【我爱费尔，喜迎新春】——费尔区2013年迎新活动专贴

mowuyu

1、
费尔的引擎全部拥有自主知识产权

2、
费尔V8有缓冲区溢出保护。
它的作用可以自动免疫各类缓冲区溢出攻击。即使在没有安装windows系统补丁的情况下遇到此类最新威胁也能立即侦测并阻止，保护电脑免受0day漏洞破坏。
在费尔的界面“设置——软件设置——系统加固——设置”里，勾选缓冲区溢出保护

3、
2007年初加入云
当时具备在线扫描、可疑程序自动提交的功能

4、
自定义扫描、云鉴定、文件扫描、木马强力清除窗口支持直接拖拽

5、
在界面“设置——报警和语音控制”里勾选接受语音控制，点击设置，可以对语音识别进行设置。确定后完成语音识别的开启
语音识别要求要windows vista或者以上的高版本系统，并且电脑中要安装语音识别组件

6、
特色功能：动态防御2.0、智能黑盒、智能提速、威胁诱捕陷阱、智能交互控制（语音识别）、MVM威胁虚拟机、缓冲区溢出保护、蓝屏保护、文件隐私保护、载荷均衡、还有尚未完善的EVANET计划。

7、
MVM虚拟机是一个极度复杂的虚拟仿真系统，它能解析并模拟几乎全部的cpu指令、数千个API函数，并对木马、病毒经常涉及的一些硬件进行仿真，使程序暴露自己的意图，用以侦测未知病毒，同时也不对真实系统造成影响。

作用：
通过扫描的方式来检测未知威胁，弥补特征码滞后性，增强对新木马和加壳变形病毒的防御能力

区别：
静态启发不需要依赖虚拟机可以独立工作，它通过反解程序的二进制代码直接分析其意图，发现威胁特点即可判别，从而达到识别未知威胁的目的。静态启发速度快，但静态启发无法识别加壳和变形病毒

动态启发需要让程序在虚拟机中工作，它使程序在虚拟机中仿真运行，诱使它发作，通过恶意行为判定威胁。无论是否加壳，动态启发都能有效识别，同时相对的消耗电脑资源也较大，速度较慢

8、
区别：
传统主动防御能够拦截威胁，但是对于拦截威胁之前，恶意程序所造成的破坏和衍生物就无法有效的恢复。
动态防御2.0能够配合智能黑盒完整的对程序行为进行精确回滚，能让威胁对电脑的修改恢复如初。

传统主动防御对所有程序的行为进行拦截，对用户的判别能力要求较高，一般用户难以使用。
动态防御2.0具有复杂的行为分析系统，对程序的行为记录自动判定是否有害，智能化较高。

9、
费尔云鉴定的原理是：将可疑样本上传到云端，在云端进行启发分析和行为鉴定，其实费尔的动态防御2.0就是完整的云端鉴定系统。云端鉴定的好处是避免实机运行的风险。
费尔的云鉴定能够和本地的动态防御联动，但和病毒库不联动，费尔的云模式就是iRobot8 EVAENT中枢神经系统，也是EVANET安全神经网络系统第二阶段功能的体现。
另外官方解释，由于病毒在不同环境下有不同的行为，因此当本地与云鉴定的结果发生冲突时，一般以本地的真实环境为准。

10、
费尔动态防御2.0可以完美侦测白加黑的重点在于采用全程栈回溯技术，这一技术和费尔的智能黑盒有重要关联。当白加黑病毒的白文件表现为正常程序时，动态防御不会拦截。当白文件在某一时段被黑文件嫁接并进行恶意行为时，费尔就能够通过黑盒的记录追踪参与恶意行为的所有模块、内存、进程。因此参与这次行动的黑dll，白文件都会被精确定位，并对其进行完美地清除。

sl19861025

1、费尔的引擎是否全部拥有自主知识产权？（2分）
是的

2、费尔V8有缓冲区溢出保护功能吗？它有何作用？如何打开这个功能？（6分）
具有
首创蓝屏保护，阻止修复蓝屏灾难。保护电脑中每个程序免受缓冲区0day攻击
打开溢出功能，即可

3、费尔从什么时候开始加入云的？当时具备什么功能？（10分）
2007年初通过上传用户端有潜在威胁的程序或程序特征到云端，利用云端的更丰富的鉴定方式进行
再次鉴定。

4、费尔V8有哪些地方的窗口支持文件的直接拖拽？（8分）
杀毒、云端。
5、费尔的语音识别功能如何打开？是否有系统要求？（6分）
设置选项里打开，要求有语音输入设备。

6、列举几个你认为费尔独有的功能或特色？（10分）
语音识别功能、云端查杀等等

7、 费尔V8的MVM虚拟机是什么？有什么作用？MVM虚拟机的静态启发与动态启发的区别是什么？（12分）
威胁虚拟机（MVM）是费尔智能杀毒 8 中又一极为复杂的安全系统。构建此系统的主要目
的是为了通过扫描的方式来检测未知威胁，弥补特征码的滞后性，增强对新木马和加壳变
形病毒的防御能力。经过多年的研发和不断改进，目前费尔 MVM 虚拟机启发技术无论从技
术层面还是实际效果都已经达到同类系统的一流水平。
威胁虚拟机由两个子系统组成：虚拟机系统和启发分析系统。虚拟机系统用来模拟程序运行
并收集程序行为，启发分析系统则根据这些行为来判断目标对象是否有害。
虚拟机系统
MVM 中的虚拟机是一个极度复杂的虚拟仿真系统，它能解析并模拟几乎全部的 CPU 指令、
数千个 API 函数，并对木马、病毒经常涉及的一些硬件进行仿真，比如：硬盘、网卡等等。它
的工作原理是让目标程序在一个虚拟的隔离环境中运行，并将自己的真实意图充分暴露，
一旦发现有恶意目的即可被侦测，而同时也决不会影响真实系统。目前 MVM 可以脱近 400
种壳，能有效的应对加壳、变形等特征码不易对付的病毒。
启发分析系统
MVM 中的启发分析系统分为两部分：静态启发，动态启发。
静态启发不需要依赖于虚拟机可以独立工作。它通过反解目标程序的二进制代码直接分析其
意图，发现有威胁特点即可被判别，从而达到识别未知威胁的目的。这种方式的优点是速度
快，但无法有效识别加壳和变形病毒，而动态启发部分则可以有效弥补这一点。
威胁程序无论是加壳还是变形，最终总要去实现自己的目的，也就是说在运行时它们会自
己脱壳。动态启发就可以让其在虚拟机中仿真运行，脱掉自己的外衣，诱使它发作，待目标
充分暴露出自己的恶意行为时即被判定威胁，实现动态防御的静态识别。

8、 你知道费尔动态防御2.0与传统主动防御有哪些明显的区别吗？请简要说明（12分）
费尔第二代动态防御开发历时 4 年，代码量超过 40 万行，是费尔最复杂的系统之一，它
基本实现一个小型的子系统来模拟和追踪 Windows 的运作过程。
主要技术亮点
首先用一个比喻来描述新版动态防御的特色：一个小偷伪装成客人到家里偷东西，等巡查
员认定它不是客人而是贼时随即将其拿下，可是家里却已经被翻乱了，要恢复原样就比较
困难。第二代动态防御系统不仅可以抓住贼，同时能让家里恢复如初，并且有能力更早更准
确的识别伪装更好的贼，包括当前流行的白加黑木马。主要特点如下：
1. 精确的对象级深度追踪。
2. 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改
写、对象的修改进行全面还原等等。
智能黑盒
费尔智能黑盒类似于飞机的黑匣子，它会对电脑中的每个程序单位行为进行精准而细致的
记录，它不仅可以追踪程序的文件、注册表访问，还包括线程、内存，对象的操作等等。而且
它的最小追踪单位可以精确到 CPU 的执行片断，以及事件的每一个参与者。比如：一个系
统服务线程在这个时间段为正常程序 A 服务，而下一个时间段被病毒 B 嫁接并为其服务，
此时发生的破坏行为仍然会被准确定位到  B 而不波及整个服务线程。再如：当发生一个删
除文件的事件，此时被追踪的不仅仅是删除此文件的进程，还包括参与此次行动的所有模
块以及内存，甚至包括父进程、父线程都会被一并追踪。正是这一全新的追踪架构可以准确
定位目前让主防头痛的白加黑木马。
另外，虚拟黑盒具备持久记忆功能，不会随电脑的重启而归零，即使重启电脑目标程序曾
经发生的行为仍然会被持续的记录在案，这样当遇到一种把自己的行为故意打散、分时段来
- 3 -组合完成的潜伏威胁时仍可以准确侦测，从而有能力处理多步式或延时发作的后门、木马，
并对其进行彻底的清除和回滚。
行为分析系统
采用复杂的逻辑规则及综合分析系统，对智能黑盒记录的行为进行分析并自动判定是否有
害，即“记忆式多步智能主防”。
精准回滚
对有害程序产生的行为实施精准全面的回滚还原。它会对有害程序直接产生的行为以及嫁接
到别的程序上间接产生的行为进行还原，而同时不会波及到正常程序。比如：病毒对  
Explorer 进行了 HOOK，回滚可以将 HOOK 还原并在不结束 Explorer 的情况下让其保持
干净的继续正常工作。
另外，被病毒修改或删除的文件也能够被完美还原，这包括被感染型病毒感染的文件。智能
黑盒在追踪程序行为时会对文件、注册表、内存、对象所有发生的修改性动作进行实时备份，
并且采用大量先进算法确保对系统影响不可感知，这样即使遇到感染性病毒时仍然可以对
曾经的破坏进行回滚复原。
黑盒&沙盒（沙盘）
传统安全软件中的“沙盒”（Sandbox）的工作机制是：对于任何未知程序进行“有罪推
定”，也就是说当一个未知程序在运行时沙盒会先假定它是有害的，然后放入隔离环境中
检验。这样做的好处是如果程序真的有害那么一般不会对系统造成实质影响，但实际情况中
用户遇到的大多数程序都属于正常安全的，由于沙盒中的正常程序要生效修改时会比较困
难（比如在沙盒中安装游戏是无法把它真正安装到电脑中去的），甚至需要全部丢弃让用
户重新再做一次。所以沙盒比较适合安全厂商进行内部病毒分析或样本采集时使用，但对于
普通用户来说存在障碍，它目前仍然属于比较专业的应用。费尔 V8 中的“黑盒”则是一个
来源于沙盒思想但与此相反的工作机制，即“无罪推定”。它先假定程序是干净无害的，然
后完整跟踪每个程序的行为记录和修改动作，只有当程序表现出恶意行为时才阻止并恢复
退回当初状态。这种机制可以和主动防御系统完美的契合联动，而且对于用户来说并不存在
任何使用上的门槛，因为整个过程是 V8 内部来自动完成的，不存在要求用户自动/手动入
沙过程，也不存在应用修改的问题，和正常使用没有区别，所以费尔的黑盒技术更易用也
更安全。

9、 分析费尔V8云鉴定的原理是什么或者有哪些？（16分）

云端分析程序（文件）安全性，

10、费尔动态防御2.0可以完美侦测白+黑的原因是什么？（18分）

问题8中有回答了。。
V8 技术亮点之“动态防御 2.0”
费尔第二代动态防御开发历时 4 年，代码量超过 40 万行，是费尔最复杂的系统之一，它
基本实现一个小型的子系统来模拟和追踪 Windows 的运作过程。
主要技术亮点
首先用一个比喻来描述新版动态防御的特色：一个小偷伪装成客人到家里偷东西，等巡查
员认定它不是客人而是贼时随即将其拿下，可是家里却已经被翻乱了，要恢复原样就比较
困难。第二代动态防御系统不仅可以抓住贼，同时能让家里恢复如初，并且有能力更早更准
确的识别伪装更好的贼，包括当前流行的白加黑木马。主要特点如下：
1. 精确的对象级深度追踪。
2. 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改
写、对象的修改进行全面还原等等。
智能黑盒
费尔智能黑盒类似于飞机的黑匣子，它会对电脑中的每个程序单位行为进行精准而细致的
记录，它不仅可以追踪程序的文件、注册表访问，还包括线程、内存，对象的操作等等。而且
它的最小追踪单位可以精确到 CPU 的执行片断，以及事件的每一个参与者。比如：一个系
统服务线程在这个时间段为正常程序 A 服务，而下一个时间段被病毒 B 嫁接并为其服务，
此时发生的破坏行为仍然会被准确定位到  B 而不波及整个服务线程。再如：当发生一个删
除文件的事件，此时被追踪的不仅仅是删除此文件的进程，还包括参与此次行动的所有模
块以及内存，甚至包括父进程、父线程都会被一并追踪。正是这一全新的追踪架构可以准确
定位目前让主防头痛的白加黑木马。
另外，虚拟黑盒具备持久记忆功能，不会随电脑的重启而归零，即使重启电脑目标程序曾
经发生的行为仍然会被持续的记录在案，这样当遇到一种把自己的行为故意打散、分时段来
- 3 -组合完成的潜伏威胁时仍可以准确侦测，从而有能力处理多步式或延时发作的后门、木马，
并对其进行彻底的清除和回滚。
行为分析系统
采用复杂的逻辑规则及综合分析系统，对智能黑盒记录的行为进行分析并自动判定是否有
害，即“记忆式多步智能主防”。
精准回滚
对有害程序产生的行为实施精准全面的回滚还原。它会对有害程序直接产生的行为以及嫁接
到别的程序上间接产生的行为进行还原，而同时不会波及到正常程序。比如：病毒对  
Explorer 进行了 HOOK，回滚可以将 HOOK 还原并在不结束 Explorer 的情况下让其保持
干净的继续正常工作。
另外，被病毒修改或删除的文件也能够被完美还原，这包括被感染型病毒感染的文件。智能
黑盒在追踪程序行为时会对文件、注册表、内存、对象所有发生的修改性动作进行实时备份，
并且采用大量先进算法确保对系统影响不可感知，这样即使遇到感染性病毒时仍然可以对
曾经的破坏进行回滚复原。
黑盒&沙盒（沙盘）
传统安全软件中的“沙盒”（Sandbox）的工作机制是：对于任何未知程序进行“有罪推
定”，也就是说当一个未知程序在运行时沙盒会先假定它是有害的，然后放入隔离环境中
检验。这样做的好处是如果程序真的有害那么一般不会对系统造成实质影响，但实际情况中
用户遇到的大多数程序都属于正常安全的，由于沙盒中的正常程序要生效修改时会比较困
难（比如在沙盒中安装游戏是无法把它真正安装到电脑中去的），甚至需要全部丢弃让用
户重新再做一次。所以沙盒比较适合安全厂商进行内部病毒分析或样本采集时使用，但对于
普通用户来说存在障碍，它目前仍然属于比较专业的应用。费尔 V8 中的“黑盒”则是一个
来源于沙盒思想但与此相反的工作机制，即“无罪推定”。它先假定程序是干净无害的，然
后完整跟踪每个程序的行为记录和修改动作，只有当程序表现出恶意行为时才阻止并恢复
退回当初状态。这种机制可以和主动防御系统完美的契合联动，而且对于用户来说并不存在
任何使用上的门槛，因为整个过程是 V8 内部来自动完成的，不存在要求用户自动/手动入
沙过程，也不存在应用修改的问题，和正常使用没有区别，所以费尔的黑盒技术更易用也
更安全。

张年

1、费尔的引擎是否全部拥有自主知识产权？（2分）
是
2、费尔V8有缓冲区溢出保护功能吗？它有何作用？如何打开这个功能？（6分）
有;保护电脑中每个程序免受缓冲区0day攻击;设置===保护==系统加固=设置缓冲区溢出保护
3、费尔从什么时候开始加入云的？当时具备什么功能？（10分）
2007年!!   云端联合防御。2007年费尔首个实现了可疑程序自动提交、在线扫描与反馈、自动识别与病毒库自动更新的云系统，开创国内云安全的先河。
4、费尔V8有哪些地方的窗口支持文件的直接拖拽？（8分）
举报可疑文件,误报文件,云鉴定
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
5、费尔的语音识别功能如何打开？是否有系统要求？（6分）
设置--项目--报警与语音(接受语音控制)            ;有要求(此功能需要在windows vista或更高版本使用)
6、列举几个你认为费尔独有的功能或特色？（10分）
智能黑盒 + 超级回滚        隐私保护                蓝屏保护 + 缓冲区溢出保护           智能高级启发 + 智能基因
威胁诱捕陷阱               Malware Virtual Machine
----------------------------------------------------------------------------------------------------------------------------------------------------------------
7、 费尔V8的MVM虚拟机是什么？有什么作用？MVM虚拟机的静态启发与动态启发的区别是什么？（12分）

1.MVM能够模拟出一个真实的操作环境MVM中的虚拟机是一个极度复杂的虚拟仿真系统，它能解析并模拟几乎全部的CPU指令、数千个API函数，并对木马、病毒经常涉及的一些硬件进行仿真，比如：硬盘、网卡等等。它的工作原理是让目标程序在一个虚拟的隔离环境中运行，并将自己的真实意图充分暴露，一旦发现有恶意目的即可被侦测，而同时也决不会影响真实系统。目前MVM可以脱近400种壳，能有效的应对加壳、变形等特征码不易对付的病毒。;2.使恶意程序表现出它们的真实行为;3.静态启发不需要依赖于虚拟机可以独立工作。它通过反解目标程序的二进制代码直接分析其意图，发现有威胁特点即可被判别，从而达到识别未知威胁的目的。这种方式的优点是速度快，但无法有效识别加壳和变形病毒，而动态启发部分则可以有效弥补这一点。

威胁程序无论是加壳还是变形，最终总要去实现自己的目的，也就是说在运行时它们会自己脱壳。动态启发就可以让其在虚拟机中仿真运行，脱掉自己的外衣，诱使它发作，待目标充分暴露出自己的恶意行为时即被判定威胁，实现动态防御的静态识别。

8、 你知道费尔动态防御2.0与传统主动防御有哪些明显的区别吗？请简要说明（12分）
没有传统主动防御繁琐!检查您电脑中每一个程序的行为并智能判断其是否有害!


9、 分析费尔V8云鉴定的原理是什么或者有哪些？（16分）
基于数字神经网络模型构建联合防御体系，自我感知并抵御潜伏性威胁
综合分析从 EVANET 客户端发送来的关于程序的行为、属性等各种特征信息，自动判定其是否有危害，客户端根据 EVANET 的分析结果自动决定处理动作。比如：警告、还原或放行等。

10、费尔动态防御2.0可以完美侦测白+黑的原因是什么？（18分）
1. 精确的对象级深度追踪。
2. 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改写、对象的修改进行全面还原等等。
3.智能黑盒费尔智能黑盒类似于飞机的黑匣子，它会对电脑中的每个程序单位行为进行精准而细致的记录，它不仅可以追踪程序的文件、注册表访问，还包括线程、内存，对象的操作等等。而且它的最小追踪单位可以精确到 CPU 的执行片断，以及事件的每一个参与者。比如：一个系统服务线程在这个时间段为正常程序 A 服务，而下一个时间段被病毒 B 嫁接并为其服务，此时发生的破坏行为仍然会被准确定位到  B 而不波及整个服务线程。再如：当发生一个删除文件的事件，此时被追踪的不仅仅是删除此文件的进程，还包括参与此次行动的所有模块以及内存，甚至包括父进程、父线程都会被一并追踪。正是这一全新的追踪架构可以准确定位目前让主防头痛的白加黑木马。

另外，虚拟黑盒具备持久记忆功能，不会随电脑的重启而归零，即使重启电脑目标程序曾经发生的行为仍然会被持续的记录在案，这样当遇到一种把自己的行为故意打散、分时段来组合完成的潜伏威胁时仍可以准确侦测，从而有能力处理多步式或延时发作的后门、木马，并对其进行彻底的清除和回滚。
4.行为分析系统
采用复杂的逻辑规则及综合分析系统，对智能黑盒记录的行为进行分析并自动判定是否有害，即“记忆式多步智能主防”。
5.精准回滚
对有害程序产生的行为实施精准全面的回滚还原。它会对有害程序直接产生的行为以及嫁接到别的程序上间接产生的行为进行还原，而同时不会波及到正常程序。比如：病毒对 Explorer 进行了 HOOK，回滚可以将 HOOK 还原并在不结束 Explorer 的情况下让其保持干净的继续正常工作。

另外，被病毒修改或删除的文件也能够被完美还原，这包括被感染型病毒感染的文件。智能黑盒在追踪程序行为时会对文件、注册表、内存、对象所有发生的修改性动作进行实时备份，并且采用大量先进算法确保对系统影响不可感知，这样即使遇到感染性病毒时仍然可以对曾经的破坏进行回滚复原。

挥泪斩情思

1、费尔的引擎全部拥有自主知识产权

2、费尔V8有缓冲区溢出保护功能；作用：缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击，可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作，费尔V8的缓冲区溢出保护功能可以有效的预防和阻止由此类漏洞被利用所带来的一系列潜在威胁；打开此项功能：费尔软件设置——保护——系统加固——设置——缓冲区溢出保护（勾选）——确定保存。

3、2007年开始加入云；当时具备的功能为：未知程序自动提交、云扫描(在线扫描)、自动发放等；病毒自动提交与分析系统（ASAA）、自动反误报系统（AAFP），可以在完全脱离人工干预情况下自动完成病毒的分析与更新

4、费尔扫描界面窗口支持文件的直接拖拽。

5、打开语音识别：主界面设置——报警和语音控制——语音控制——接受语音控制（勾选）——确定保存。
     设置——软件设置——配额——报警与语音——语音控制——接受语音控制（勾选）——确定保存。
    系统要求：需要电脑中正确安装了声卡与麦克风，并且费尔语音服务器处于运行状态。

6、支持断点扫描；支持智能语音控制；MVM威胁虚拟机启发技术；动态防御（主动防御）；智能回滚；系统加固（蓝屏保护，缓冲区溢出保护等等）；陷阱（文件，注册表，进程）；文件隐私保护；智能提速；智能基因码；恶意代码高级分析引擎；载荷均衡（可以自定义病毒库的载入量），云安全系统（云鉴定，云扫描）等等.........

7、MVM虚拟机是一个极度复杂的虚拟仿真系统，它能解析并模拟几乎全部的CPU指令、数千个API函数，并对木马、病毒经常涉及的一些硬件进行仿真，比如：硬盘、网卡等等。它的工作原理是让目标程序在一个虚拟的隔离环境中运行，并将自己的真实意图充分暴露，一旦发现有恶意目的即可被侦测，而同时也决不会影响真实系统。目前MVM可以脱近400种壳，能有效的应对加壳、变形等特征码不易对付的病毒

MVM虚拟机的作用：为了通过扫描的方式来检测未知威胁，弥补特征码的滞后性，增强对新木马和加壳变形病毒的防御能力。

MVM虚拟机的静态启发与动态启发的区别：

静态启发不需要依赖于虚拟机可以独立工作。它通过反解目标程序的二进制代码直接分析其意图，发现有威胁特点即可被判别，从而达到识别未知威胁的目的。这种方式的优点是速度快，但无法有效识别加壳和变形病毒，而动态启发部分则可以有效弥补这一点。

威胁程序无论是加壳还是变形，最终总要去实现自己的目的，也就是说在运行时它们会自己脱壳。动态启发就可以让其在虚拟机中仿真运行，脱掉自己的外衣，诱使它发作，待目标充分暴露出自己的恶意行为时即被判定威胁，实现动态防御的静态识别。

8、费尔动态防御2.0与传统主动防御区别：

1. 精确的对象级深度追踪。

2. 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改写、对象的修改进行全面还原等等。

智能黑盒

它会对电脑中的每个程序单位行为进行精准而细致的记录，它不仅可以追踪程序的文件、注册表访问，还包括线程、内存，对象的操作等等。而且它的最小追踪单位可以精确到 CPU 的执行片断，以及事件的每一个参与者。这一全新的追踪架构可以准确定位目前让主防头痛的白加黑木马。

另外，虚拟黑盒具备持久记忆功能，不会随电脑的重启而归零，即使重启电脑目标程序曾经发生的行为仍然会被持续的记录在案，这样当遇到一种把自己的行为故意打散、分时段来组合完成的潜伏威胁时仍可以准确侦测，从而有能力处理多步式或延时发作的后门、木马，并对其进行彻底的清除和回滚。

精准回滚

对有害程序产生的行为实施精准全面的回滚还原。它会对有害程序直接产生的行为以及嫁接到别的程序上间接产生的行为进行还原，而同时不会波及到正常程序。

另外，被病毒修改或删除的文件也能够被完美还原，这包括被感染型病毒感染的文件。智能黑盒在追踪程序行为时会对文件、注册表、内存、对象所有发生的修改性动作进行实时备份，并且采用大量先进算法确保对系统影响不可感知，这样即使遇到感染性病毒时仍然可以对曾经的破坏进行回滚复原。

批处理/脚本行为防御

目前传统的主动防御技术对于恶意批处理/脚本还存在防御上的缺陷，很难对这类威胁进行有效行为跟踪，费尔动态防御2在这方面获得了突破性成果，它可以对批处理、恶意脚本进行完整的行为监控，发现威胁动作后立即切断并回滚复原。

9、费尔V8云鉴定属于费尔EVANET系统的子系统之一；通过上传用户端有潜在威胁的程序或程序特征到云端，利用云端的更丰富的鉴定方式进行再次鉴定；根据用户对程序的不同操作方式进行分析，当很多用户表现出对此程序反感时，它将被标记为潜在的威胁。费尔以 EVANET 为名，希望将所有的用户电脑有效连接起来共同抵御威胁，从而有效放大抵御能力。

10、费尔动态防御2.0可以完美侦测白+黑的原因是：

1. 精确的对象级深度追踪。

2. 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改写、对象的修改进行全面还原等等。

智能黑盒

费尔智能黑盒会对电脑中的每个程序单位行为进行精准而细致的记录，它不仅可以追踪程序的文件、注册表访问，还包括线程、内存，对象的操作等等。而且它的最小追踪单位可以精确到 CPU 的执行片断，以及事件的每一个参与者。比如：一个系统服务线程在这个时间段为正常程序 A 服务，而下一个时间段被病毒 B 嫁接并为其服务，此时发生的破坏行为仍然会被准确定位到  B 而不波及整个服务线程。再如：当发生一个删除文件的事件，此时被追踪的不仅仅是删除此文件的进程，还包括参与此次行动的所有模块以及内存，甚至包括父进程、父线程都会被一并追踪。正是这一全新的追踪架构可以准确定位目前让主防头痛的白加黑木马。

虚拟黑盒具备持久记忆功能，不会随电脑的重启而归零，即使重启电脑目标程序曾经发生的行为仍然会被持续的记录在案，这样当遇到一种把自己的行为故意打散、分时段来组合完成的潜伏威胁时仍可以准确侦测，从而有能力处理多步式或延时发作的后门、木马，并对其进行彻底的清除和回滚。

蓝核

1是
2有
这是费尔V8中新增的缓冲区溢出保护功能在起作用。当前有许多0day漏洞病毒专门通过Windows或一些知名软件的漏洞来传播，费尔的这个功能可以对系统中的所有程序提供额外的数据执行保护，自动免疫利用此类新漏洞的破坏。
系统加固-打开缓冲区溢出保护
3 2003年 自动从互联网、样本提供商、交换商搜集和下载样本，为病毒库定义提供资源支持。
4扫描 云鉴定
5 设置 -报警与语音-播放声音-语音合成
无系统要求，是个纯绿色功能，不会增加额外插件
6
威胁虚拟机（MVM）误报低，启发好

动态防御
1. 精确的对象级深度追踪
2. 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改写、对象的修    改进行全面还原等等。

智能黑盒
费尔智能黑盒类似于飞机的黑匣子，它会对电脑中的每个程序单位行为进行精准而细致的记录，它不仅可以追踪程序的文件、注册表访问，还包括线程、内存，对象的操作等等。而且它的最小追踪单位可以精确到 CPU 的执行片断，以及事件的每一个参与者。比如：一个系统服务线程在这个时间段为正常程序 A 服务，而下一个时间段被病毒 B 嫁接并为其服务，此时发生的破坏行为仍然会被准确定位到  B 而不波及整个服务线程。再如：当发生一个删除文件的事件，此时被追踪的不仅仅是删除此文件的进程，还包括参与此次行动的所有模块以及内存，甚至包括父进程、父线程都会被一并追踪。正是这一全新的追踪架构可以准确定位目前让主防头痛的白加黑木马。

另外，虚拟黑盒具备持久记忆功能，不会随电脑的重启而归零，即使重启电脑目标程序曾经发生的行为仍然会被持续的记录在案，这样当遇到一种把自己的行为故意打散、分时段来组合完成的潜伏威胁时仍可以准确侦测，从而有能力处理多步式或延时发作的后门、木马，并对其进行彻底的清除和回滚。

精准回滚
对有害程序产生的行为实施精准全面的回滚还原。它会对有害程序直接产生的行为以及嫁接到别的程序上间接产生的行为进行还原，而同时不会波及到正常程序。

iRobots - 云端人工智能集群

蓝屏灾难保护
由于病毒攻击、软件冲突、系统故障造成的突发电脑蓝屏，可能导致你的工作中断或文件丢失。V8中提供的蓝屏灾难保护将可以阻止某些蓝屏的发生，为关键时刻及时保存重要数据提供机会，减少损失。

威胁诱捕陷阱
遇到顽固木马反复清除不掉，单纯的抑制再生和文件粉碎往往并不能解决根源。V8中新增的陷阱功能可以用来应对这种“疑难杂症”。设置一个虚拟陷阱将有再生能力的顽固威胁的创建者捕获，实现彻底的清除。

7费尔V8的MVM虚拟机是费尔智能杀毒8中又一极为复杂的安全系统.
作用：构建此系统的主要目的是为了通过扫描的方式来检测未知威胁，弥补特征码的滞后性，增强对新木马和加壳变形病毒的防御能力。
区别：
简单的来说，就是静态启发不需要依赖虚拟机，动态依赖。
                  动态可以有效识别加壳和变形
静态启发不需要依赖于虚拟机可以独立工作。它通过反解目标程序的二进制代码直接分析其意图，发现有威胁特点即可被判别，从而达到识别未知威胁的目的。这种方式的优点是速度快，但无法有效识别加壳和变形病毒，而动态启发部分则可以有效弥补这一点。

威胁程序无论是加壳还是变形，最终总要去实现自己的目的，也就是说在运行时它们会自己脱壳。动态启发就可以让其在虚拟机中仿真运行，脱掉自己的外衣，诱使它发作，待目标充分暴露出自己的恶意行为时即被判定威胁，实现动态防御的静态识别。

8
特点1. 精确的对象级深度追踪。
      2. 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改写、对象的修改进行全面还原等等。

9
当未知的东西加载到内存就会触发，比对MD5或者其他
目前云鉴定只与动态防御监控时有联动，在扫描时并未互通

10
新版动态防御采用全程栈回溯技术，可以轻松应对白加黑。当然，如果没有检测到危害动作或样本没发作则不会报告。遇到有危害但又不能识别的白加黑样本可以及时反馈我们，以做核实。

sdhlong

费尔6、7年的老用户了，手头有几个终身码，题就不答了，非常喜欢费尔，支持费尔！希望官方把费尔越做越好！祝大家新年身体健康，工作顺利！

＂＿唯℡y⒈ぅ°

1、费尔的引擎是否全部拥有自主知识产权？（2分）
   是
2、费尔V8有缓冲区溢出保护功能吗？它有何作用？如何打开这个功能？（6分）
有~  溢出保护功能 他的作用是自动免疫各类缓冲区溢出攻击，保护电脑免受0day漏洞的破坏~ 打开方法
设置-保护-系统加固-设置-区溢出保护功能（E）-勾选~
3、费尔从什么时候开始加入云的？当时具备什么功能？（10分）
2003年
自动搜集样本，为病毒库提供资源~

4、费尔V8有哪些地方的窗口支持文件的直接拖拽？（8分）
主界面 防御 扫描 设置 工具 帮助  文件扫描信任  动态防御信任

子夜看星

1：有
2：有  可以对系统中的所有程序提供额外的数据执行保护，自动免疫利用此类新漏洞的破坏。当然，有些软件可能也会因为自身bug或特殊情况出现这种溢出错误，并不表示一定受到了病毒攻击
3：2007年1月V7的动态防御幕后中就已经在用云技术了：可疑程序自动提交、云服务器自动判断并反馈结果、样本自动收集和机器分析、自动分析特征，自动发布特征完成客户端更新
4：

浮生如梦

昨晚还是没hold住啊~~~太累，睡了，呵呵
现在回答：
1、费尔的引擎拥有全部的自主知识产权/是
2、费尔有缓冲溢出保护/有
作用：可以保护用户电脑将自动免疫各类缓冲区溢出攻击，即使在没有安装Windows系统补丁的情况下遇到此类最新威胁也能够立即侦测并阻止，保护电脑免受0day漏洞破坏
可以在设置中打开，或者点击主界面的“系统加固”中勾选
3、费尔杀毒匹配的“云”（在线扫描）好像是2007年/01/01，发布的V7版，配备解疑式在线扫描系统，可对可疑文件执行进一步安全性诊断，通过上传用户端有潜在威胁的程序或程序特征到云端，利用云端的更丰富的鉴定方式进行再次鉴定
4、工具栏中的"文件信任”和“动态信任” 支持文件拖拽
接着回答：
5、费尔的语音控制可以在“设置”中的“报警与语音”中点击勾选“接受语音控制”打开
费尔的语音识别，需要电脑安装了声卡与麦克风并让费尔语音服务器处于运行状态
6、费尔的特色功能还是有蛮多滴~~~
》动态防御2和智能黑盒：能对病毒木马进行深度追踪并对病毒木马产生的破坏进行回滚
》 高启发和MVM虚拟机：虚拟系统能够模拟程序运行并收集行为，启发检测程序是否有害
》费尔独创的“蓝屏保护”：可以由病毒木马以及软件和系统造成的蓝屏进行蓝屏阻止，以保护重要数据
》最喜欢的就是“智能交互控制”：语音控制与人声模拟——不仅能听懂您说出的命令，还能模拟人声自然对话，感受智能科技带来的非凡体验
》全景动画界面 ——震撼的多媒体全景交互动画，不同风格的皮肤任由选择，最喜爱的就是智能安全（动画）版皮肤
接着回答:
7、MVM虚拟机是一个复杂的虚拟仿真系统
作用：它能解析并模拟几乎全部的CPU指令、数千个API函数，并对木马、病毒经常涉及的一些硬件进行仿真，让程序在一个虚拟的隔离环境中运行，并将自己的真实意图充分暴露，一旦发现有恶意目的即可被侦测，而同时也决不会影响真实系统
静态：静态启发不需要依赖于虚拟机可以独立工作，它通过反解目标程序的二进制代码直接分析其意图，发现有威胁特点即可被判别，从而达到识别未知威胁的目的
动态：可以让程序在虚拟机中仿真运行，诱使它发作，待目标充分暴露出自己的恶意行为时即判定威胁
8、动态防御2.0可以实现实现一个小型的子系统来模拟和追踪 Windows 的运作过程，对威胁所产生的破坏进行全面回滚，而且动态防御包括黑盒、行为分析以及回滚。
》而传统主动防御而是从最原始的病毒定义出发，直接将程序的行为作为判断病毒的依据。
》目前传统的主动防御技术对于恶意批处理/脚本还存在防御上的缺陷，很难对这类威胁进行有效行为跟踪，费尔动态防御2在这方面获得了突破性成果，它可以对批处理、恶意脚本进行完整的行为监控，发现威胁动作后立即切断并回滚复原
终于最后了~~~回答
9、云鉴定的原理：云端的鉴定目前主要分启发和行为鉴定，其实费尔的动态防御2.0就是完整的云端鉴定系统，所以一般不需要再提交到云上，但是把样本放在云端虚拟机上跑会更大胆一些，所以有时鉴定的结果会与本地有所不同。但由于本地更接近真实和实际环境，所以我们还是建议以本地的动态防御的鉴定结果为准。有时候动态防御要等到云鉴定完成才报毒，那一般是云端的非行为鉴定器起作用了，行为鉴定在本地就能做出来。这种样本一般是在用户电脑中当时没有发作危害行为，但可能在其他用户的电脑中发作过，在云端查询到后再反馈回来，这段延迟别后回滚一下也可以完整清除。这种云的模式就是iRobot8 EVAENT中枢神经系统，也是EVANET安全神经网络系统第二阶段功能的体现
10、动态防御2采用全程栈回溯技术，全新的架构，可完美防御白加黑，白黑部分它会独立检测，它可以精确到危害动作所在的对象内存或函数，只要它有危害动作，签名也不能阻止费尔对它报告

qq2chd

1：费尔安全实验室的软件全部拥有自主知识产权，能够为个人、家庭、企业和政府教育机构提供全面的信息安全解决方案。

2：有的、安装V8 后你的电脑将可以自动免疫各类缓冲区溢出攻击。即使在没有安装Windows 系统补丁的情况下遇到此类最新威胁也能够立即侦测并阻止，保护电脑免受 0day漏洞破坏。设置-系统加固-缓冲区溢出保护。

3：2003 年。功能简介：自动从互联网、样本提供商、交换商搜集和下载样本，为病毒库定义提供资源支
持。

4：文件扫描信任，动态防御信任。

5：设置-报警与语音。只需要电脑中安装了声卡和扬声器。

6：首次运行费尔的时候，会给出几个选项，以此来判断用户是专业人士还是小白用户。给不同的人分别不同的设置。

7：威胁虚拟机（MVM）是费尔智能杀毒 8 中又一极为复杂的安全系统。构建此系统的主要目的是为了通过扫描的方式来检测未知威胁，弥补特征码的滞后性，增强对新木马和加壳变形病毒的防御能力。虚拟机系统用来模拟程序运行并收集程序行为，启发分析系统则根据这些行为来判断目标对象是否有害。

8：一个小偷伪装成客人到家里偷东西，等巡查员认定它不是客人而是贼时随即将其拿下，可是家里却已经被翻乱了，要恢复原样就比较困难。第二代动态防御系统不仅可以抓住贼，同时能让家里恢复如初，并且有能力更早更准确的识别伪装更好的贼，包括当前流行的白加黑木马。

9：云端的鉴定目前主要分启发和行为鉴定，其实费尔的动态防御2.0就是完整的云端鉴定系统，所以一般不需要再提交到云上。但是把样本放在云端虚拟机上跑会更大胆一些，所以有时鉴定的结果会与本地有所不同。但由于本地更接近真实和实际环境，所以我们还是建议以本地的动态防御的鉴定结果为准。有时候动态防御要等到云鉴定完成才报毒，那一般是云端的非行为鉴定器起作用了，行为鉴定在本地就能做出来。这种样本一般是在用户电脑中当时没有发作危害行为，但可能在其他用户的电脑中发作过，在云端查询到后再反馈回来，这段延迟别后回滚一下也可以完整清除。这种云的模式就是iRobot8 EVAENT中枢神经系统，也是EVANET安全神经网络系统第二阶段功能的体现。

10：1. 精确的对象级深度追踪。
        2. 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改
写、对象的修改进行全面还原等等。

这些问题真是难到爆，算了，就算参与一下吧~