关于火绒的12个技术问题

火绒工程师

近日有卡饭网友向火绒提出12个问题（https://bbs.kafan.cn/thread-2133553-1-1.html），从产品性能到核心技术。这些问题非常棒，无论提问者是网友还是友商，火绒团队都非常愿意一起探讨。我们尝试一一作答如下。

一、本人经常在卡饭样本区转，发现很多次测试里面，火绒和国外知名杀软对很多病毒都是修复，360也修复了一些，但是国内的金山，电脑管家对病毒几乎都是删除。火绒官方人员，火绒对感染型病毒的修复能力个人感觉很强大，请火绒官方软件解答一下这个问题。

回答：

感染型病毒（virus）会将恶意代码插入到正常文件中，如果直接删除，用户文件也会丢失。很显然，针对这类病毒最好的处理方法是：将病毒插入的恶意代码清除，保留原始文件，不给用户造成损失。

火绒认为，对感染型病毒以及宏病毒尽量采用清除而非删除处理，是反病毒引擎必须具备的能力。我们选择了这条比较难的路，会一直努力。

如果遇到了火绒不能有效清除的样本，请随时联系我们。

二、火绒的报法中很多都是HVM开头，这是火绒虚拟沙盒的报法，请问官方人员，火绒的虚拟沙盒在病毒检测中是不是起了重大作用？因为火绒的病毒库很小，不依靠虚拟沙盒很多病毒应该都检测不出来吧。

回答：

首先，火绒引擎中的“虚拟沙盒”基于虚拟机技术，是重要的检测技术手段之一，作用的确很大，这和传统的静态检测有很大区别，也是火绒的技术特点之一。详情请参阅：http://down4.huorong.cn/doc/technology/cobra.pdf。

其次，火绒的病毒库小，是因为我们采用新的引擎等底层技术所致，绝不是以牺牲检测率为代价的，请放心，火绒不会为了追求“小”而本末倒置。

再次，“虚拟沙盒”是火绒引擎不可分割的部分，没法摘开了谈，实际应用中不会出现“不依靠虚拟沙盒”这样的情况。病毒库与虚拟沙盒有关系，但并非完全关联，说来复杂，详情请参阅白皮书：http://down4.huorong.cn/doc/technology/sandbox.pdf。

最后，如果遇到了火绒检测不到的可疑样本，请随时联系我们。

三、听火绒论坛有人说火绒的脚本行为沙盒很强大，对未知脚本检出率很高，大家觉得呢？

回答：

脚本病毒变形和混淆是常见的反病毒难题，传统的特征检测方式不能很好地应对，关于火绒“脚本行为沙盒”请参阅：http://down4.huorong.cn/doc/technology/script.pdf。

四、样本区测试火绒时很多时候都是扫描未发现风险，双击报毒，请问官方人员，这是怎么回事？这不会对电脑产生危险吗？扫描又不报毒。

回答：

“火绒安全软件”构建了多重的、立体的防御体系，除了本地扫描引擎以外，还有基于系统监控的动态病毒行为识别等防御措施。您说的扫描不报，双击报毒应该属于这类，也就是说，对于静态扫描没有检测到的“漏网之毒”，火绒还有动态防御等举措来拦截，很显然，这只会让电脑更安全。

火绒官网的“火绒安全解决方案”第三章对此有专门介绍。

五、官方说火绒有未知病毒防御，请问这是指未知病毒被火绒的恶意行为拦截和系统加固阻止了未知病毒的风险行为而使得未知病毒无法破坏电脑吗？火绒的未知病毒防御对抗未知病毒的能力如何？

回答：

未知病毒防御是个宽泛的概念，火绒对于未知病毒的防御，同样通过多种手段，多重防御，既有恶意行为拦截，也有系统加固，还有防火墙的参与。

至于对未知病毒的防御效果，也要具体看是哪些种类的未知病毒，有些方面我们做得还可以。譬如火绒的“漏洞攻击拦截”功能，能够有效拦截“永恒之蓝”等高危漏洞传播的病毒，无论已知还是未知，而据统计，95%以上的勒索病毒感染案例，是通过这个漏洞进入用户电脑的——您可以说，针对这一类未知勒索病毒的防御，火绒做得还行。

六、火绒是否有计划加入人工智能引擎及云引擎？360的检出率很高是因为360集成了QVM引擎，我在扫描样本时几乎30%的报法都是云QVM的报法，这对查杀防御能力有很大的帮助。

回答：

“人工智能引擎”是近年来的热门话题，跟其他新、老厂商不同的是，火绒安全团队对此抱着谨慎的态度，或者说，有着不同的选择。

“人工智能引擎”、“机器学习引擎”等等其本质上是对有限特征基于统计学算法的机器建模，这些技术当然有用，但从结果上来说，算法得到的结果是统计学意义上的分类结果，并且这个结果是模糊且不可阐述的。

这类算法在反病毒实验室内部应用可以提高整体分析、响应效率，但若直接应用到终端用户，则要考虑使用它带来的误报和不可阐述性等问题。火绒会在适当的时机、适当的场景下应用“人工智能”、“机器学习”等算法。

至于云，火绒同样会在适当的时候引入。

另外，火绒对于统计学引擎以及云引擎的态度，在火绒公开的技术白皮书中有更详细的说明：http://down4.huorong.cn/doc/technology/cobra.pdf

七、火绒是否有计划加入邮件防护和隔离沙箱，火绒既然检出率不高，我觉得应该有一个隔离沙箱隔离运行可疑文件。

回答：

1、邮件防护，“火绒企业版”已经加入该功能，个人版也将在下个版本中加入。

2、隔离沙箱，火绒在必要时会考虑引入。

您说“火绒检出率不高”，我们保留意见，是否加入上面两个功能，于此无关。

如果大家在实际中遇到了火绒不能检测的可疑程序，请随时联系我们。

八、强烈建议火绒把家长控制这个功能独立起来，放在工具箱里面

回答：谢谢，您的建议已转交产品经理评估。

九、我个人认为火绒的防御能力还是很强的，不仅仅是对已知病毒的拦截，还有系统加固拦截一些风险行为，大家觉得火绒的系统加固怎么样呢？

回答：

谢谢您的认可。不管是“系统加固”还是别的防御措施，根本上都是基于对病毒行为的认知，因此火绒团队始终将病毒分析作为核心工作来做，而不是获取样本后简单地加库。

十、虽然官方说火绒的占用很低，但我觉得火绒比较占用CPU，导致电脑卡慢，尤其是开启最高防护级别和扫描的时候，火绒的开机启动也比较缓。

回答：

火绒在开启最高防护级别和高速扫描时会占用较高的CPU，使用该功能的前提是，用户暂时没有其他任务，想要尽快完成扫描任务，譬如办公室午休时间。

反病毒引擎的扫描过程，本质上来说是计算，计算是需要占用CPU时间来获得的，而对于CPU时间占用的多少则取决于计算的复杂度。简单的文件哈希计算、统计学向量化及匹配等操作的计算量是可以忽略不记的，而启发式评估、虚拟沙盒等操作则是数据强计算型的操作，所以反病毒引擎在真正的扫描过程当中占用CPU是正常且合理的。

当然，火绒一直在尝试优化整体效率，例如引入扫描缓存机制等。安装后第一次扫描可能会比较慢，后续再次扫描就会比较快。

如果您遭遇到卡顿、启动缓慢等情况，请随时联系我们。

十一、火绒现在已经有漏洞入侵拦截和勒索诱捕功能了，那现在火绒的勒索防护应该可以了吧？

回答：

对于防治勒索病毒，火绒还是蛮自信的。

1、火绒防火墙中的“漏洞攻击拦截”功能（不是“漏洞入侵拦截”）是我们最有力的手段，该模块从网络数据层面分析并识别并拦截漏洞攻击模型（比如高危漏洞永恒之蓝），阻止勒索软件等所有威胁程序的入侵，并能够记录攻击发起者的IP地址，方便进行攻击溯源，彻底铲除单位网络中的感染源。

2、火绒病毒防御-恶意行为监控模块中还有勒索诱捕功能，该功能也能起到一定作用，不过远没有“漏洞攻击拦截”那么强。

3、正如我们反复强调的，火绒产品是“反病毒、主动防御和防火墙”深度融合的多重防御体系，针对勒索软件的防范，也是多重措施。

从一些部署了“火绒企业版”的政府、企业用户来看，有些单位勒索病毒疫情非常严重，是单位网络面临的最大问题，特别是那些还在使用Win7、XP的内网用户。火绒产品处理这些勒索病毒疫情效果比较明显，多重举措并重，基本上能根治（官网和微信公众号中有若干案例）。

十二、火绒怎么在样本区检出率很低呢？而智量的检出率却很亮眼，火绒不是有强大的虚拟沙盒吗？请官方人员做个解释。

回答：

关于检出率这个话题，火绒曾在《感谢您的质疑，容我们解释一二》里作过回答。具体内容请看：https://zhuanlan.zhihu.com/p/41235525。

再啰嗦一句，如果您在实际应用中遇到问题，请随时联系我们，随时。

幽冥の龙

有没有考虑调整火绒的默认防护， 因为之前在样本去看到有人测试某个样本的时候，防护开最高的时候顺利拦截，但默认防护就悲剧了
虽然开最高会导致弹窗增加，可现在的默认级别的防护能力到底够不够用呢。。。

迷惘的执著

5.0什么时候发布

761773275

我只要5.0

文艺青年欢乐多

哇，火绒的技术人员也太认真了吧！好评！

zmyx279323199

什么是适当的时候？

advise

其实火绒的自主产权技术还是不错的

歌德塔大蜘蛛

不容易呀，过段时间就要出来给大家解答疑问

liangxy

楼主你好，请问火绒如何设置，能够关闭文件监控扫描，只保留hips功能？

到处闲逛

希望火绒保持自有的品牌优势，让自信与成长同行