讨论一下

command360

几天前我在火绒的论坛发了一个建议，现转到卡饭与大家一起讨论

原帖地址：https://bbs.huorong.cn/thread-90659-1-2.html

原文如下：

---------------------------------------------------------------------------------------------

五年前知道了有火绒这款安全软件，一直用到现在，真的是非常不错的一款软件。

火绒一直以来都注重于本地的反病毒引擎，对云引擎持观望态度。对此我一个门外汉也不敢妄加评价，但还是想来发表一下自己对火绒未来的云引擎的一些建议。

仅当作抛砖引玉。

1.基于恶意行为监控的反馈体系。当遇到未知的病毒，并被火绒的“恶意行为监控”拦截时，该威胁的行为模式将被上传回火绒的服务器，并给予高优先级进行分析（给高优先级是因为毕竟本地主防已经报毒了）。

2.基于日常行为监测的反馈体系。对运行中的文件进行实时行为监控，并把这些行为模型上传回火绒的服务器进行深度分析。当然，这大概是火绒现今就有的功能，只不过希望在引入云引擎时可以使针对该威胁的解决方案能被客户端快速应用上（也就是快速加到云库中），而不是像现在的一天一更地下放病毒库。undefined

3.基于HVM的反馈体系。本地引擎不报毒的情况下，查询云库中的信息，如果云库中没有该文件的信息，可以考虑把用HVM跑出来的行为回传给火绒的服务器进行分析，从而快速更新云库。

知道火绒不上传文件，所以我就没提上传文件一事。毕竟上传文件在带给服务器压力的同时也有用户隐私问题。

最后衷心祝愿火绒研发出高质量的云检测系统！


---------------------------------------------------------------------------------------------


欢迎大家踊跃讨论

00006666

云端部署沙箱类的行为分析系统，其实要比本地的HVM要可靠很多，HVM要考虑很多性能方面的问题，同时本地的动态启发式引擎也很难分析出样本的所有行为。

(其实目前的火绒主防很大程度上都是基于本地HIPS规则，恶意行为监控主要针对勒索防护)

杀软病综合医院

类似意见两年前就有人提了，但火绒不考虑。因为火绒的定位就是工具性，轻便性，无骚扰性，可DIY性。你说的那些投入大，竞争激烈，收益效果不好。

桑德尔

我只是怎么感觉火绒的主防特别类似于单步主防，实际效果感觉比卡巴这种成熟主防差很多

00006666

桑德尔 发表于 2021-9-23 14:54
我只是怎么感觉火绒的主防特别类似于单步主防，实际效果感觉比卡巴这种成熟主防差很多

单步主防是有云联动的（类似于360那种的），其实火绒的是HIPS

command360

00006666 发表于 2021-9-23 13:12
云端部署沙箱类的行为分析系统，其实要比本地的HVM要可靠很多，HVM要考虑很多性能方面的问题，同时本地的动 ...

火绒不上传用户文件，我都不知道他们样本哪来的

所以我就提了这种利用本地HVM来跑样本行为，再把行为序列上传的解决方案

不过确实要考虑性能问题，把用户机卡死了谁用啊

command360

桑德尔 发表于 2021-9-23 14:54
我只是怎么感觉火绒的主防特别类似于单步主防，实际效果感觉比卡巴这种成熟主防差很多

这可能跟火绒很喜欢学习eset有关系

多步主防有，但如果不是那种感染量很多、威胁范围很大的，火绒的主防就没有反应

也就是说，能在文件系统拦截就在文件系统拦截，我感觉火绒是这样一种策略

桑德尔

command360 发表于 2021-9-23 15:35
这可能跟火绒很喜欢学习eset有关系

多步主防有，但如果不是那种感染量很多、威胁范围很大的，火 ...

但是据说由于火绒解决不了动启带来的巨大性能拖累，已经开始悄悄玩静启了

command360

桑德尔 发表于 2021-9-23 15:36
但是据说由于火绒解决不了动启带来的巨大性能拖累，已经开始悄悄玩静启了

静启啊

静启的话要应对代码混淆什么的可就难一些了

不过火绒目前HVM还是在起作用的

00006666

command360 发表于 2021-9-23 15:26
火绒不上传用户文件，我都不知道他们样本哪来的

所以我就提了这种利用本地HVM来跑样本行为，再 ...

样本可以从用户上报，也可以通过威胁情报的渠道来获取，比如说virustotal之类的以及其他的一些平台。

本地的动态启发，受限于性能等原因，运行时间是很有限的，而且由于不是完整的虚拟机模拟，存在很大可能会被绕过。