新人请教费尔相关信息～第一帖给费尔了～

单黑林

从没用过费尔，了解也知之甚少，就是去过几次官网，看到是收费的就走了。如今狂补知识中，想知道费尔主要有什么优势和弊端？比如主防、查杀率、误杀率、性能等等…谢谢各位！（据说卡饭不能发比较帖，可我还是想弱弱问一句费尔的防护与数字比怎样？）

xflcx1991

谁说不能发比较贴？只要有理有据就好，过往一些帖子沦为了喷子的阵地才让人远离。
记得官网的说明就挺好，我去贴一段，另本区官人也不时现身。

---

可以看看官方的一份文档 http://www.filseclab.com/documents/twister8tech_zh-cn.pdf
这是本区前人整理的资料【2012.08.09】费尔 V8 资讯/技术科普/常见问题解答/优秀文章%5B帮助文档提供下载%5D]

单黑林

xflcx1991 发表于 2014-4-13 17:43
谁说不能发比较贴？只要有理有据就好，过往一些帖子沦为了喷子的阵地才让人远离。
记得官网的说明就挺好， ...

谢谢了，先收藏下了

skycai

动态防御是最大亮点。

如果你是游戏用户，那可能会觉得误报大了。

vdeathless

LS给的信息不错，我原来也是看了那个官方技术介绍才关注费尔的。

我对数字不太了解，仅仅从一个普通用户的角度（仅个人角度）说下费尔的使用感受吧。因本人不懂很多技术，所涉及到一些技术的内容如有错误还请各位指正。

1. 费尔的动态防御是其最大的亮点，对未知应用的每一步行为进行跟踪、判定，使其不仅能辨别出特征码与启发扫描未能辨别的威胁，还能回滚恶意行为。本人孤陋寡闻，在众多知名杀软中只知道卡巴有这功能（类似），但似乎卡巴的回滚没有费尔那么精确。由于本人经常会使用一些破解软件，实时扫描报毒的情况经常会有，在比较确定的情况下一般会让扫描信任该文件。但时而也会担心——若真的失手了又没有保底的防御后果将变得很棘手。而动态防御很好的弥补了这一点（题外话，不知道对后门动态防御会不会有反应），即便是扫描信任了的文件运行后有不轨行为，动态防御都会反应，而且费尔这一技术无论是其声誉还是实际的效果都是很不错的。此外，费尔的动态防御是与云联动的，这也很好地增强了其判断的精准性。插个题外话，费尔排除报毒文件比较方便（继承了国产杀软的一贯风格吧），这点对于我来说很重要……
以前玩过一段时间BD，其似乎几乎没有主防。本人曾下了一些病毒包，对双击后病毒产生的恶意行为BD几乎没有能防御住的。当然了，正常使用的情况下大部分病毒会在下载或访问压缩包的时候会被BD拦截，而到不了双击那一步。不同的杀软有其自己的侧重，因此或许在评测中或其它人那里效果很好，但未必会适合自己。

2. 说完好话，来吐下动态防御的槽，前些天用费尔试了一下此帖中的毒，http://bbs.kafan.cn/thread-1707221-1-1.html（看其行为简单应该是个小毒了）。费尔的动态防御在重启前反应了，注册表防御也反应了，但点击后修复和清除后没能阻止重启（动态防御的设置为高，操作为先阻止然后询问）。重启后管理员帐户就被禁了，新设的账户是上锁的（病毒行为，简而言之就是防御失败了）。试了两次，第一次没点到修复按钮，因为病毒调换了鼠标左右键，一开始还以为被锁了。第二次点到了。但结果都是一样的。

后来用KAV试了下，结果也是一样的，（卡巴和费尔扫描都过了），比较喜感，不知道KIS是不是能防住，毕竟多个应用程序控制。最后用online armor和comodo试了下，果然HIPS是无悬念防住的。值得一提的是，online armor使用run safer然后一步步放过（想试试能错放多少步防御），最后病毒也没能禁用管理员帐户——OA的run safer模式下其被限制了权限。

看起来似乎是跑题了，但其实我想借此说个问题（个人疑惑，若不合理请指出）：费尔似乎长期没有更新软件的防御机制，虽说总是能几乎第一时间兼容新系统，但对于不同的系统真实的兼容性（即在该系统下更好地发挥防御作用）不知究竟如何。此外，其注册表防御我理解的是等于HIPS里的RD，只是基于默认规则的智能判断。但从XP到8.1不知是不是用的一套规则，也不知道智能判断的标准会不会有不同。相比有沙盒机制的安全软件（上面提的，还有avast等），费尔的防御机制会要求其对于恶意行为有更强的防御能力，也即能在病毒获取更高权限，越过费尔之前将其限制或清除。若病毒在沙盒中跑，万一作恶了，它只是暴露了意图而没有进行实际操作，一般安软杀它也不在话下。也因此，感觉费尔对于其动态防御机制仍需花更多功夫去维护和更新。

总结下，说白了就是希望动态防御能再加强一些，无论是识别能力上还是防御能力上。

3. 查杀率和误杀率与其它知名杀软相比，可以说是费尔的软肋了，尤其是后者。就费尔的启发扫描（MVM虚拟机）来说，感觉实际作用不强——误判严重漏判也很多，普通用户很难根据其结果作判断，只能说是特征码扫描的一个补充吧。
性能方面就不说了，最近帖子好像也挺多的，可以说还有很大改进的空间。个人使用并没有感觉到明显地影响流畅度。

对于费尔，最后评价一下，如果喜欢折腾，很值得试一试。不说防护能力，因为各个安软侧重不同思路不同，因而在不同方面有强有弱，但说费尔的使用体验与很多知名厂商产品相比是不相伯仲的。

单黑林

vdeathless 发表于 2014-4-13 22:15
LS给的信息不错，我原来也是看了那个官方技术介绍才关注费尔的。

我对数字不太了解，仅仅从一个普通用户 ...

好棒啊…辛苦了！我对安软最看重的就是防御能力，查杀是那回事就行，看来费尔比较适合我了～看到大家都说费尔动态防御是亮点，麻烦请问这属于多步主防还是？（看你的回复应该不是HIPS）和微点的区别？似乎微点也是防御见长吧！官方帖还没看…

单黑林

skycai 发表于 2014-4-13 22:01
动态防御是最大亮点。

如果你是游戏用户，那可能会觉得误报大了。

不是游戏用户，不过有那方面发展趋势…防御比较好的话更适合我！谢谢指教～

vdeathless

我被强制要求更换卡饭密码中……所以很多功能用不了……该死的联通邮箱收不到邮件

回复6L，推荐看下官方的介绍帖，既准确描述又深入浅出。

我的理解是，费尔的动态防御不是HIPS，也不是单纯的智能判断的HIPS。
主要区别有二：1.动态防御有智能黑盒技术，这一技术能够记录未知应用的多步行为。HIPS对于行为基本上只是过或者不过两个选择，这样与费尔的动态防御相比至少有两个弱点：一是无法回滚，二是此时此刻单个行为没有恶意不代表在系统环境改变后也没有恶意（比如说重启后，或者运行了不同的程序）。
2.动态防御对于“恶意”的判断是有一套复杂的算法的，而HIPS显然没有，明显的恶意行为如生成启动项、修改系统文件（或hook之类）等，HIPS很好判断，但有些就未必那么好判断。特别是对于普通用户来说。

微点就不了解了。

单黑林

vdeathless 发表于 2014-4-13 22:50
我被强制要求更换卡饭密码中……所以很多功能用不了……该死的联通邮箱收不到邮件

回复6L，推荐看下官方 ...

好吧，我马上去拜读官帖…那么属于多步主防么…

单黑林

xflcx1991 发表于 2014-4-13 17:43
谁说不能发比较贴？只要有理有据就好，过往一些帖子沦为了喷子的阵地才让人远离。
记得官网的说明就挺好， ...

已阅官帖，目前对费尔防御理解为：启发式（包括动静）+沙盒（官方介绍的虚拟机、黑盒）+多步主防（动态防御），不知是否有什么理解错误之处？
另外官方的介绍我也就看到了这些亮点，好像费尔是比较专注防御的？
另外，对于MVM虚拟机表示很头大，是不是就是沙盒技术？个人理解是，动态启发发现威胁后自动使程序入沙，而传统沙盒是程序刚开始运行就入沙？
还有大家很推崇的动态防御，是否为“记忆式多步智能主防”？如此说来和微点区别在于“记忆式”？