【我爱费尔，喜迎新春】——费尔区2013年迎新活动专贴

夜微凉

活动名称：
我爱费尔，喜迎新春
活动内容：
回答以下关于费尔的10道题（活动第一天给4题，以后每天给2题，给完为止）：

1、费尔的引擎是否全部拥有自主知识产权？（2分）

2、费尔V8有缓冲区溢出保护功能吗？它有何作用？如何打开这个功能？（6分）

3、费尔从什么时候开始加入云的？当时具备什么功能？（10分）

4、费尔V8有哪些地方的窗口支持文件的直接拖拽？（8分）

5、费尔的语音识别功能如何打开？是否有系统要求？（6分）

6、列举几个你认为费尔独有的功能或特色？（10分）

7、 费尔V8的MVM虚拟机是什么？有什么作用？MVM虚拟机的静态启发与动态启发的区别是什么？（12分）

8、 你知道费尔动态防御2.0与传统主动防御有哪些明显的区别吗？请简要说明（12分）

9、 分析费尔V8云鉴定的原理是什么或者有哪些？（16分）

10、费尔动态防御2.0可以完美侦测白+黑的原因是什么？（18分）

参与对象：
论坛全体会员，包含各特殊组与来访客人，但不包括费尔区版主夜微凉、士兵许三多、 wsn110和官方人员filseclab。

参与方式：
跟帖参与，每人仅限回复一帖，多余的删掉除第一个之外的回复。在活动结束前，可修改回答的内容。

活动形式：
活动要求回答10道关于费尔的问题，活动第一天给4题，以后每天给2题，题目和答案由费尔官方和夜微凉给出并审校，评分标准由微凉根据答案划定，总分100分，按分评名次，相同分数以最后编辑时间为准。假设最高分有三个，那么最后编辑的那个最高分推至二等奖，以此类推。于活动前，将问题发至版区，并将活动帖子设置255权限。答题者所做回答，全部设置为仅对自己可见。活动帖由版主按活动时间开启帖子，正式开始。活动结束后公布答案及评分标准。答案及评分标准由夜微凉制定，任何人不得篡改，以下是答案相关信息：

大小：        324,381 字节
MD5：        27BBFC5FA730B06BC502D57D6ED58DD7
SHA1：        6C5ED00A4850B13F38F53C51D10DDBE9E980487B
CRC32：        623C536A



活动时间：
2013年1月29日12:00——2013年2月3日12:00

活动奖励：
一等奖 1魅力+60经验+费尔一年版激活码一枚 2名
二等奖 100经验+费尔半年激活码一枚 4名
三等奖 50经验+费尔半年激活码一枚 6名
鼓励奖 20经验  10名

1.所有参与者每人均可获得10经验值，不得重复回复，无效回复不给分（即回复不是回答给出的问题）。
2.回复结果按照评分多少*20%叠加经验值（题目总分100分），小数点按四舍五入计算（比如你的答案总评分是78分，那么可以获得78*20%=15.6≈16经验的叠加奖励）。
3.来访客人组别 二三等奖可算一次加分 ，若获得一等奖 1魅力可以直接用于转正。
4.所有奖励将于活动结束评分完成后统一发放。


注意事项：
1.请自觉遵守版规，违者将取消参加本活动资格，情节严重的将扣分惩罚;
2.每人只可回复一帖，网络延迟问题可视情况删除多余楼层，在活动结束前可多次编辑，结束后编辑视为无效，取消活动资格;
3.禁止马甲和一切与活动无关回复;
4.活动回复仅作者可见;
5.如遇重大事件影响到活动的公正、公平，或由于不可抗拒事件导致活动无法正常进行，版主有权终止活动或宣布活动无效;
6.本次活动禁止出题者和评委参加，并严禁出题者泄露结果，否则将对出题者扣100积分处罚，对接收结果者扣20积分处罚;
7.本次活动最终解释权归费尔区和卡饭策划组共同所有。

duben

1、费尔的引擎是否全部拥有自主知识产权？（2分）

     是的


2、费尔V8有缓冲区溢出保护功能吗？它有何作用？如何打开这个功能？（6分）

     有，可以自动免疫各类缓冲区溢出攻击。即使在没有安装Windows系统补丁的情况下遇到此类最新威胁也能够立即侦测并阻止，保护电脑免受0day漏洞破坏。
     设置——系统加固——勾选“缓冲区溢出保护”

3、费尔从什么时候开始加入云的？当时具备什么功能？（10分）

     2008年，为了结合主动防御技术，为主动防御提供更加有效的误报反制、样本提取、自动识别、联动服务等等



4、费尔V8有哪些地方的窗口支持文件的直接拖拽？（8分）

     云鉴定、

a330391

1、费尔的引擎是否全部拥有自主知识产权？（2分）
是拥有全部的自主产权。
2、费尔V8有缓冲区溢出保护功能吗？它有何作用？如何打开这个功能？（6分）
①：有缓冲区溢出保护功能；
②缓冲区溢出保护是V8的新功能，可以防止威胁通过0day漏洞攻击Windows或其他软件系统，许多著名的病毒都是通过这种方式来入侵系统，V8这个功能可以保障用户在没有安装系统补丁和防火墙的情况下自动抵御这种破坏。出现这种警告一般是保护对象（或者Windows系统）由于自身程序逻辑错误、内存读取越界、被病毒攻击利用时而出现。
③可以在费尔的系统加固中打开缓冲区溢出保护。
3、费尔从什么时候开始加入云的？当时具备什么功能？（10分）
①：费尔在07年1月初推出V7中就部分溶入这方面的思想。
②：费尔动态防御中的在线扫描、动态防御中的可疑程序的自动提交这两部分就是在这方面是一个创新和尝试。
4、费尔V8有哪些地方的窗口支持文件的直接拖拽？（8分）
文件扫描信任窗口、动态防御信任窗口、隐私保护功能中的信任和阻止窗口。
5、费尔的语音识别功能如何打开？是否有系统要求？（6分）
①：设置—报警与语音可以打开费尔的语音识别功能。
②：好像应该是要win7系统与之后的系统支持。
6、列举几个你认为费尔独有的功能或特色？（10分）
①智能载荷均衡：V8 可以根据当前的系统资源占用状况自动调节自身能耗，在低配电脑中也能顺利运行，既能保障安全又能提高效率。不仅如此，V8 甚至还允许你任意设置病毒库的使用量和内存占用配额，让你自由控制它的资源占用，在“轻量版”与“完整版”之间随意切换。
②精准回滚：对有害程序产生的行为实施精准全面的回滚还原。它会对有害程序直接产生的行为以及嫁接到别的程序上间接产生的行为进行还原，而同时不会波及到正常程序。比如：病毒对Explorer 进行了 HOOK，回滚可以将 HOOK 还原并在不结束 Explorer 的情况下让其保持干净的继续正常工作。另外，被病毒修改或删除的文件也能够被完美还原，这包括被感染型病毒感染的文件。智能黑盒在追踪程序行为时会对文件、注册表、内存、对象所有发生的修改性动作进行实时备份，并且采用大量先进算法确保对系统影响不可感知，这样即使遇到感染性病毒时仍然可以对曾经的破坏进行回滚复原。
③蓝屏灾难保护：由于病毒攻击、软件冲突、系统故障造成的突发电脑蓝屏，可能导致你的工作中断或文件丢失。V8 中提供的蓝屏灾难保护将可以阻止某些蓝屏的发生，并终止引发蓝屏问题的根源遏制故障继续蔓延，使得电脑可以在一段时间内继续安全运行，为关键时刻及时保存重要数据提供机会，减少损失。
④费尔的语音识别功能：并且它也会有自然语言的回应。打开语音功能后，对着电脑说“费尔”，软件就会弹出主界面并回答“Hi，我在这里”，若说：“扫描我的电脑”，软件自动开始扫描。每个扫描任务都有自己的编号，用户可以随时单一（集体）语音控制那些正在进行中的任务，并让其汇报各自的工作状态。除此之外，V8 语音还提供了一些友善的日常问候和应用呼叫，比如：新闻、购物，搜索等等。而且语音功能是纯绿色的，你不用担心它会在电脑中安装任何额外插件。
⑤智能黑盒：类似于飞机的黑匣子，它会对电脑中的每个程序单位行为进行精准而细致的记录，它不仅可以追踪程序的文件、注册表访问，还包括线程、内存，对象的操作等等。而且它的最小追踪单位可以精确到 CPU 的执行片断，以及事件的每一个参与者。比如：一个系统服务线程在这个时间段为正常程序 A 服务，而下一个时间段被病毒 B 嫁接并为其服务，此时发生的破坏行为仍然会被准确定位到  B 而不波及整个服务线程。再如：当发生一个删除文件的事件，此时被追踪的不仅仅是删除此文件的进程，还包括参与此次行动的所有模块以及内存，甚至包括父进程、父线程都会被一并追踪。正是这一全新的追踪架构可以准确定位目前让主防头痛的白加黑木马。
7、 费尔V8的MVM虚拟机是什么？有什么作用？MVM虚拟机的静态启发与动态启发的区别是什么？（12分）
MVM虚拟机：MVM 中的虚拟机是一个极度复杂的虚拟仿真系统，它能解析并模拟几乎全部的 CPU 指令、数千个API 函数，并对木马、病毒经常涉及的一些硬件进行仿真，比如：硬盘、网卡等等。它的工作原理是让目标程序在一个虚拟的隔离环境中运行，并将自己的真实意图充分暴露，一旦发现有恶意目的即可被侦测，而同时也决不会影响真实系统。目前 MVM可以脱近 400种壳，能有效的应对加壳、变形等特征码不易对付的病毒。
区别：静态启发优点是速度快，但无法有效识别加壳和变形病毒，而动态启发有效识别加壳和变形病毒。
8、 你知道费尔动态防御2.0与传统主动防御有哪些明显的区别吗？请简要说明（12分）
     费尔的动态防御其实是主动防御的一种别称，现在所说的主动防御主要是指一种：不依赖病毒库更新就能够对未知病毒、新病毒做到自动识别和阻止的技术。只要能够实现此类功能需要的都可以称为是一种主动防御。现在的主动防御大多都是靠对未知行为判别来确定是否为病毒，因此在技术原理上大多相同，只不过在动作时机、智能程度上有差别。这种技术在触发时机上要晚于病毒库识别，病毒库扫描在有害程序还未执行前就可以触发和防御，而现在多数主动防御技术需要等待有害程序真正运行在电脑中甚至破坏时才能够触发并阻止，所以在从这个层面上讲并不主动，因此我们更愿意称此类技术为“动态防御”。但实际说白了都是同一类技术，用户不用拘泥于和过于关心它的技术实现方法，应该关心它到底的实际的防御效果如何，可以通过自己的试用来体验，发烧友也可以通过专用的电脑环境或者虚拟机环境用病毒做测试来自己评价，但风险较大不建议普通用户这样做。
     费尔的动态防御相对于其他主动防御的明显区别：1. 精确的对象级深度追踪。2. 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改写、对象的修改进行全面还原等等。3.采用复杂的逻辑规则及综合分析系统，对智能黑盒记录的行为进行分析并自动判定是否有害，即“记忆式多步智能主防”。
9、 分析费尔V8云鉴定的原理是什么或者有哪些？（16分）
      云端的鉴定目前主要分启发和行为鉴定，其实费尔的动态防御2.0就是完整的云端鉴定系统，所以一般不需要再提交到云上。但是把样本放在云端虚拟机上跑会更大胆一些，所以有时鉴定的结果会与本地有所不同。但由于本地更接近真实和实际环境，所以我们还是建议以本地的动态防御的鉴定结果为准。有时候动态防御要等到云鉴定完成才报毒，那一般是云端的非行为鉴定器起作用了，行为鉴定在本地就能做出来。这种样本一般是在用户电脑中当时没有发作危害行为，但可能在其他用户的电脑中发作过，在云端查询到后再反馈回来，这段延迟别后回滚一下也可以完整清除。这种云的模式就是iRobot8 EVAENT中枢神经系统，也是EVANET安全神经网络系统第二阶段功能的体现。
     自动云鉴定流程是：发现非白文件->云端查询(历史管理中生成一条记录)->云端已经收集直接获得结果/未收集才开始上传。所以历史管理中的记录是所有云查询和云上传的总和，里面大分部都是云查询而不是真正的上传。
10、费尔动态防御2.0可以完美侦测白+黑的原因是什么？（18分）
       费尔智能黑盒类似于飞机的黑匣子，它会对电脑中的每个程序单位行为进行精准而细致的记录，它不仅可以追踪程序的文件、注册表访问，还包括线程、内存，对象的操作等等。而且它的最小追踪单位可以精确到 CPU 的执行片断，以及事件的每一个参与者。比如：一个系统服务线程在这个时间段为正常程序 A 服务，而下一个时间段被病毒 B 嫁接并为其服务，此时发生的破坏行为仍然会被准确定位到  B 而不波及整个服务线程。再如：当发生一个删除文件的事件，此时被追踪的不仅仅是删除此文件的进程，还包括参与此次行动的所有模块以及内存，甚至包括父进程、父线程都会被一并追踪。正是这一全新的追踪架构可以准确定位目前让主防头痛的白加黑木马。
      另外，虚拟黑盒具备持久记忆功能，不会随电脑的重启而归零，即使重启电脑目标程序曾经发生的行为仍然会被持续的记录在案，这样当遇到一种把自己的行为故意打散、分时段来组合完成的潜伏威胁时仍可以准确侦测，从而有能力处理多步式或延时发作的后门、木马，并对其进行彻底的清除和回滚。

Johnny.R.

1.费尔的引擎拥有全部的自主知识产权
2.费尔v8有缓冲区溢出保护功能，它的作用是保护电脑免受类似于0day病毒的攻击，在费尔的设置—保护—系统加固—系统加固设置中勾选缓冲区溢出保护
3.应该是2007年。当时的功能是通过上传用户端有潜在威胁的程序或程序特征到云端，利用云端的更丰富的鉴定方式进行再次鉴定。目前，费尔已经拥有了一套完整的上报、检测、处理未知文件的云系统，可以完全脱离人工干预，对未知文件进行检测，并且通过evanet（费尔的云系统名字）对客户端下达处理命令
4.费尔v8在主界面支持文件的直接拖拽（功能是对拖拽文件进行手动扫描）、工具里面的文件扫描信任、动态防御信任、注册表信任同样支持文件拖拽（功能是对所拖拽的文件添加到信任列表）、在新建扫描中，所拖拽的文件会添加到扫描列表。
5.费尔的语音识别功能在设置—报警与语言下的语音控制中打开。费尔使用的语音识别功能是系统自带的发音程序加费尔语音识别服务器的分析，是不用安装其他插件并且没有系统要求的。
6.我认为，费尔v8的独有功能有这几个：智能黑盒，全国第二家拥有自主知识产权的智能主动防御系统，MVM威胁虚拟机，evanet云服务器（觉得独特是在于evanet并不像其他云端是要靠人工操作来判断大多数病毒，而是通过自己的智能分析来判断，并且判断的准确率很高），捕获陷阱功能（包括注册表捕获、进程捕获、文件捕获），文件隐私保护，系统加固方面其他国产杀软也有，但是费尔有自己特色的缓冲区溢出保护，蓝屏灾难保护，在能耗方面用户可根据系统的差异来配置费尔的内存使用（包括病毒库的载入量，手动杀毒时cpu的占用率等等），在ui方面，费尔拥有独特的动态皮肤，很美观，并且拥有语音控制功能，以上这些都是费尔一独有的功能特色。
7.费尔V8的MVM虚拟机是指一种由虚拟机系统和启发分析系统构成的安全系统。其中，虚拟机系统是一个极度复杂高度仿真的虚拟系统，它通过解析模拟几乎全部cpu指令，数千api函数，并对木马病毒常涉及的硬件进行仿真，让目标程序在一个虚拟环境下运行，暴露自己的真实意图，然后通过爱法分析系统根据这些行为来判断目标对象是否有害。静态启发不需要依赖于虚拟机可以独立工作。它通过反解目标程序的二进制代码直接分析其意图，发现有威胁特点即可被判别，从而达到识别未知威胁的目的。这种方式的优点是速度快，但无法有效识别加壳和变形病毒，而动态启发部分则可以有效弥补这一点。
8.费尔与众不同的主动防御与传统主动防御的区别在于它不仅能检测出威胁，还能能精确地进行目标对象级别的跟踪，对威胁产生的破坏进行全面热滚回，包括对文件，注册表hook，内存的改写，对象的修改，都可以全面还原。其中动态防御2.0下的智能黑盒系统的特色在于它和沙盘的工作原理相反，先对未知程序进行无罪推定，然后观察其行为，只有在程序表现出恶意行为时才阻止并恢复退回当初状态。过程不需要用户介入。它可对可以对有害行为的发出目标进行精准追踪，查出行为最源头的发起者，并且通过“记忆式多步智能主防”进行行为分析，对有害程序产生的动作进行精准滚回。
9.费尔v8云鉴定是通过“云端人工智能集群 iRobots”来运行的，主要由：iRobot1 - 病毒样本自动收集系统，iRobot2 - 正常程序自动收集系统，iRobot3 - 样本分拣系统，iRobot4 - 自动更新系统，iRobot5 - 自动误报排除系统，iRobot6 - 智能基因分析系统，iRobot7 - 行为分析系统，iRobot8 - EVANET 中枢神经系统，这八个部分组成。它会在网上自动收集病毒和正常程序的样本并且对样本进行归类整理，为病毒库提供支持，修正误报，等等，能够自动处理未知文件并在云端解析，判断是否有害最后客户端根据远端发回的结果自动决定处理动作。它一般通过md5值来快速查询文件，如果是未知程序则在云端通过高度模拟的虚拟系统进行鉴定和智能分析来判断文件是否具有威胁。
10.动态防御2.0技术包括智能黑盒、行为分析系统、精准滚回系统。它只对正在运行的程序进行监控，而且绝大多数情况下都会在威胁出现破坏行为时将其终止。它的主要原理是先是对未知程序进行无罪推定，先判定它安全，然后通过追踪它的行为来判断是否有害，如果出现了危害安全的动作，则终止程序并提示用户，然后对威胁产生的动作进行精准滚回，让电脑完全恢复如初。这种机制可以和主动防御系统完美的契合联动，而且对于用户来说并不存在任何使用上的门槛，因为整个过程是 V8 内部来自动完成的，不存在要求用户自动/手动入沙过程，也不存在应用修改的问题，和正常使用没有区别，所以费尔的黑盒技术更易用也更安全。

悠闲的小强

1. 是的，费尔的引擎全部拥有自主知识产权。

2. 费尔V8有缓冲区溢出保护功能。
其作用是即使在没有安装Windows系统补丁的情况下遇到各类最新缓冲区溢出攻击威胁也能够立即侦测并阻止，保护电脑免受0day漏洞破坏。当前有许多0day漏洞病毒专门通过Windows或一些知名软件的漏洞来传播，费尔的这个功能可以对系统中的所有程序提供额外的数据执行保护，自动免疫利用此类新漏洞的破坏。
在设置——保护——系统加固——设置中可以打开缓冲区溢出保护功能。

3. 关于云安全早在费尔V7推出时就具有了类似的思想。
当时最先应用于“在线扫描”功能。

4. 主界面、扫描器、自定义扫描对话框都支持拖拽，可以把对象拉进来扫描。

5. 在设置——报警与语音——语音控制——勾选接受语音控制可以打开语音识别功能。
有系统要求，需要电脑中正确安装了声卡与麦克风，并且费尔语音服务器处于运行状态。

6. 我认为费尔独有的功能或特色有：缓冲区溢出防御技术、蓝屏灾难保护技术、智能载荷均衡、威胁诱捕陷阱、智能交互控制。

7. “MVM威胁虚拟机”是费尔智能杀毒8中又一极为复杂的安全系统。MVM中的虚拟机是一个极度复杂的虚拟仿真系统，它能解析并模拟几乎全部的CPU指令、数千个API函数，并对木马、病毒经常涉及的一些硬件进行仿真
构建此系统的主要目的是为了通过扫描的方式来检测未知威胁，弥补特征码的滞后性，增强对新木马和加壳变形病毒的防御能力。威胁虚拟机由两个子系统组成：虚拟机系统和启发分析系统。虚拟机系统用来模拟程序运行并收集程序行为，启发分析系统则根据这些行为来判断目标对象是否有害。MVM中的虚拟机是一个极度复杂的虚拟仿真系统，它能解析并模拟几乎全部的CPU指令、数千个API函数，并对木马、病毒经常涉及的一些硬件进行仿真，比如：硬盘、网卡等等。它的工作原理是让目标程序在一个虚拟的隔离环境中运行，并将自己的真实意图充分暴露，一旦发现有恶意目的即可被侦测，而同时也决不会影响真实系统。目前MVM可以脱近400种壳，能有效的应对加壳、变形等特征码不易对付的病毒。
静态启发不需要依赖于虚拟机可以独立工作。它通过反解目标程序的二进制代码直接分析其意图，发现有威胁特点即可被判别，从而达到识别未知威胁的目的。这种方式的优点是速度快，但无法有效识别加壳和变形病毒，而动态启发部分则可以有效弥补这一点。威胁程序无论是加壳还是变形，最终总要去实现自己的目的，也就是说在运行时它们会自己脱壳。动态启发就可以让其在虚拟机中仿真运行，脱掉自己的外衣，诱使它发作，待目标充分暴露出自己的恶意行为时即被判定威胁，实现动态防御的静态识别。

8. 费尔动态防御2.0基本实现了一个小型的子系统来模拟和追踪 Windows 的运作过程。主要特点有：a. 精确的对象级深度追踪。b. 对威胁所产生的破坏进行全面热回写、对象的修改进行全面还原等等。

9. 云端的鉴定目前主要分启发和行为鉴定，其实费尔的动态防御2.0就是完整的云端鉴定系统，所以一般不需要再提交到云上。但是把样本放在云端虚拟机上跑会更大胆一些，所以有时鉴定的结果会与本地有所不同。但由于本地更接近真实和实际环境，所以我们还是建议以本地的动态防御的鉴定结果为准。有时候动态防御要等到云鉴定完成才报毒，那一般是云端的非行为鉴定器起作用了，行为鉴定在本地就能做出来。这种样本一般是在用户电脑中当时没有发作危害行为，但可能在其他用户的电脑中发作过，在云端查询到后再反馈回来，这段延迟别后回滚一下也可以完整清除。这种云的模式就是iRobot8 EVAENT中枢神经系统，也是EVANET安全神经网络系统第二阶段功能的体现。

10. 新版动态防御采用全程栈回溯技术，可以轻松应对白加黑。当然，如果没有检测到危害动作或样本没发作则不会报告。

Flameocean

1:费尔的引擎全部拥有自主知识产权
2:费尔V8有缓冲区溢出保护功能。作用：费尔V8中新增的缓冲区溢出保护功能在起作用。当前有许多0day漏洞病毒专门通过Windows或一些知名软件的漏洞来传播，费尔的这个功能可以对系统中的所有程序提供额外的数据执行保护，自动免疫利用此类新漏洞的破坏。
只有出现这种警告一般是保护对象（或者Windows系统）由于自身程序逻辑错误、内存读取越界、被病毒攻击利用时而出现费尔V8才能自动打开这个功能
3:2007年费尔首个实现了可疑程序自动提交、在线扫描与反馈、自动识别与病毒库自动更新的云系统，开创国内云安全的先河。作用：实现病毒的提交与自动分析（ASAA），自动反误报（AAFP）
4费尔没有能直接支持拖拽的窗口
5:这个功能默认是关闭的，需要在设置项目里面的报警和语音打开，许多用户可能不会注意到，功能：而当您一旦打开V8的语音合成功能，软件将会对发现的威胁和扫描状态进行实时语音报告。需要在设置项目里面的报警和语音打开.
6：V8技术亮点之“MVM威胁虚拟机”，V8技术亮点之“动态防御 2.0”
7:威胁虚拟机（MVM）是费尔智能杀毒8中又一极为复杂的安全系统。构建此系统的主要作用是为了通过扫描的方式来检测未知威胁，弥补特征码的滞后性，增强对新木马和加壳变形病毒的防御能力。经过多年的研发和不断改进，目前费尔MVM虚拟机启发技术无论从技术层面还是实际效果都已经达到同类系统的一流水平。静态启发不需要依赖于虚拟机可以独立工作。它通过反解目标程序的二进制代码直接分析其意图，发现有威胁特点即可被判别，从而达到识别未知威胁的目的。这种方式的优点是速度快，但无法有效识别加壳和变形病毒，而动态启发部分则可以有效弥补这一点。
8费尔的动态防御是需要云鉴定，并且具有精准回滚，被病毒修改或删除的文件也能够被完美还原，这包括被感染型病毒感染的文件。
9自动云鉴定流程是：发现非白文件->云端查询(历史管理中生成一条记录)->云端已经收集直接获得结果/未收集才开始上传。所以历史管理中的记录是所有云查询和云上传的总和，里面大分部都是云查询而不是真正的上传。（



10现在几乎所有的主动防御系统和杀毒软件都以进程作为检测对象的宿主，黑模块dll是寄宿到主进程exe来工作，如果进程文件exe是白的其他软件就会放行，而让白+黑有可剩之机。

费尔的动态防御则是全新架构，采用全程栈回溯技术，有些主动防御虽然会用这个技术但受效率影响很难全部采用，而费尔用先进算法确保效率从而可以全程采用。这样就会对每个行为追踪细化到发起源头是来自哪个模块的哪个函数和代码片段，而不以进程作为评估主对象，所以即使主进程是白文件和签名，仍可以准确判断出威胁来源于黑模块。

chujunci

1.当然有

2.有，缓冲区溢出保护可以自动保护缓冲区溢出攻击。保护电脑免受0day漏洞破坏。在V8设置的的动态防御选项中可以打开此功能


3.2003年iRobot1 上线，到07年iRobot5 面世 基本算费尔的云一阶段

iRobot1：自动从互联网、样本提供商、交换商搜集样本，为病毒库定义提供资源支持（简单点说就是样本自动搜集系统）


4.扫描窗口（包含自定义扫描），云鉴定窗口

skycai

1、费尔的引擎是否全部拥有自主知识产权？是

2、费尔V8有缓冲区溢出保护功能吗？它有何作用？如何打开这个功能？有 ，可以自动免疫各类缓冲区溢出攻击。保护电脑免被0day漏洞破坏。 在设置-保护-系统加固中可以打开。

3、费尔从什么时候开始加入云的？当时具备什么功能？严格的说，费尔的云是从2003年开始有的。称为irobot1，可以自动从互联网、样本提供商、样本交换商处收集和下载样本。


4、费尔V8有哪些地方的窗口支持文件的直接拖拽？文件扫描、文件扫描信任、动态防御信任

5、费尔的语音识别功能如何打开？是否有系统要求？设置-报警与语音-选择接受语音控制，需要在vista以后的windows版本中使用

6、列举几个你认为费尔独有的功能或特色？蓝屏保护、隐私保护、文件陷阱、特色云防护、智能荷载均衡、智能解毒、缓冲区溢出保护

7、 费尔V8的MVM虚拟机是什么？有什么作用？MVM虚拟机的静态启发与动态启发的区别是什么？

MVM中的虚拟机是一个极度复杂的虚拟仿真系统，它能解析并模拟几乎全部的CPU指令、数千个API函数，并对木马、病毒经常涉及的一些硬件进行仿真，比如：硬盘、网卡等等。它的工作原理是让目标程序在一个虚拟的隔离环境中运行，并将自己的真实意图充分暴露，一旦发现有恶意目的即可被侦测，而同时也决不会影响真实系统。目前MVM可以脱近400种壳，能有效的应对加壳、变形等特征码不易对付的病毒。

MVM中的启发分析系统分为两部分：静态启发，动态启发。

静态启发不需要依赖于虚拟机可以独立工作。它通过反解目标程序的二进制代码直接分析其意图，发现有威胁特点即可被判别，从而达到识别未知威胁的目的。这种方式的优点是速度快，但无法有效识别加壳和变形病毒，而动态启发部分则可以有效弥补这一点。

威胁程序无论是加壳还是变形，最终总要去实现自己的目的，也就是说在运行时它们会自己脱壳。动态启发就可以让其在虚拟机中仿真运行，脱掉自己的外衣，诱使它发作，待目标充分暴露出自己的恶意行为时即被判定威胁，实现动态防御的静态识别。

8、 你知道费尔动态防御2.0与传统主动防御有哪些明显的区别吗？
V8技术亮点之“动态防御 2.0”

费尔第二代动态防御开基本实现一个小型的子系统来模拟和追踪 Windows 的运作过程。相比普通的主防，保持了智能性的同时，可以精确的对象级深度追踪，实现对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改写、对象的修改进行全面还原等等。

9、 分析费尔V8云鉴定的原理是什么或者有哪些？
V8中开始使用综合分析从 EVANET 客户端发送来的关于程序的行为、属性等各种特征信息，自动判定其是否有危害，客户端根据 EVANET 的分析结果自动决定处理动作。比如：警告、还原或放行等。

EVANET 可以通过上传用户端有潜在威胁的程序或程序特征到云端，利用云端的更丰富的鉴定方式进行再次鉴定。费尔 V7 在 2007 年初已经完成这一阶段。

而在V8中，EVANET 可以综合电脑使用者的智慧来判断未知威胁。比如：根据用户对程序的不同操作方式进行分析，当很多用户表现出对此程序反感时，它将被标记为潜在的威胁。

10、费尔动态防御2.0可以完美侦测白+黑的原因是什么？根源还是费尔的动态防御技术2.0。新版动态防御采用全程栈回溯技术，可以轻松应对白加黑。如果没有检测到危害动作或样本没发作则不会报告。

kris

1.有；
2.有、自动免疫各类缓冲区溢出攻击、设置-保护-系统加固-缓冲区溢出保护打勾；
3.2007年1月推出的V7、未知程序自动提交、云扫描(在线扫描)、自动发放等；
4.动态防御信任列表、文件隐私保护、文件陷阱、注册表陷阱、进程陷阱等；
5.设置-报警与语音-接受语音控制打勾、VISTA/WIN7/WIN8；
6.智能载荷均衡、智能解毒、智能提速、文件隐私保护、威胁诱捕陷阱、缓冲区溢出保护、蓝屏灾难保护、智能交互控制等;
7.威胁虚拟机（MVM）是费尔智能杀毒8中又一极为复杂的安全系统。构建此系统的主要目的是为了通过扫描的方式来检测未知威胁，弥补特征码的滞后性，增强对新木马和加壳变形病毒的防御能力.静态启发不需要依赖于虚拟机可以独立工作。它通过反解目标程序的二进制代码直接分析其意图，发现有威胁特点即可被判别，从而达到识别未知威胁的目的。这种方式的优点是速度快，但无法有效识别加壳和变形病毒，而动态启发部分则可以有效弥补这一点。威胁程序无论是加壳还是变形，最终总要去实现自己的目的，也就是说在运行时它们会自己脱壳。动态启发就可以让其在虚拟机中仿真运行，脱掉自己的外衣，诱使它发作，待目标充分暴露出自己的恶意行为时即被判定威胁，实现动态防御的静态识别;
8.首先用一个比喻来描述新版动态防御的特色：一个小偷伪装成客人到家里偷东西，等巡查员认定它不是客人而是贼时随即将其拿下，可是家里却已经被翻乱了，要恢复原样就比较困难。第二代动态防御系统不仅可以抓住贼，同时能让家里恢复如初，并且有能力更早更准确的识别伪装更好的贼，包括当前流行的白加黑木马。主要特点如下：(1)精确的对象级深度追踪;(2)对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改写、对象的修改进行全面还原等等；
9.云端的鉴定目前主要分启发和行为鉴定，其实费尔的动态防御2.0就是完整的云端鉴定系统，所以一般不需要再提交到云上。但是把样本放在云端虚拟机上跑会更大胆一些，所以有时鉴定的结果会与本地有所不同。但由于本地更接近真实和实际环境，所以我们还是建议以本地的动态防御的鉴定结果为准。有时候动态防御要等到云鉴定完成才报毒，那一般是云端的非行为鉴定器起作用了，行为鉴定在本地就能做出来。这种样本一般是在用户电脑中当时没有发作危害行为，但可能在其他用户的电脑中发作过，在云端查询到后再反馈回来，这段延迟别后回滚一下也可以完整清除。这种云的模式就是iRobot8 EVAENT中枢神经系统，也是EVANET安全神经网络系统第二阶段功能的体现；
10.新版动态防御采用全程栈回溯技术，可以轻松应对白加黑。

whohever

1：拥有
2：有缓冲区溢出保护。作用：你的电脑将可以自动免疫各类缓冲区溢出攻击。即使在没有安装Windows系统补丁的情况下遇到此类最新威胁也能够立即侦测并阻止，保护电脑免受0day漏洞破坏。 可以在系统加固设置里打开这个功能。
3：2003年，自动从互联网、样本提供商、交换商搜集和下载样本，为病毒库定义提供资源支持。
4：云鉴定窗口。。。。。
5：在警报提醒设置里面开启，支持所有系统。
6：黑盒智能回滚，MVM虚拟机查杀，基因码特征查杀（这个好像不算吧- -，在国产中算吧），各种陷阱（文件陷阱，进程陷阱，注册表陷阱）缓冲区溢出保护。
7：MVM虚拟机系统
   MVM中的虚拟机是一个极度复杂的虚拟仿真系统，它能解析并模拟几乎全部的CPU指令、数千个API函数，并对木马、病毒经常涉及的一些硬件进行仿真，比如：硬盘、网卡等等。它的工作原理是让目标程序在一个虚拟的隔离环境中运行，并将自己的真实意图充分暴露，一旦发现有恶意目的即可被侦测，而同时也决不会影响真实系统。目前MVM可以脱近400种壳，能有效的应对加壳、变形等特征码不易对付的病毒。
   静态启发不需要依赖于虚拟机可以独立工作。它通过反解目标程序的二进制代码直接分析其意图，发现有威胁特点即可被判别，从而达到识别未知威胁的目的。这种方式的优点是速度快，但无法有效识别加壳和变形病毒，而动态启发部分则可以有效弥补这一点。
   威胁程序无论是加壳还是变形，最终总要去实现自己的目的，也就是说在运行时它们会自己脱壳。动态启发就可以让其在虚拟机中仿真运行，脱掉自己的外衣，诱使它发作，待目标充分暴露出自己的恶意行为时即被判定威胁，实现动态防御的静态识别。
8：1. 精确的对象级深度追踪。
   2. 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改写、对象的修改进行全面还原等等。
   行为分析系统
   采用复杂的逻辑规则及综合分析系统，对智能黑盒记录的行为进行分析并自动判定是否有害，即“记忆式多步智能主防”。
   精准回滚
   对有害程序产生的行为实施精准全面的回滚还原。它会对有害程序直接产生的行为以及嫁接到别的程序上间接产生的行为进行还原，而同时不会波及到正常程序。比如：病毒对 Explorer 进行了 HOOK，回滚可以将 HOOK 还原并在不结束 Explorer 的情况下让其保持干净的继续正常工作。
9：发现可疑文件后，费尔会自主上传至服务器，利用服务器端高性能的虚拟机对文件进行行为分析判断，最后反馈结果至客户端。一般的云鉴定就和其他的云端网络一样咯。利用网络收集信息进行加黑判白。
10：（这个还真心不知道。。。。。这个好坑。。表示没看到。。好吧。。匿了。。 ）应该是费尔的动态防御对白加黑的特征做了特别的优化，加上费尔独特的MVM技术，使V8的动态防御能够快速准确的判断病毒文件并有效的对其进行阻止和回滚。
   唔，特地百度了一下：所谓的“白加黑”，笼统来说是“白exe”加“黑dll”，“白exe”是指带有数字签名的正常exe文件，那么“黑dll”当然是指包含恶意代码的dll文件。病毒借助那些带数字签名且在杀毒软件白名单内的exe程序去加载自己带有恶意代码的dll，便能获得杀毒软件主动防御的自动信任，从而成功加载到系统中。病毒的这种手段其实是钻了软件编写的空子，若第三方软件在编写时对调用的库文件没有进行审查或审查得不够严谨，就容易发生DLL劫持，这种编写漏洞已被微软获悉。
   由此可知，费尔肯定对dll文件的加载做了加重的监控，就算exe带有正式签名，但是费尔会严密监控其加载的dll并作出判断。