【我爱费尔，喜迎新春】——费尔区2013年迎新活动专贴

jhlxsxj

支持下微凉

双鱼牧羊人

1，是
2，有，费尔的这个功能可以对系统中的所有程序提供额外的数据执行保护，自动免疫利用当前许多0day漏洞病毒专门通过Windows或一些知名软件的漏洞来传播的破坏；V8设置里网页防护功能
3，在07年1月初推出V7中；在线扫描、动态防御中的可疑程序的自动提交
4，      
5，        设置选项下声音与声控选项下自行勾选 ，在Vista或者Windows 7系统环境下
6，费尔语音服务器，选择续扫断点任务，云端人工智能集群 iRobots，缓冲区溢出保护
7，MVM虚拟机是一个极度复杂的虚拟仿真系统，它能解析并模拟几乎全部的CPU指令、数千个API函数，并对木马、病毒经常涉及的一些硬件进行仿真，让目标程序在一个虚拟的隔离环境中运行，并将自己的真实意图充分暴露，一旦发现有恶意目的即可被侦测，而同时也决不会影响真实系统。MVM中的启发分析系统分为两部分：静态启发，动态启发。静态启发不需要依赖于虚拟机可以独立工作。但无法有效识别加壳和变形病毒，而动态启发部分则可以有效弥补这一点；
8，费尔的动态防御就是主动防御系统，在不依赖病毒库更新的情况具有对未知病毒有很强的智能侦测能力。主动防御实际为一种反未知病毒方案，并不固定于某种特定的技术实现(如HIPS)。一般的，我们平时所讲的主动防御多是指一种具有智能化判断和侦测未知病毒的软件系统，对恶意程序的判断绝大多数是由软件自己完成。
9，云端的鉴定目前主要分启发和行为鉴定，其实费尔的动态防御2.0就是完整的云端鉴定系统，所以一般不需要再提交到云上。但是把样本放在云端虚拟机上跑会更大胆一些，所以有时鉴定的结果会与本地有所不同。但由于本地更接近真实和实际环境，所以我们还是建议以本地的动态防御的鉴定结果为准。有时候动态防御要等到云鉴定完成才报毒，那一般是云端的非行为鉴定器起作用了，行为鉴定在本地就能做出来。这种样本一般是在用户电脑中当时没有发作危害行为，但可能在其他用户的电脑中发作过，在云端查询到后再反馈回来，这段延迟别后回滚一下也可以完整清除。这种云的模式就是iRobot8 EVAENT中枢神经系统，也是EVANET安全神经网络系统第二阶段功能的体现。
10,有能力更早更准确的识别伪装更好的白加黑木马，且因为具有如下特点
    《1》. 精确的对象级深度追踪。
    《2》. 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改写、对象的修改进行全面还原等等。

690565755

1:费尔安全实验室的软件全部拥有自主知识产权，能够为个人、家庭、企业和政府教育机构提供全面的信息安全解决方案。


2:有，安装 V8 后你的电脑将可以自动免疫各类缓冲区溢出攻击。即使在没有安装 Windows 系统补
丁的情况下遇到此类最新威胁也能够立即侦测并阻止，保护电脑免受 0day 漏洞破坏。点击“软件设置”—“系统加固”—“设置”在 缓冲区溢出保护前打勾，确定

3: 云端联合防御。2007年费尔首个实现了可疑程序自动提交、在线扫描与反馈、自动识别与病毒库自动更新的云系统，开创国内云安全的先河。

4：文件扫描信任，动态防御信任，还有将文件直接拖拽至主界面会自动扫描

5：软件设置—报警与语音—在接受语音控制前打勾，应用，确定。

6：行为深度追踪技术，智能黑盒，精准回滚，智能载荷均衡，威胁诱捕陷阱，缓冲区溢出保护，蓝屏灾难保护，智能交互控制，云端人工智能集群 iRobots

7： 威胁虚拟机由两个子系统组成：虚拟机系统和启发分析系统。
   
    虚拟机系统用来模拟程序运行  并收集程序行为，启发分析系统则根据这些行为来判断目标对象是否有害。
   
    MVM 中的虚拟机是一个极度复杂的虚拟仿真系统，它能解析并模拟几乎全部的 CPU 指令、  数千个API 函数，并对木马、病毒经常涉及的一些硬件进行仿真，
     
    静态启发不需要依赖于虚拟机可以独立工作。它通过反解目标程序的二进制代码直接分析其  意图，发现有威胁特点即可被判别，从而达到识别未知威胁的目的。威胁程序无论是加壳还是变形，最终总要去实现自己的目的，也就是说在运行时它们会自己脱壳。动态启发就可以让其在虚拟机中仿真运行，脱掉自己的外衣，
    诱使它发作，待目标充分暴露出自己的恶意行为时即被判定威胁，实现动态防御的静态识别。

8：费尔动态防御2.0基本实现一个小型的子系统来模拟和追踪 Windows 的运作过程。它可以精确的对象级深度追踪。
   对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改写、对象的修改进行全面还原等等。

9：iRobot8 -EVANET 中枢神经系统

综合分析从 EVANET 客户端发送来的关于程序的行为、属性等各种特征信息，自动判定其是否有危害，客户端根据 EVANET 的分析结果自动决定处理动作。比如：警告、还原或放行等。

EVANET 计划分为以下三个阶段。

第一阶段
通过上传用户端有潜在威胁的程序或程序特征到云端，利用云端的更丰富的鉴定方式进行再次鉴定。费尔 V7 在 2007 年初已经完成这一阶段。

第二阶段
综合电脑使用者的智慧来判断未知威胁。比如：根据用户对程序的不同操作方式进行分析，当很多用户表现出对此程序反感时，它将被标记为潜在的威胁。费尔V8实现了这一阶段。

第三阶段
智能联合防御阶段，当一台电脑受到威胁之后，全体电脑都有感知，并可由 EVANET 中枢发出指令，由就近的电脑对其实施救援，令受威胁的电脑起死回生。也可以脱离中枢的指挥，自动就近寻找救援。此阶段正在研发中。

10：新版动态防御采用全程栈回溯技术，可以轻松应对白加黑。当然，如果没有检测到危害动作或样本没发作则不会报告。

塔木德

1、费尔的引擎是全部拥有自主知识产权的。
2，费尔V8有缓冲区溢出保护功能的。它的主要作用是：安装V8后你的电脑将可以自动免疫各类缓冲区溢出攻击。
即使在没有安装Windows系统补丁的情况下遇到此类最新威胁也能够立即侦测并阻止，保护电脑免受0day漏洞破坏。
打开这个功能的步骤是 软件设置—保护—系统加固—设置
3、费尔从2003时候开始加入云的。它当时具备：自动从互联网、样本提供商、交换商搜集和下载样本，为病毒库定义提供资源支持。
4，费尔V8的窗口支持文件的直接拖拽的地方有：文件扫描信任  动态防御信任 注册表信任
5、费尔的语音识别功能打开步骤是：设置--报警与声音 。操作系统是适用: 适用于64位/32位 Windows 98/ME/2000/XP/2003/Vista/7/8/2008
6，费尔独有的功能或特色：智能黑盒   EVANET 中枢神经系统  智能载荷均衡  威胁诱捕陷阱  缓冲区溢出保护  蓝屏灾难保护
7，威胁虚拟机（MVM）是费尔智能杀毒8中一极为复杂的安全系统。
作用：构建此系统的主要目的是为了通过扫描的方式来检测未知威胁，弥补特征码的滞后性，增强对新木马和加壳变形病毒的防御能力。
MVM虚拟机的静态启发与动态启发的区别是：静态启发不需要依赖于虚拟机可以独立工作。动态启发让其在虚拟机中仿真运行。
8,费尔动态防御2.0与传统主动防御有哪些明显的区别是：1. 精确的对象级深度追踪。2.对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改写、对象的修改进行全面还原等等。
9，费尔云鉴定的原理是什么？ 答：云端的鉴定目前主要分启发和行为鉴定，其实费尔的动态防御2.0就是完整的云端鉴定系统，所以一般不需要再提交到云上。
10，费尔动态防御2.0可以完美侦测白+黑的原因是：采用复杂的逻辑规则及综合分析系统，对智能黑盒记录的行为进行分析并自动判定是否有害，即“记忆式多步智能主防”

sl19861025

5、费尔的语音识别功能如何打开？是否有系统要求？（6分）
设置选项里打开，要求有语音输入设备。

6、列举几个你认为费尔独有的功能或特色？（10分）
语音识别功能、云端查杀等等




7、 费尔V8的MVM虚拟机是什么？有什么作用？MVM虚拟机的静态启发与动态启发的区别是什么？（12分）
威胁虚拟机（MVM）是费尔智能杀毒 8 中又一极为复杂的安全系统。构建此系统的主要目
的是为了通过扫描的方式来检测未知威胁，弥补特征码的滞后性，增强对新木马和加壳变
形病毒的防御能力。经过多年的研发和不断改进，目前费尔 MVM 虚拟机启发技术无论从技
术层面还是实际效果都已经达到同类系统的一流水平。
威胁虚拟机由两个子系统组成：虚拟机系统和启发分析系统。虚拟机系统用来模拟程序运行
并收集程序行为，启发分析系统则根据这些行为来判断目标对象是否有害。
虚拟机系统
MVM 中的虚拟机是一个极度复杂的虚拟仿真系统，它能解析并模拟几乎全部的 CPU 指令、
数千个 API 函数，并对木马、病毒经常涉及的一些硬件进行仿真，比如：硬盘、网卡等等。它
的工作原理是让目标程序在一个虚拟的隔离环境中运行，并将自己的真实意图充分暴露，
一旦发现有恶意目的即可被侦测，而同时也决不会影响真实系统。目前 MVM 可以脱近 400
种壳，能有效的应对加壳、变形等特征码不易对付的病毒。
启发分析系统
MVM 中的启发分析系统分为两部分：静态启发，动态启发。
静态启发不需要依赖于虚拟机可以独立工作。它通过反解目标程序的二进制代码直接分析其
意图，发现有威胁特点即可被判别，从而达到识别未知威胁的目的。这种方式的优点是速度
快，但无法有效识别加壳和变形病毒，而动态启发部分则可以有效弥补这一点。
威胁程序无论是加壳还是变形，最终总要去实现自己的目的，也就是说在运行时它们会自
己脱壳。动态启发就可以让其在虚拟机中仿真运行，脱掉自己的外衣，诱使它发作，待目标
充分暴露出自己的恶意行为时即被判定威胁，实现动态防御的静态识别。


8、 你知道费尔动态防御2.0与传统主动防御有哪些明显的区别吗？请简要说明（12分）
费尔第二代动态防御开发历时 4 年，代码量超过 40 万行，是费尔最复杂的系统之一，它
基本实现一个小型的子系统来模拟和追踪 Windows 的运作过程。
主要技术亮点
首先用一个比喻来描述新版动态防御的特色：一个小偷伪装成客人到家里偷东西，等巡查
员认定它不是客人而是贼时随即将其拿下，可是家里却已经被翻乱了，要恢复原样就比较
困难。第二代动态防御系统不仅可以抓住贼，同时能让家里恢复如初，并且有能力更早更准
确的识别伪装更好的贼，包括当前流行的白加黑木马。主要特点如下：
1. 精确的对象级深度追踪。
2. 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改
写、对象的修改进行全面还原等等。
智能黑盒
费尔智能黑盒类似于飞机的黑匣子，它会对电脑中的每个程序单位行为进行精准而细致的
记录，它不仅可以追踪程序的文件、注册表访问，还包括线程、内存，对象的操作等等。而且
它的最小追踪单位可以精确到 CPU 的执行片断，以及事件的每一个参与者。比如：一个系
统服务线程在这个时间段为正常程序 A 服务，而下一个时间段被病毒 B 嫁接并为其服务，
此时发生的破坏行为仍然会被准确定位到  B 而不波及整个服务线程。再如：当发生一个删
除文件的事件，此时被追踪的不仅仅是删除此文件的进程，还包括参与此次行动的所有模
块以及内存，甚至包括父进程、父线程都会被一并追踪。正是这一全新的追踪架构可以准确
定位目前让主防头痛的白加黑木马。
另外，虚拟黑盒具备持久记忆功能，不会随电脑的重启而归零，即使重启电脑目标程序曾
经发生的行为仍然会被持续的记录在案，这样当遇到一种把自己的行为故意打散、分时段来
- 3 -组合完成的潜伏威胁时仍可以准确侦测，从而有能力处理多步式或延时发作的后门、木马，
并对其进行彻底的清除和回滚。
行为分析系统
采用复杂的逻辑规则及综合分析系统，对智能黑盒记录的行为进行分析并自动判定是否有
害，即“记忆式多步智能主防”。
精准回滚
对有害程序产生的行为实施精准全面的回滚还原。它会对有害程序直接产生的行为以及嫁接
到别的程序上间接产生的行为进行还原，而同时不会波及到正常程序。比如：病毒对  
Explorer 进行了 HOOK，回滚可以将 HOOK 还原并在不结束 Explorer 的情况下让其保持
干净的继续正常工作。
另外，被病毒修改或删除的文件也能够被完美还原，这包括被感染型病毒感染的文件。智能
黑盒在追踪程序行为时会对文件、注册表、内存、对象所有发生的修改性动作进行实时备份，
并且采用大量先进算法确保对系统影响不可感知，这样即使遇到感染性病毒时仍然可以对
曾经的破坏进行回滚复原。
黑盒&沙盒（沙盘）
传统安全软件中的“沙盒”（Sandbox）的工作机制是：对于任何未知程序进行“有罪推
定”，也就是说当一个未知程序在运行时沙盒会先假定它是有害的，然后放入隔离环境中
检验。这样做的好处是如果程序真的有害那么一般不会对系统造成实质影响，但实际情况中
用户遇到的大多数程序都属于正常安全的，由于沙盒中的正常程序要生效修改时会比较困
难（比如在沙盒中安装游戏是无法把它真正安装到电脑中去的），甚至需要全部丢弃让用
户重新再做一次。所以沙盒比较适合安全厂商进行内部病毒分析或样本采集时使用，但对于
普通用户来说存在障碍，它目前仍然属于比较专业的应用。费尔 V8 中的“黑盒”则是一个
来源于沙盒思想但与此相反的工作机制，即“无罪推定”。它先假定程序是干净无害的，然
后完整跟踪每个程序的行为记录和修改动作，只有当程序表现出恶意行为时才阻止并恢复
退回当初状态。这种机制可以和主动防御系统完美的契合联动，而且对于用户来说并不存在
任何使用上的门槛，因为整个过程是 V8 内部来自动完成的，不存在要求用户自动/手动入
沙过程，也不存在应用修改的问题，和正常使用没有区别，所以费尔的黑盒技术更易用也
更安全。





9、 分析费尔V8云鉴定的原理是什么或者有哪些？（16分）

云端分析程序（文件）安全性，

10、费尔动态防御2.0可以完美侦测白+黑的原因是什么？（18分）

问题8中有回答了。。
V8 技术亮点之“动态防御 2.0”
费尔第二代动态防御开发历时 4 年，代码量超过 40 万行，是费尔最复杂的系统之一，它
基本实现一个小型的子系统来模拟和追踪 Windows 的运作过程。
主要技术亮点
首先用一个比喻来描述新版动态防御的特色：一个小偷伪装成客人到家里偷东西，等巡查
员认定它不是客人而是贼时随即将其拿下，可是家里却已经被翻乱了，要恢复原样就比较
困难。第二代动态防御系统不仅可以抓住贼，同时能让家里恢复如初，并且有能力更早更准
确的识别伪装更好的贼，包括当前流行的白加黑木马。主要特点如下：
1. 精确的对象级深度追踪。
2. 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改
写、对象的修改进行全面还原等等。
智能黑盒
费尔智能黑盒类似于飞机的黑匣子，它会对电脑中的每个程序单位行为进行精准而细致的
记录，它不仅可以追踪程序的文件、注册表访问，还包括线程、内存，对象的操作等等。而且
它的最小追踪单位可以精确到 CPU 的执行片断，以及事件的每一个参与者。比如：一个系
统服务线程在这个时间段为正常程序 A 服务，而下一个时间段被病毒 B 嫁接并为其服务，
此时发生的破坏行为仍然会被准确定位到  B 而不波及整个服务线程。再如：当发生一个删
除文件的事件，此时被追踪的不仅仅是删除此文件的进程，还包括参与此次行动的所有模
块以及内存，甚至包括父进程、父线程都会被一并追踪。正是这一全新的追踪架构可以准确
定位目前让主防头痛的白加黑木马。
另外，虚拟黑盒具备持久记忆功能，不会随电脑的重启而归零，即使重启电脑目标程序曾
经发生的行为仍然会被持续的记录在案，这样当遇到一种把自己的行为故意打散、分时段来
- 3 -组合完成的潜伏威胁时仍可以准确侦测，从而有能力处理多步式或延时发作的后门、木马，
并对其进行彻底的清除和回滚。
行为分析系统
采用复杂的逻辑规则及综合分析系统，对智能黑盒记录的行为进行分析并自动判定是否有
害，即“记忆式多步智能主防”。
精准回滚
对有害程序产生的行为实施精准全面的回滚还原。它会对有害程序直接产生的行为以及嫁接
到别的程序上间接产生的行为进行还原，而同时不会波及到正常程序。比如：病毒对  
Explorer 进行了 HOOK，回滚可以将 HOOK 还原并在不结束 Explorer 的情况下让其保持
干净的继续正常工作。
另外，被病毒修改或删除的文件也能够被完美还原，这包括被感染型病毒感染的文件。智能
黑盒在追踪程序行为时会对文件、注册表、内存、对象所有发生的修改性动作进行实时备份，
并且采用大量先进算法确保对系统影响不可感知，这样即使遇到感染性病毒时仍然可以对
曾经的破坏进行回滚复原。
黑盒&沙盒（沙盘）
传统安全软件中的“沙盒”（Sandbox）的工作机制是：对于任何未知程序进行“有罪推
定”，也就是说当一个未知程序在运行时沙盒会先假定它是有害的，然后放入隔离环境中
检验。这样做的好处是如果程序真的有害那么一般不会对系统造成实质影响，但实际情况中
用户遇到的大多数程序都属于正常安全的，由于沙盒中的正常程序要生效修改时会比较困
难（比如在沙盒中安装游戏是无法把它真正安装到电脑中去的），甚至需要全部丢弃让用
户重新再做一次。所以沙盒比较适合安全厂商进行内部病毒分析或样本采集时使用，但对于
普通用户来说存在障碍，它目前仍然属于比较专业的应用。费尔 V8 中的“黑盒”则是一个
来源于沙盒思想但与此相反的工作机制，即“无罪推定”。它先假定程序是干净无害的，然
后完整跟踪每个程序的行为记录和修改动作，只有当程序表现出恶意行为时才阻止并恢复
退回当初状态。这种机制可以和主动防御系统完美的契合联动，而且对于用户来说并不存在
任何使用上的门槛，因为整个过程是 V8 内部来自动完成的，不存在要求用户自动/手动入
沙过程，也不存在应用修改的问题，和正常使用没有区别，所以费尔的黑盒技术更易用也
更安全。

大蜘蛛

1、费尔的引擎是否全部拥有自主知识产权？（2分）

是的


2、费尔V8有缓冲区溢出保护功能吗？它有何作用？如何打开这个功能？（6分）

有啊.保护电脑中每个程序免受缓冲区0day攻击  设置——系统加固——缓冲区保护

3、费尔从什么时候开始加入云的？当时具备什么功能？（10分）
2003年           自动从互联网、样本提供商、交换商搜集和下载样本，为病毒库定义提供资源支持。



4、费尔V8有哪些地方的窗口支持文件的直接拖拽？（8分）
保护对象？



5、费尔的语音识别功能如何打开？是否有系统要求？（6分）
在设置——报警与语音——接受语音控制            适用于64位/32位 Windows 98/ME/2000/XP/2003/Vista/7/8/2008

6、列举几个你认为费尔独有的功能或特色？（10分）
费尔的语音识别功能如何打开 能杀白+黑 终身码找回
在线云扫描


7、 费尔V8的MVM虚拟机是什么？有什么作用？MVM虚拟机的静态启发与动态启发的区别是什么？（12分）
威胁虚拟机（MVM）是费尔智能杀毒8中又一极为复杂的安全系统      MVM能够模拟出一个真实的操作环境，以使恶意程序表现出它们的真实行为                动态启发是使病毒在虚拟机内仿真运行 诱使它发作，待目标充分暴露出自己的恶意行为时即被判定威胁，实现动态防御的静态识别。
静态启发不需要依赖于虚拟机可以独立工作。它通过反解目标程序的二进制代码直接分析其意图，发现有威胁特点即可被判别，从而达到识别未知威胁的目的。这种方式的优点是速度快，但无法有效识别加壳和变形病毒，而动态启发部分则可以有效弥补这一点。


8、 你知道费尔动态防御2.0与传统主动防御有哪些明显的区别吗？请简要说明（12分）

1. 精确的对象级深度追踪。
2. 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改写、对象的修改进行全面还原等等。
其实说白了就是其他主防防住的时候可能已经造成损失而费尔能够弥补这些破坏


9、 分析费尔V8云鉴定的原理是什么或者有哪些？（16分）

病毒样本自动收集系统  正常程序自动收集系统     样本分拣系统   自动更新系统   自动误报排除系统
智能基因分析系统  行为分析系统   EVANET 中枢神经系统


10、费尔动态防御2.0可以完美侦测白+黑的原因是什么？（18分）
费尔动态防御2.0对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改写、对象的修改进行全面还原等等。

小徐老师

1、费尔的引擎是否全部拥有自主知识产权？（2分）
拥有
2、费尔V8有缓冲区溢出保护功能吗？它有何作用？如何打开这个功能？（6分）
有，安装V8后你的电脑将可以自动免疫各类缓冲区溢出攻击。即使在没有安装Windows系统补丁的情况下遇到此类最新威胁也能够立即侦测并阻止，保护电脑免受0day漏洞破坏。
3、费尔从什么时候开始加入云的？当时具备什么功能？（10分）
云端联合防御。2007年费尔首个实现了可疑程序自动提交、在线扫描与反馈、自动识别与病毒库自动更新的云系统，开创国内云安全的先河。
4、费尔V8有哪些地方的窗口支持文件的直接拖拽？（8分）
Windows下主界面拖拽扫描，云鉴定
5、费尔的语音识别功能如何打开？是否有系统要求？（6分）
能听会说的语音控制技术。这是费尔托斯特安全V8在人性化方面做的最新尝试，用户只要对着麦克风说出诸如：“用费尔扫描我的电脑”、“用费尔扫描C盘”等语音命令时费尔杀毒软件将自动启动并执行相应任务，同时对发现的威胁用语音合成的方式进行通报，进行人机之间的语言交流。
对系统没有要求。
6、列举几个你认为费尔独有的功能或特色？（10分）
MVM威胁虚拟机、动态防御 2.0、智能黑盒、精准回滚、智能载荷均衡等。
7、 费尔V8的MVM虚拟机是什么？有什么作用？MVM虚拟机的静态启发与动态启发的区别是什么？（12分）
威胁虚拟机（MVM）是费尔智能杀毒8中又一极为复杂的安全系统。构建此系统的主要目的是为了通过扫描的方式来检测未知威胁，弥补特征码的滞后性，增强对新木马和加壳变形病毒的防御能力。经过多年的研发和不断改进，目前费尔MVM虚拟机启发技术无论从技术层面还是实际效果都已经达到同类系统的一流水平。
威胁虚拟机由两个子系统组成：虚拟机系统和启发分析系统。虚拟机系统用来模拟程序运行并收集程序行为，启发分析系统则根据这些行为来判断目标对象是否有害。
8、 你知道费尔动态防御2.0与传统主动防御有哪些明显的区别吗？请简要说明（12分）
费尔第二代动态防御开发历时 4 年，代码量超过40万行，是费尔最复杂的系统之一，它基本实现一个小型的子系统来模拟和追踪 Windows 的运作过程。
首先用一个比喻来描述新版动态防御的特色：一个小偷伪装成客人到家里偷东西，等巡查员认定它不是客人而是贼时随即将其拿下，可是家里却已经被翻乱了，要恢复原样就比较困难。第二代动态防御系统不仅可以抓住贼，同时能让家里恢复如初，并且有能力更早更准确的识别伪装更好的贼，包括当前流行的白加黑木马。主要特点如下：
1. 精确的对象级深度追踪。
2. 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改写、对象的修改进行全面还原等等。
9、 分析费尔V8云鉴定的原理是什么或者有哪些？（16分）
云端快速查询技术（可比普通数据库查询快上百倍）
云端综合鉴定技术
云端智能分析技术
10、费尔动态防御2.0可以完美侦测白+黑的原因是什么？（18分）
它先假定程序是干净无害的，然后完整跟踪每个程序的行为记录和修改动作，只有当程序表现出恶意行为时才阻止并恢复退回当初状态。这种机制可以和主动防御系统完美的契合联动，而且对于用户来说并不存在任何使用上的门槛，因为整个过程是V8内部来自动完成的，不存在要求用户自动/手动入沙过程，也不存在应用修改的问题，和正常使用没有区别，所以费尔的黑盒技术更易用也更安全。
重要的在于参与，很多题目答非所问，只怨自己对费尔了解的太肤浅了，见笑了。

wakin

1、费尔的引擎是自主产权！
2、有缓冲区溢出保护功能，安装V8后电脑将可以自动免疫各类缓冲区溢出攻击。即使在没有安装Windows系统补丁的情况下遇到此类最新威胁也能够立即侦测并阻止，保护电脑免受0day漏洞破坏。
3、费尔在2007年V7的时候加入云的。通过上传用户端有潜在威胁的程序或程序特征到云端，利用云端的更丰富的鉴定方式进行再次鉴定。
4、这个真不知道……
5、你可以通过语音对V8进行控制，并且它也会有自然语言的回应。打开语音功能后，对着电脑说“费尔”，软件就会弹出主界面并回答“Hi，我在这里”，若说：“扫描我的电脑”，软件自动开始扫描。每个扫描任务都有自己的编号，用户可以随时单一（集体）语音控制那些正在进行中的任务，并让其汇报各自的工作状态。除此之外，V8语音还提供了一些友善的日常问候和应用呼叫，比如：新闻、购物，搜索等等。而且语音功能是纯绿色的，你不用担心它会在电脑中安装任何额外插件。
6、行为分析、精准回滚等等。
7、威胁虚拟机（MVM）是费尔智能杀毒8中又一极为复杂的安全系统。构建此系统的主要目的是为了通过扫描的方式来检测未知威胁，弥补特征码的滞后性，增强对新木马和加壳变形病毒的防御能力。经过多年的研发和不断改进，目前费尔MVM虚拟机启发技术无论从技术层面还是实际效果都已经达到同类系统的一流水平。为了验证其效果，曾邀请英国VB100评测机构 Virus Bulletin 对虚拟机纯启发引擎进行内部测试，在没有黑白名单的支持下，其对WildList识别率超过60%，误报也控制在极低水平，使得VB 给其高度评价“Well, it's still doing great considering it's only heuristics and nosignatures. It seems to be detecting over 60% of our samples - better than some signaturescanners!（它甚至优于某些特征码引擎）”。
8、它基本实现一个小型的子系统来模拟和追踪 Windows 的运作过程。首先用一个比喻来描述新版动态防御的特色：一个小偷伪装成客人到家里偷东西，等巡查员认定它不是客人而是贼时随即将其拿下，可是家里却已经被翻乱了，要恢复原样就比较困难。第二代动态防御系统不仅可以抓住贼，同时能让家里恢复如初，并且有能力更早更准确的识别伪装更好的贼，包括当前流行的白加黑木马。主要特点如下：
1. 精确的对象级深度追踪。
2. 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改
写、对象的修改进行全面还原等等。
9、云鉴定的原理是:病毒样本自动收集系统、正常程序自动收集系统、样本分拣系统、自动更新系统、自动误报排除系统、智能基因分析系统、行为分析系统和EVANET 中枢神经系统。
10、最难的一题 ……不会答啊

无奈的C

1.拥有完全知识产权

中华神盾

1、是
2、有，防止溢出攻击，不用打补丁设置-系统加固-缓冲区溢出保护
3、2007年1月，可疑程序自动提交、在线扫描与反馈、自动识别与病毒库自动更新的云系统4、主界面，扫描信任，动态防御信任，云鉴定
5、设置-警报与语音，无系统要求
6、智能黑盒、超级回滚、负载均衡、断点恢复
7、费尔V8的MVM虚拟机是指一种由虚拟机系统和启发分析系统构成的安全系统。其中，虚拟机系统是一个极度复杂高度仿真的虚拟系统，它通过解析模拟几乎全部cpu指令，数千api函数，并对木马病毒常涉及的硬件进行仿真，让目标程序在一个虚拟环境下运行，暴露自己的真实意图。静态启发不依赖虚拟机，但无法脱壳，动态可以弥补
8、费尔有超级回滚能精确地进行目标对象级别的跟踪，对威胁产生的破坏进行全面热滚回，包括对文件，注册表hook，内存的改写，对象的修改，都可以全面还原。拥有记忆式多步智能主防
9、费尔云鉴定在云端进行更大胆的行为测试。自动云鉴定流程是：发现非白文件->云端查询(历史管理中生成一条记录)->云端已经收集直接获得结果/未收集才开始上传。所以历史管理中的记录是所有云查询和云上传的总和，里面大分部都是云查询而不是真正的上传。
10、不知道，好难