beta版可能还存在有bug，但是瑕不掩瑜，在电脑上安装费尔，绝对会使你眼前一亮。

    题外话：
    至于日常使用过程中，关于启发级别的设置，本人并不建议将其设置为最高，因为启发级别过高会降低扫描的速度，并且会严重占用cpu使用率，非常影响工作效率。其实，用户将启发级别设置为基本级别即可，虽说这会降低查杀效果，但是对电脑的安全保护却不会降低，因为还有费尔的另外一项核心技术会保护用户的电脑，这就是动态防御，这也是费尔主打的一项技术。虽然本人没有深入测试过动态防御，但是通过长期的使用和观察，这项技术绝配合启发技术以及强大的病毒库绝对可以保护用户电脑的安全。

luxiao200888

前排观看。
目测启发能力要放光彩。