费尔智能杀毒8创新技术介绍.PDFVIP

费尔智能杀毒 8 创新技术介绍 作者：Filseclab Corporation 网站： info@ 电邮： 时间：2012 年 10 月 8 日 - 1 - 主要技术简介 行为深度追踪技术 实时追踪的快速响应技术 快速存储与检索技术（黑盒） 基于人工智能模型的行为分析技术（威胁鉴定） I/O 操作的回滚技术 内存对象的回滚技术 Windows 内核模拟技术 缓冲区溢出防御技术 蓝屏灾难保护技术 增强的自我保护技术 陷阱技术 基因识别技术 基因特征库的自动生成技术 变形病毒识别技术 缩略微特征技术 自动误报排除技术 资源载荷均衡技术 智能提速技术 断点续扫技术 虚拟机技术 API 模拟技术 静态启发式病毒检测技术 基于虚拟机的动态启发式病毒检测技术 虚拟机脱壳技术 宏病毒启发技术 静态变形病毒清除技术 静态广谱式清病技术 基于虚拟机的动态清毒技术 云端快速查询技术（可比普通数据库查询快上百倍） 云端综合鉴定技术 云端智能分析技术 智能语音交互控制技术 - 2 - 威胁自动分拣技术 白程序自动分拣技术 病毒库自动更新技术 程序逻辑追踪技术 PLT 增强 SVM 人工智算法 EX-SVM V8 技术亮点之“动态防御 2.0” 4 40 费尔第二代动态防御开发历时 年，代码量超过 万行，是费尔最复杂的系统之一，它 基本实现一个小型的子系统来模拟和追踪 Windows 的运作过程。 主要技术亮点 首先用一个比喻来描述新版动态防御的特色：一个小偷伪装成客人到家里偷东西，等巡查 员认定它不是客人而是贼时随即将其拿下，可是家里却已经被翻乱了，要恢复原样就比较 困难。第二代动态防御系统不仅可以抓住贼，同时能让家里恢复如初，并且有能力更早更准 确的识别伪装更好的贼，包括当前流行的白加黑木马。主要特点如下： 1. 精确的对象级深度追踪。 2. HOOK 对威胁所产生的破坏进行全面热回滚。这主要包括威胁对文件、注册表、 、内存的改 写、对象的修改进行全面还原等等。 智能黑盒 费尔智能黑盒类似于飞机的黑匣子，它会对电脑中的每个程序单位行为进行精准而细 的 记录，它不仅可以追踪程序的文件、注册表访问，还包括线程、内存，对象的操作等等。而且 它的最小追踪单位可以精确到 CPU 的执行片断，以及事件的每一个参与者。比如：一个系 统服务线程在这个时间段为正常程序 A 服务，而下一个时间段被病毒 B 嫁接并为其服务， B 此时发生的破坏行为仍然会被准确定位到 而不波及整个服务线程。再如：当发生一个删 除文件的事件，此时被追踪的不仅仅是删除此文件的进程，还包括参与此次行动的所有模 块以及内存，甚至包括父进程、父线程都会被一并追踪。正是这一全新的追踪架构可以准确 定位目前让主防头痛的白加黑木马。 另外，虚拟黑盒具备持久记忆功能，不会随电脑的重启而归零，即使重启电脑目标程序曾 经发生的行为仍然会被持续的记录在案，这样当遇到一种把自己的行为故意打散、分时段来 - 3 - 组合完成的潜伏威胁时仍可以准确侦测，从而有能力处理多步式或延时发作的后门、木马， 并对其进行彻底的清除和回滚。 行为分析系统 采用复杂的逻辑规则及综合分析系统，对智能黑盒记录的行为进行分析并自动判定是否有 害，即 “记忆式多步智能主防”。 精准回滚 对有害程序产生的行为实施精准全面的回滚还原。它会对有害程序直接产生的行为以及嫁接 到别的程序上间接产生的行为进行还原，而同时不会波及到正常程序。比如：病毒对 Explorer 进行了 HOOK ，回滚可以将 HO