回复 2F 瑞星工程师20 的帖子
费尔第二代动态防御开发历时 4 年,代码量超过40万行,是费尔最复杂的系统之一,它基本实现一个小型的子系统来模拟和追踪 Windows 的运作过程。
主要技术亮点
首先用一个比喻来描述新版动态防御的特色:一个小偷伪装成客人到家里偷东西,等巡查员认定它不是客人而是贼时随即将其拿下,可是家里却已经被翻乱了,要恢复原样就比较困难。第二代动态防御系统不仅可以抓住贼,同时能让家里恢复如初,并且有能力更早更准确的识别伪装更好的贼,包括当前流行的白加黑木马。主要特点如下:
1. 精确的对象级深度追踪。
2. 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、HOOK、内存的改写、对象的修改进行全面还原等等。
智能黑盒
费尔智能黑盒类似于飞机的黑匣子,它会对电脑中的每个程序单位行为进行精准而细致的记录,它不仅可以追踪程序的文件、注册表访问,还包括线程、内存,对象的操作等等。而且它的最小追踪单位可以精确到 CPU 的执行片断,以及事件的每一个参与者。比如:一个系统服务线程在这个时间段为正常程序 A 服务,而下一个时间段被病毒 B 嫁接并为其服务,此时发生的破坏行为仍然会被准确定位到 B 而不波及整个服务线程。再如:当发生一个删除文件的事件,此时被追踪的不仅仅是删除此文件的进程,还包括参与此次行动的所有模块以及内存,甚至包括父进程、父线程都会被一并追踪。正是这一全新的追踪架构可以准确定位目前让主防头痛的白加黑木马。
另外,虚拟黑盒具备持久记忆功能,不会随电脑的重启而归零,即使重启电脑目标程序曾经发生的行为仍然会被持续的记录在案,这样当遇到一种把自己的行为故意打散、分时段来组合完成的潜伏威胁时仍可以准确侦测,从而有能力处理多步式或延时发作的后门、木马,并对其进行彻底的清除和回滚。
行为分析系统
采用复杂的逻辑规则及综合分析系统,对智能黑盒记录的行为进行分析并自动判定是否有害,即“记忆式多步智能主防”。
精准回滚
对有害程序产生的行为实施精准全面的回滚还原。它会对有害程序直接产生的行为以及嫁接到别的程序上间接产生的行为进行还原,而同时不会波及到正常程序。比如:病毒对 Explorer 进行了 HOOK,回滚可以将 HOOK 还原并在不结束 Explorer 的情况下让其保持干净的继续正常工作。
另外,被病毒修改或删除的文件也能够被完美还原,这包括被感染型病毒感染的文件。智能黑盒在追踪程序行为时会对文件、注册表、内存、对象所有发生的修改性动作进行实时备份,并且采用大量先进算法确保对系统影响不可感知,这样即使遇到感染性病毒时仍然可以对曾经的破坏进行回滚复原。
