【2009.08.24】费尔常见问题合集

我心约定

只要“使用病毒扩展库”没有选择，即使在“扫描其他威胁”中选择了“带壳程序”也不会有效。目前也只有带壳程序这个选项受“使用病毒扩展库”的影响，其他威胁类型不会。“可疑程序”往往是广谱基因特征库对程序的威胁判断，一般这个程序可以被病毒库识别，但此程序的有害性具有不完全确定性：具有一定的风险、但又不同于病毒/木马。“启发式扫描”则是不依赖病毒库的扫描评估

[ 本帖最后由 zq127 于 2009-6-12 13:27 编辑 ]

我心约定

动态防御和主动防御一样的理念：模仿病毒分析人员的经验来判断一个程序是否为病毒。而病毒测试人员和分析人员都知道，文件名称、外观图标、大小、属性、程序所处目录等等外观非技术因素都可以作为判断一个可疑程序是否为病毒的最直观参考因素，不管这些因素让一些人看来多么不值得作为标准，但这确实是专业人员都会考虑的因素之一，因为这是“行为”的一部分。正是基于这种动态仿真技术和模仿专业人员的评判标准，费尔的动态防御里面确实有参考文件名作为判断依据之一，实际上现在许多防毒软件的主动防御技术都多少在采用这种方法，这很正常和普遍的。但要注意和需要强调的是：费尔把此只作为一个参考因素并不是说完全依靠如此，了解这一点很重要。实际费尔除此之外还有更多的综合因素作为它的判断标准，其实也包括程序运行时的具体动作和触发机制。费尔的动态防御是一个综合复杂的评分机制，如果一个程序的文件名符合了一些病毒常用或黑名单名只会为其增加一定的分数，但这些分数不足于促使报警，还需要结合其他的成份综合加分，当到达一定基数时动态防御才会弹出警告。同样的，一些危险动作也只是增加了进程的加分，但必须有更多的可疑因素参与进来使得继续加分才会弹出报警。这就是为什么改名后可能不会报警的原因：因为缺少一个更多的危害因素促使加分达到报警级别。而加分机制的原理正是为了减少误报，如果遇到可疑动作都报警那么就会造成误报太多。但同样的都有两面性，这样也会造成在某些时候放掉一些可疑程序。
有经验的用户都了解费尔的动态防御偶尔会弹出“隐藏的进程”、“线程插入”等警告信息，这些就可以证明动态防御是不可能只依赖文件名的。它的技术经验库中有大量的其他规则标准，所以不要根据这个现象就认为费尔的动态防御只是通过文件名判断的，这种想法是错误的。我们不希望一些别有用心的人以此大作文章，仿佛终于找到什么把柄似的妖魔化费尔，也希望大家要有清醒的认识，不要盲目跟从人云亦云。无论是哪款软件的主动防御、动态防御也不是神话，它的存在和出现是为了克服目前防毒软件靠病毒库来识别病毒的现状，解决实际遇到安全问题，但此技术还有许多的改进空间，在面对用户的非常性测试难免会发现不足之处，因为程序的智能性是永远无法超越人的智能的，这也使得此技术会进一步发展和继续创新

大家好，我是费尔动态防御的设计师，很高兴在这里看到大家对于动态防御提出的问题和建议，受公司委托，我在这里向大家解释一下动态防御的一些原理以及下一步的开发规划。针对卡饭动态防御测试结果的质疑可以放心，卡饭测试时的命名规则是不会触发动态防御的名称规则的，也就是说测试结果是没有问题的，用户可以自己下载并改名测试。具体原因是费尔动态防御的名称规则通常是在实际病毒测试过程中，病毒发作后实际生成的一些奇怪的、有规律性的、而且出现率比较高的文件名称，比如非常出名的 svch0st.exe，iexpl0re.exe，以及对个别病毒有针对性的文件名称，比如：k23449222.sys 就是一个病毒常常生成的文件，它有 k+8个数字的规律。这些规律都是根据实际的病毒总结出来的，而不是随意制定的，所以卡饭的文件名：081212-1-4.exe 这种格式并不会触发它的文件名规则。另外根据动态防御评分级别可以判断是否有文件名参与评分，动态防御显示的格式类似 47.13008900，可以从小数点后面倒数第三位的数字来判断，如果这个数是 1,3,5,7,9,b或d表示有名称参与评分，否则表示没有名称参与评分，这个例子倒数第三位是9，所以有名子参与评分。名称参与评分也是一个复杂的过程，比如像 svch0st.exe，iexpl0re.exe这种很明显的伪装就会被加上很高的分数，而对于 k23449222.sys 就往往还需要配合其他条件，比如它运行在 C:\Windows\System32 目录下就会加上很高的分数，而运行在非系统目录就会加上较低的分数。根据我们实际测试结果，病毒往往随机生成一些无规律纯数字文件名或16进制数字文件名，所以对于数字文件名往往会被增加一些分数，当然这存在一定的误报风险，所以都会辅助其它条件加减分后综合判断。总之，这些规则都是根据实际测试病毒时总结出来的。经我们实际测试，此方法确实是行之有效的，可以及时发现并阻止特定种类病毒衍生出来的新的变种，当然这个技术只是用来针对某些特定种类的病毒，对于没有这些规律的病毒还需要依靠动态防御的其它技术来判定。其它技术主要还包括线程插入，DLL注入，自我隐藏进程，自我隐藏目录，加壳等几十种判定技术，牵扯到技术机密就不一一列举了
官方曾多次说过下一版本的改进包括对动态防御的改进，这次动态防御的改进是大的革新，我们的目标就是开发出一个识别率更高，误报率更低，易用性更强的动态防御系统。具体到技术就是会增加更多的行为识别能力，进行更精确的分析，比如：引入网络活动的判断和文件I/O操作的判断等等。当然目前好的判断方式仍然会被保留，像名字这种判断根据近两年的运行证明还是非常有效的，所以仍然会被保留，但评分比例会被弱化，引入更多的判断机制。
费尔托斯特安全是一个综合性的杀毒软件，它不仅有动态防御系统，而且有识别率非常高的病毒库引擎。抛开具体的技术细节，只看疗效，根据近两年用户的反馈和实际运行效果，它是令人满意的，它的防御能力是优秀的，而且第三方的各种评测成绩也是不错的。当然它也不能做到万无一失，也不能让每个用户都满意，但作为费尔的开发团队，我们一直在认真的听取用户的意见和建议，一直在努力的改进，一直想做到让更多的用户满意。我相信，道路是曲折的，但前途还是光明的。谢谢。

[ 本帖最后由 zq127 于 2009-9-25 19:19 编辑 ]

我心约定

联系我们的
filseclab@163.com告诉我们你购买时的邮箱，可以找回

我心约定

如果费尔特别慢加载慢应该是系统问题。看看是不是你的网络连接启动慢造成的?费尔的自动加载受注册表自动启动项的引导，而这部分又受网络初始化部分的影响。如果网络初始化慢的话那么所有自动启动程序都会启动较慢，造成连带效应。所以如果你解决了网络初始化慢的问题应该就会改善，一般网络初始化慢多是因为IP设置成了动态了、网络联接速度较慢造成的。建议你把IP设置为静态指定的，不要自动获得IP，这样可以加快速度.

我心约定

注册信息意外丢失或者当前电脑被其他电脑撤销掉。重新注册一下软件即可

我心约定

动态防御的信任目前是按文件名，所以如果你信任后只要目录和文件不改变就不会再报警，这种信任方式还是比较适合做程序调试的。但要完全信任所有新编译程序则只能临时降低动态防御级别或者关闭动态防御，以后我们会考虑更人性化的信任机制，

我心约定

费尔对网页病毒识别的一直是非常好的，在5年前费尔就对网页挂马进行了深入的分析和捕捉，是最早重视网页挂马并具有有效反制能力的防毒软件之一，起步很早并积累丰富经验。而目前它对脚本病毒和经过加密伪装的网页木马和病毒持续保持极高的识别能力，特别对许多经过精心伪装的病毒，费尔拥有优秀的识别能力，可以查杀大量不被其他软件判别的病毒和潜在威胁。近年来有一些防毒软件专门引入或加强防网页挂马的模块，不过无论是通过网络拦截还是对本机网页的监控，其实目的都是一样的：防止网页病毒下载和入侵。而且费尔对于网页病毒的监控模式是对网络没有任何影响的，这也是它的一个特点，并且它并没有把监控网页这部分功能独立出来，完全溶入其中，用户不要再繁琐的去专门尝试相关的功能，因为只要你打开费尔监控就会自动加载这部分功能，当访问到含有病毒的网页时它会报警并拦截。至于费尔较其他软件这方面效果如何我们建议用户通过自己的试用来具体体验即可感知.

我心约定

服务器端扫描是更复杂更庞大的系统，在客户端难以架构，服务端的启发机制虽然更敏感，但它有实时反误报系统的纠正来调整，而且在启发表示一个文件可疑时不会立即作出回应而会进一步进行更多种条件判断参与来综合批分判断，最终提供结果值，所以经常会造成客户端与在线扫描的结果不一样，有误报也有漏报等偏差。另外，在线扫描仅反馈为木马病毒等定性语言也是为了避免专业词汇出的出现减少普通用户的困惑

我心约定

vista与xp的工作机制略有不同，调用的dll工作机制也会有所不同，费尔的实时监控会跟踪实时跟踪活动的文件，只要有活动它就实时监控，这个过程完全反应的是系统活动状态，并不是费尔所决定的。因此你遇到的情况是系统的工作方式改变造成的

我心约定

用你第一次注册成功时的邮箱或者购买时的邮箱发送邮件到
filseclab@163.com
并在邮件中提供定单号(授权已经转移的请用最新授权邮箱发送)、购买时所处城市等信息。我们确认后将许可设置密语，可自行设置，也可由官方随机设置。不用密语也可以把注册码直接绑定到你指定的邮箱上。这样以后撤销必须提供正确的邮箱或者密语，才可获得批准，以达到保护目的，