火绒（计算机防病毒软件）

火绒是一款杀防管控一体的安全软件，有着面向个人和企业的产品。拥有简洁的界面、丰富的功能和很好的体验。特别针对国内安全趋势，自主研发高性能反病毒引擎，由前瑞星核心研发成员打造，拥有多年网络安全经验。

发展背景

火绒安全软件系瑞星前CTO刘刚2011年8月离职之后，携若干技术骨干创办"火绒安全实验室"，致力于网络安全核心技术的研究和开发。它能够帮助安全工程师快速、精准地分析出病毒、木马、流氓软件的恶意行为，为安全软件的病毒库升级和防御程序的更新提供帮助，能在大幅度提升安全工程师工作效率的同时，有效降低安全产品的误判和误杀行为。

2020年2月25日，火绒安全企业版新增"终端动态认证"安全认证功能。该功能通过终端登录时需进行动态验证的方式，可有效防御终端在遭遇密码泄露或弱密码受到暴力破解后面临的各类安全风险，如信息泄露、勒索病毒攻击等，最终达到保护终端的目的。

软件定位

提供两种定位的产品:1.面向普通用户的火绒互联网安全软件;2.为安全从业人员及安全爱好者提供发现、分析、处理系统及应用程序安全问题的高级工具火绒剑。

软件特点

主要优势

自主知识产权的新一代反病毒引擎:支持动态分析和静态分析与沙盒分析;

个人版支持x86与x64的Windows系统，企业版支持Linux系统;

采用"内核纯净化"技术处理内核级Rootkit;

采用单步加多步的主动防御(HIPS)技术;

访问控制，允许机主将计算机调整到更合适的访客使用状态;

程序内附有安全工具，其中包含有弹窗拦截工具;

无任何流氓行为;

软件精简，对系统资源的占用低。

弹窗拦截

安全工具包含弹窗拦截。支持扫描已安装软件中已知的不受欢迎弹窗，同时允许用户截图拦截自定义规则，对未能扫描到的新型弹窗进行手动拦截，也支持窗口记录，在窗口弹出后火绒弹窗拦截工具将会自动记录该弹窗，从中用户可决定是否拦截。

火绒剑

火绒剑是一款Windows平台的安全分析工具，属于ARK工具。

动作监控

可以监控系统中所有进程的文件、注册表、进程以及网络动作;

可以通过拖入程序到监控页面来监控该程序及其子进程的全部动作和行为;

提供对程序行为的抽象并高亮显示，例如:自我复制行为、自我删除行为、进程入侵行为、注册自启动项等;

对监控到的所有程序动作记录详细的动作信息，包括:

动作发起者进程信息;

程序动作详细参数信息;

发起动作时的调用栈信息;

按照进程关系组织的任务组详细信息;

可以通过对进程信息、程序动作和程序动作参数设置过滤规则，快速定位到目标程序动作和行为;

进程管理

以列表或树型展示系统中全部活跃以及非活跃进程信息，并允许用户对其进行操作(强制结束进程、提取内存字符串等)包括:

进程ID、会话ID、全路径、命令行、当前路径、等基本信息;

进程线程信息;

进程模块信息;

进程打开的句柄列表;

进程相关的网络连接信息;

进程产生的网络流量数据;

以不同颜色区分活跃和非活跃进程;

可以定位进程对应程序文件及查看文件属性;

对活跃进程可以进行结束、挂起、恢复操作;

可以关闭进程打开的句柄;

可以提取进程、模块的内存映像或文件中的全部字符串;

可以搜索系统中全部打开的句柄和加载的模块;

启动项管理

可以扫描系统中的启动项，并可以对扫描到的启动项进行禁用、启动和删除;

支持扫描以下类型启动项:

登录类(Logon)

浏览器类(Explorer)

IE浏览器类(Internet Explorer)

系统服务类(Services)

内核驱动类(Drivers)

解码器类(Codecs)

Winsock提供者类(Winsock Providers)

打印提供者类(Print Monitors)

本地安全认证类(LSA Providers)

网络提供者类(Network Providers)

启动执行类(Boot Execute)

映像劫持类(Image Hijacks)

AppInit类(AppInit)

已知动态库类(KnownDLLs)

Winlogon类(Winlogon)

输入法类(IME)

计划任务类(Scheduled Tasks)

内核诊断信息

内核诊断信息包括以下内核信息:

驱动(设备树)信息(Driver Information)

系统服务表(Service Dispatch Table)

内核通知信息(Kernel Notify)

中断描述符表(Interrupt Table)

高亮提示被修改的内核信息;

钩子扫描

扫描内核态IAT、Inline钩子;

扫描用户态IAT、Inline钩子;

可以对指定进程进行快速扫描;

对扫描到的钩子进行指令分析识别多级跳转类型的钩子;

服务管理

查看操作系统中已注册的服务，并可以对其进行查看文件目录，文件属性，定位注册表，启动停止的控制;

驱动扫描

显示操作系统中已注册的驱动，并可以对其进行查看文件目录，文件属性，定位注册表的操作;

网络监控

显示操作系统中正在进行联网行为的进程，并可以对其进行查看文件，文件属性，结束进程的控制;

文件修改

查看已识别的可用文件驱动器内文件，并可以高权限对其进行强制修改删除等操作;

注册表编辑

查看操作系统内的注册表文件，并可以高权限对其进行强制修改删除等操作;

支持地址栏对目标键值的快速定位;

主要成员

刘刚，前瑞星CTO，自2006年底开始领导瑞星研发部门，主持开发了2008、09、10三个版本的瑞星安全软件，并在国内首次策划、实施了"云安全"技术项目，迄今为止"云安全"已经成为各大知名安全公司必备的病毒处理流程和商业标签。

毛钧，前瑞星研发部的"主机安全研究分部"经理，曾经主持"病毒自动分析和处理系统"、"新版黑镜头"等若干重要项目的研究和开发，早在2006年就曾和刘刚一起，合作开发出在当时属于业界领先水平的"可控虚拟机脱壳引擎"，目前负责"火绒实验室"的"主机安全研究"项目。

周军，前瑞星研发部的"安全软件内核研究与开发"团队负责人，曾负责瑞星安全软件的所有内核驱动模块的开发，2009年独自设计并组织开发了"分时虚拟机引擎"专利技术，目前负责"火绒实验室"的"安全内核技术研究"项目。

李建业，前瑞星研发部的"病毒分析处理"团队负责人，曾负责瑞星全线产品的病毒分析处理工作、"病毒自动分析和处理系统"架构设计并组织开发实施。