关于回滚

dolphinpaopao

偶然想了解一下费尔的回滚机制。费尔是如何界定软件的危害行为啊？回滚的有期限的限制么？无限制回滚还是回滚到有危害行为之前的状态还是选择回滚的日期？期待官人和各位大神解惑。

Filseclab

动态防御有一系列的逻辑规则来组合判断动作是否为有害，所以它与单步HIPS不一样的是基本看不到动态防御会报告某某程序在改变某某注册表，是否放行它的提示，只有当发现一组行为综合认为有害时才警告，也就是只要它报告了基本上已经给它定性了。传统多步主防往往对进行一个感染型病毒监控也存在一些缺陷，为了避免对正常更新动作产生误判一般只有真正感染几个文件后才能确定是感染行为，这时阻止时实际上已经有多个文件被感染，V8的这方面设计的很精细，它可以在第一个文件被感染时就能判断是感染型病毒，因为它的黑盒部分会细致到追踪对文件修改的内容位置和差异率，不需要等到文件真被感染时才警告，所以一般可以实现0破坏。回滚时黑盒可以精确到任意进程任意模块任意对象的任意时间点，但V8中并没有开放这些专业接口，因为用户是用不到的。V8一旦对某个模块或对象确定有害并开始回滚时，会把它自进入电脑以来所有造成影响（包括删除，修改，新建等操作）全部复原。回滚没有期限，它会持续永久记录每个模块的所有动作，即使重新开机也不会消失，以防止有些威胁故意把自己的行为打散分时断来完成，这样便可以在发现威害时把影响丝毫不留的从电脑中全部清除出去。

zzl2008

官方说的这些都是费尔全自动完成的吗？

zhq445078388

日志
未知文件会记日志 干嘛了都会记下
如果确诊了 就按照日志挨个删过去

dolphinpaopao

感谢官人的热心解答。期待正式版。防火墙也来一下吧。