火绒安全软件评测 | WitAwards 2016 「 年度安全产品」参评巡礼

*本文原创作者： ArthurKiller，本文属“WitAwards 2016年度安全评选”专题报道，未经许可禁止转载

火绒，国内一款新兴的免费杀毒软件。该软件安装包只有9.1 MB的大小，却包含了防火墙，杀毒引擎，HIPS，弹窗拦截，文件粉碎，垃圾清理，火绒剑，系统右键管理等功能。 1.5MB大小的病毒库却可以抵挡千万种流行电脑病毒。虽然作为一款创业公司的产品，火绒却有着自己的“坚持”——国内大部分免费杀毒软件都是OEM其它公司的杀毒引擎。 火绒自主研发了杀毒引擎；在“捆绑、弹窗、私自上传、篡改电脑”的PC软件行业潜规则面前，火绒告诉FreeBuf，他们自始至终坚守着底线。

也许正因如此，这款并不算“大众”的安全终端软件收获了不错的口碑——曾被众多网友评价为国内最具良心杀毒软件之一，最安静的一款杀毒软件。

产品分析

背景

火绒 3.0的标语是“专注，纯粹，才能更安全”，而火绒杀毒软件也被众多网友评价为“中国最干净的杀毒软件”。该杀毒软件只有9.1 MB左右的大小，是传统杀毒软件的十几分之一。

而病毒库也只有1.5MB大小左右，却可以抵挡各种流行电脑病毒。火绒经历了1.0 、2.0、 2.5三个版本，目前3.0版本已经正式发放，4.0版本处在内测阶段。

目前该软件只支持windows 32位和64位操作系统。根据火绒论坛的官方回答，火绒的核心引擎是支持Linux和Mac的，只是目前尚无Linux桌面版开发计划。

火绒目前只有简体中文版本，并不支持其它语言，如英文和繁体。

火绒3.0的基本功能为以下五个模块：

安全概览 反病毒 系统防护 防火墙 安全工具

模块一之安全概览

火绒3.0采用了左右结构的布局模式，整体看上去简单明了，也没有多余的推广和新闻诟病，用户体验良好。

模块二之反病毒

火绒的反病毒模块和国内的杀毒软件相比基本上是大同小异。反病毒模块又分为了病毒查杀子模块，病毒防御子模块，隔离区子模块和信任区子模块，而每个子模块下面又有多个选项。

但是火绒3.0在技术上和其它的杀毒软件有些不同，除了更强强悍的反病毒引擎外，它还内置了“虚拟沙箱”技术，使之拥有了更加强大的通用脱壳和行为扫描能力。

火绒3.0主要包括以下五点反病毒能力：

1) 火绒反病毒特征库：拥有自主研发的新一代反病毒引擎，相对于国内大部分杀毒软件来说，火绒不会局限于国外OEM的病毒库或者反病毒技术。 2) 火绒反病毒引擎扫描核心：进行逻辑扫描，静态文件扫描，动态文件扫描，特征码扫描，以及宏病毒和感染型病毒查杀等功能。 3) 火绒反病毒引擎I/O 抽象层：为扫描核心系统提供统一的I/O 访问接口，同时提供相应的缓存机制来减少对物理磁盘的I/O 访问。 4) 火绒反病毒引擎文档分析模块：可以针对不同格式的文档和程序进行解码分析，如rar，word，PDF，JS等 5) 火绒虚拟沙盒：在扫描病毒时，火绒3.0会将文件放置在虚拟沙箱中运行并且监控，并且对其进行脱客和扫描。火绒的沙箱拥有超过5000 个Windows API，完备的操作系统环境仿真，并且在沙箱中运行的程序不会对主机系统产生任何威胁影响。

模块三之系统防护

火绒3.0提供了一个增强版本HIPS (主机入侵防御体系)功能，新加入的“执行控制”功能，可以帮助用户拦截一些基于命令行的任务，而这个功能颇受用户的欢迎。用户可以使用这个功能为各种文件自定义特别的权限。

除此之外，用户还可以导入和导出自己制作的规则，非常的人性化。

模块四之防火墙

一般的杀毒软件都采用第三方程序来作为防火墙，比如360英文版本就采用了Glass Wire作为防火墙插件，但是火绒3.0的防火墙却内置在这15MB大小的文件中。

麻雀虽小五脏俱全，火绒3.0的防火墙可以满足绝大部分防火墙的功能，比如流量监控，限速设定，网络控制，进程控制，流量查看，钓鱼网站拦截，盗号木马拦截等等。

模块五之安全工具

火绒3.0的安全工具模块主要提供了以下6大安全工具。

火绒剑 垃圾清理 右键管理 修改HOST文件 文件粉碎 弹窗拦截

火绒剑主要是为专业人士提供的安全分析工具。火绒剑它提供了“程序行为监控”、“进程管理”、“文件管理”、“注册表管理”、“系统启动项管理”、“内核程序管理”、“代码钩子扫描”七大功能。

火绒剑有着以下四大技术亮点：

1）注重实用性,将关键的行为特征进行了着重体现。通过火绒剑的内存分析、内核功能和钩子扫描，可以快速全方位的进程进行详细分析，大大提高分析人员的工作效率； 2）针对进程运行时产生的大量行为动作进行了细化和整理，并且对关键行为进行了抽象整合，使分析人员可以更加直观的获得进程的行为信息； 3）可以快速识别进程行为，并依靠追踪调用栈进一步了解进程逻辑。查看进行模块、内存转储和提取内存字符串，更加具体的获得进程的运行信息； 4）还提供启动项管理、操作系统内核分析以及底层文件操作和注册表编辑等功能；

火绒的垃圾清理工具在设计上也十分的简洁，可以对浏览器垃圾，视频音乐垃圾，游戏应用垃圾和操作系统垃圾进行清理。

火绒的右键管理工具非常的人性化，用户可以禁用或者开启特定的右键选项。

火绒的修改HOST工具点开之后就可以编辑HOST文件。虽然技术非常简单，但是功能非常实用。有特殊要求的用户可以快速地对自己的HOST文件进行编辑和查看。

火绒的文件粉碎工具。这个功能和一般的文件粉碎工具并无区别，文件一旦粉碎将很难恢复。

火绒的弹窗拦截做的非常有人性化。除了智能的弹窗拦截以外，它还支持自动检测弹窗，手动定位弹窗，自动记录弹窗等。

其它

为了达到一个客观公正的产品介绍，FreeBuf测试了第三方防火墙对火绒3.0进行流量监控。只要用户不主动对火绒的服务器发起请求（比如更新检测，工具下载等），火绒的客户端是不会去主动请求服务器的。

在运行火绒客户端一个月内，火绒3.0并不会主动弹窗影响用户体验，也未收到过任何新闻和产品推送，客户端内也未发现任何广告服务。

国外免费的OEM杀毒引擎成为了国内弱势安全厂商的敲门砖。早在2013年，国内就有部分专家提出中国大部分杀毒软件的反病毒引擎都是国外OEM的，这样就导致杀毒软件的核心技术掌握国外公司的手上。

这种情况对国家安全，企业安全，甚至是个人安全都是十分危险和不稳定的。放弃核心技术将会导致必在的潜伏危机。

当别的厂商使用国外杀毒引擎，把节省下来的巨额研发费用投入市场宣传，以“低价”、“免费”的方式进行市场倾销，沉重打击国产安全市场，使市场进入“劣货驱逐良货”的恶性循环。

而火绒主要是采用自己研发的杀毒引擎，从开发到上线，一个代码一个代码的编写，做到了真正的自主研发。相对于别的杀毒引擎，火绒杀毒引擎有着以下三大优势。

1.基于虚拟化的本地行为沙盒技术，通过极小的病毒库打造强大的查杀能力 2.完美清除各种感染型病毒、宏病毒，通过剥离附着在宿主程序中的病毒代码，实现对被感染文件的还原，不破坏原有程序和文档的数据 3.丰富的反病毒引擎解码能力；支持对Zip,RAR,7-zip，CAB，OLE，NSIS，InnoSetup，SmartInstallMaker,AutoIT,PDF,RTF,MSO,DEX等几十种文档的解码能力。

火绒高质量的用户体验，严谨的反病毒技术和便利的脚本工具是它的优势，但是相比其它的杀毒软件，火绒也有自己的劣势和不足。

火绒3.0目前只支持windows 64位和32位，兼容平台单一是它目前所存在的劣势之一。 火绒3.0工具有待补充，比如补丁安装，驱动扫描安装等。虽然Win 10系统已经可以自动化完成这些功能，但是国内普遍还有很多老版本Windows用户需要这些附加功能。 火绒的虚拟沙箱查杀技术已经非常成熟，但是与当今互联网上这些恶意横行的病毒对抗，火绒杀毒引擎可以加入更多的查杀机制，比如云查杀等。

市场分析

产品定位

火绒主要有着以下三大产品支柱：

火绒 3.0 反病毒引擎OEM 火绒剑分析工具

火绒 3.0主要是做一款免费的2C产品，主要针对国内的普通用户。而火绒针对2B产品主要是反病毒引擎OEM和火绒剑分析工具。

根据火绒官方介绍，火绒提供反病毒引擎SDK，和引擎、病毒库组件升级服务，火绒防病毒技术可以很容易地集成到公司产品或服务中,并提供公司的客户，提升产品的查杀能力，以及公司的产品收入。

以“火绒剑”为基础，按合作伙伴需求，定制检测恶意代码相关的分析模块或产品，并藉此提供更深度的威胁代码分析等服务。

除此之外，火绒也涉及到相关的推广收费。在默认情况下，这个功能是关闭的，推广内容是完全非强制的，可以自由选择设置项目。用户如果选择了推广的项目，火绒安全团队能够获得许些收益。

根据火绒官方论坛的更新动态来看，火绒接下来可能也会涉及到企业版软杀的开发和运营。

发展前景

在知乎上，大部分网友对于火绒都有着一致好评。通过对这些网友的知乎历史纪录查看，这些评论应该都不属于“水军”账号。

良好的用户口碑和免费的2C模式，火绒接下来可以在2B产业上大展身手。

火绒创始人之一刘刚表示：

“某上市安全公司的大佬曾对我说，不要过早的考虑商业模式，找个缝扎进去，使劲掏大，等空间大了，商业模式自然就出来了。” 目前火绒的发展模式还在探索中，但是发展路线大致非常清晰，主要是依托于良好的用户口碑，在安全软件2C这个红海内获取用户流量。 然后通过庞大的用户流量，再从2B领域中获取利润。

火绒目前的营收应该还有待发展。针对2B，火绒采用杀毒引擎OEM，火绒剑和推广进行收益。针对2C，火绒主要采取捐助模式。

免费模式对于很多初创企业都是”一座大山“，而良好健康的运营模式是成功的关键之一，火绒要迈出这个”门槛“还需要很大的努力。但是，国内很多安全厂商的杀毒引擎是OEM的，来自国外。

真正拥有自主知识产权，而且足够先进、能够跟上时代的厂商，在中国非常少。只要认真去做，一定会有一席之地。

企业背景

火绒博锐（北京）科技有限公司于2011年9月23日在工商登记注册，注册资本为100万人民币。火绒创始人全部来自原瑞星研发部门高级管理团队。火绒由瑞星前CTO刘刚带领创建，员工主要来自瑞星、腾讯、江民等国内外IT公司。

刘刚：前瑞星CTO，自2006年底开始领导瑞星研发部门，主持开发了2008、09、10三个版本的瑞星安全软件，并在国内首次策划、实施了”云安全”技术项目，目前”云安全”已经成为各大知名安全公司必备的病毒处理流程和商业标签。 毛钧：前瑞星研发部的”主机安全研究分部”经理，曾经主持”病毒自动分析和处理系统”、”新版黑镜头”等若干重要项目的研究和开发，早在2006年就曾和刘刚一起，合作开发出在当时属于业界领先水平的”可控虚拟机脱壳引擎”，目前负责”火绒实验室”的”主机安全研究”项目。 周军：前瑞星研发部的”安全软件内核研究与开发”团队负责人，曾负责瑞星安全软件的所有内核驱动模块的开发，2009年独自设计并组织开发了”分时虚拟机引擎”专利技术，目前负责”火绒实验室”的”安全内核技术研究”项目。 李建业：前瑞星研发部的”病毒分析处理”团队负责人，曾负责瑞星全线产品的病毒分析处理工作、”病毒自动分析和处理系统”架构设计并组织开发实施。

在互联网安全问题日益严重的今天，杀毒软件成为了一个刚需的产品。但是市面上大多免费的安全软件，为了自身企业的发展，往往加了本身并没多少用处的各种“安全新功能”。

频繁的弹窗，臃肿的安装包，触不及防的捆绑软件，偷跑的流量等等。而付费型安全产品却又不符合当今中国互联网的2C商业模式。这些恶劣的情况是不符合当今的互联网发展模式的，而好的杀毒软件应该只干活，不闹事。

在这个恶劣的商业环境下，刘刚带着他组成的团队立志做出一个干净，健康，纯粹的杀毒软件。而火绒，也就在这个”乱世“之中诞生了。

刘刚认为，在考虑商业模式之前应该优先考虑公司对用户的价值，专注安全领域是火绒明确的目标。火绒从成立之初到现在没有接受任何外界投资。

刘刚认为：“这最大限度地保证了火绒软件的功能聚焦在用户的真实安全需求上，而不为投资人或者商业伙伴的利益所左右。团队需要融资，但是绝不会收带“毒”的钱。”

WitAwards年度安全评选火热报名中

由FreeBuf主办的FIT 2017（2017 FreeBuf互联网安全创新大会）将于2016年12月28日-29日在上海陆家嘴上海国际会议中心召开。

与FIT 2017大会并行的WitAwards 2016，作为一年一度的互联网创新安全评选盛典和FIT 大会的重头戏之一，自然备受业界关注。

WitAwards 2016互联网安全年度评选，旨在发掘全年卓越的安全产品和杰出人物；给予在2016年为安全行业做出贡献的个人、团队及产品以掌声和肯定；为超过100款安全产品的创新和努力，及行业的专业精神全情投入喝彩。

参选奖项报名

不同奖项的参与报名通道现已开启，9月15日-10月31日，针对以上四大奖项，任何人都可以进行线上报名，或以为他人及其产品提名的形式参与WitAwards 2016评选。FIT官方会对报名和提名的项目进行初步审核。

行业评委申请

自古高手出民间，尤其在安全领域更是藏龙卧虎。

本届WitAwards年度互联网安全评选，特邀“懂安全”的你担当我们的行业评委，也相信你能够代表业界同行评选出最专业最优秀的奖项。

入选行业评委，将获得FIT 2017大会门票。

*本文原创作者： ArthurKiller，本文属FreeBuf专题报道，未经许可禁止转载