|
|
我在这楼统一回复吧。
火绒的病毒记录(特征的集合)不是和病毒样本一一对应的(抛开碰撞的问题,md5,sha1,sha256这类哈希才是和样本一一对应),事实上火绒一条病毒记录能对应的样本数多到你无法想象,这也是为什么火绒病毒库那么小,具体统计数据和技术相关介绍可以参见火绒反病毒引擎技术白皮书。
正是因为病毒记录和样本的不唯一对应关系,所以当病毒记录调整后,并不能直接通过文件哈希预判之前不报毒的样本是否会被报毒(解决漏杀),同样也不能通过文件哈希预判之前报毒的样本是否不再报毒了(解决误报)。所以缓存失效的机制是必须的,然而其实这个失效并不是全部,这涉及具体实现细节了,我在这没法细说。但由于目前火绒病毒库升级通常所有的库都会升,所以给人的直观感觉是一升级缓存就完全失效了。
这个“现象”后面我们会通过调整升级策略来改善。当然,我们也一直在努力优化一扫的效率,但之前我们也多次说明了,火绒引擎的整个查毒流程其实异常复杂,包括特征扫描、动态行为扫描、通用脱壳、脚本虚拟化等等,这是一种通过时间(细粒度拆解扫带来的计算量)换空间(病毒库大小),所以效率低于纯哈希引擎是必然的,但我们不会放弃优化,争取更好的用户体验。 |
评分
-
查看全部评分
|
首次扫描由于解析很深入,速度慢点相信大家能理解,但现在给人的感觉是每次都很慢,原因是每次病毒库升级后,原缓存信息就丢失了。。
除周六日,火绒几乎每天都要升级,而正常使用电脑,即使是快速扫描,平均每天也不会超过一次吧? 因此,“第二次以后速度就快了”仿佛成了传说,实际使用当中难以体会得到。。
因此想问问官人,能否改进下这个缓存机制,不要一升级又得从头来过。。
收藏
来自 2#
用MD5当做病毒标记·简直就是天大笑话·让我想起某国产杀毒·····MD5一改直接扫描不到
感觉也就强迫症才会有扫描习惯把·········我是一直不扫描·除非你告诉我·你这个反病毒软件的防御保护是个豆腐渣工程!正常使用基本不会中毒(除了某些白文件会漏)卡巴·小A,以及其他杀毒你其实可以关闭这个功能·就基本防止部分白文件漏了(目前看火绒没这功能,所以漏白太正常)但是你要会看·不然会误杀
····
仔细看过官人的解释了,受益良多! 也明白了火绒目前这种扫描慢的原因所在,并不是换种简单的哈希值比对就能解决的。。
