杀毒软件装了不少,为什么电脑还是中毒了?这个问题困扰着无数普通用户。原因很简单:传统杀毒软件的防御逻辑是“先中毒、再查杀”——病毒已经在电脑里了,它才知道。但真正的安全,应该在威胁造成破坏之前就将其拦截。这正是主动防御的价值所在。火绒安全 6.0 构建了覆盖病毒层、系统层、网络层的多层次主动防御体系,通过实时监控、行为分析、入侵拦截等多维度技术,对终端进行立体化防护。
三层主动防御:从被动查杀到主动拦截
病毒层:文件实时监控与行为分析
病毒层是火绒主动防御的第一道防线。文件实时监控会在程序运行前及时扫描,拦截病毒。恶意行为监控则对进程的异常行为进行实时分析。这 19 个重要的防护功能构成了病毒层的基本框架。
在高级设置中,用户可以查看默认启用的防护策略是否覆盖“创建远程线程”“反射式 DLL 注入”等典型攻击向量。这些看似陌生的术语,背后对应的是恶意软件常用的攻击手段——开启它们,就是为系统装上了一道看不见的“铁闸”。
系统层:关键进程保护与内存防护
系统层防护的核心是保护系统关键资源,阻断恶意攻击。在“防护中心”中,确保“关键进程保护”“内存防护”“UAC 绕过防护”等核心开关处于开启状态。系统防护通过限制高危系统接口调用、阻止未授权驱动加载等方式,增强操作系统底层安全性。
内存防护技术可以检测缓冲区溢出和内存注入攻击。当恶意程序试图利用内存漏洞执行代码时,火绒会实时拦截并阻止。对于普通用户来说,这些防护在后台默默运行,你不会感觉到它们的存在,但它们确实在保护你的电脑不被入侵。
网络层:恶意网站拦截与暴破攻击防护
网络层是第三道防线。恶意网站拦截基于火绒内置的黑名单库,在访问已知恶意网站时自动拦截。暴破攻击防护专用于识别并阻断 SSH、RDP 等协议的密码穷举尝试。
联网控制可以限制特定程序的互联网访问权限。开启后,当有程序首次尝试联网时会弹出询问,你可以选择允许或阻止。如果你不希望每次都被打扰,可以在设置中找到对应程序设为“自动允许”或“自动阻止”。这种精细化的网络管控,可以有效防止后门程序在用户不知情的情况下外传数据。
勒索病毒诱捕:用“蜜罐”主动诱杀
诱捕技术的工作原理
勒索病毒诱捕是火绒 6.0 最独特的防御技术之一。该方法直接调用火绒内置的诱捕沙箱机制,通过在受保护目录中部署虚假敏感文件,主动诱使勒索程序暴露行为并即时拦截。
简单来说,火绒会在你的电脑里悄悄放置一些“诱饵文件”。这些文件看起来像普通的文档、照片,但实际上是专门用来引诱勒索病毒上钩的。当勒索病毒试图加密这些诱饵文件时,火绒会立即识别出它的加密行为,并在它接触到真实文件之前将其拦截。
如何开启勒索病毒诱捕
火绒反勒索防护需通过四步开启:在“安全设置→病毒防护→恶意行为监控”中启用“勒索病毒诱捕”;从主界面“防护中心→高级防护→恶意行为监控”开启开关;在“受保护目录”中添加桌面、文档等高频目标路径;通过“日志中心→防护日志”搜索“诱捕”验证模块已启动。
在“受保护目录”中手动添加桌面、下载文件夹等高频加密目标目录,可显著提升对定向勒索行为的捕获率。开启后,系统盘根目录将生成两个名为“hr_随机字符串”的隐藏文件夹,内含多种格式空文件。
行为沙盒的进阶防御
火绒 6.0 还通过行为沙盒技术实时识别勒索软件试图批量加密用户文件的行为模式,并在加密操作刚开始时就进行阻断。这种“行为分析”而非“特征匹配”的防御方式,让火绒对未知勒索病毒变种也具备一定的抵御能力。
当你在“防护日志”中搜索“诱捕”关键词,如果看到最近一条日志时间戳为当前日期,且内容包含“勒索病毒诱捕模块已启动”字样,说明该功能已正常运行。
BYOVD 攻击拦截:守护系统内核安全
BYOVD 攻击是什么
BYOVD(自带漏洞驱动)攻击已成为恶意程序对抗安全软件的主流手段。银狐、挖矿、勒索等常见恶意程序频繁利用带有合法数字签名的漏洞驱动,绕过 Windows 系统强制驱动签名限制,获取系统内核最高权限,结束安全软件进程,对用户系统安全造成严重威胁。
这种攻击方式非常狡猾——漏洞驱动本身可能是正常软件的功能组件,直接查杀会影响用户合规软件的正常使用;如果使用内核级直接对抗,又可能引发用户系统崩溃。
火绒的专项防护方案
火绒安全软件的漏洞驱动拦截功能,可为用户提供专项防护能力:在不查杀漏洞驱动本身、不影响用户正常软件使用的前提下,提前拦截恶意程序对漏洞驱动的恶意利用,阻断攻击者通过漏洞驱动获取内核权限、对抗安全软件的行为。
该功能在火绒安全个人版 6.0 最新版本中默认为开启状态。若用户发现自身可信程序的驱动被该功能拦截,可将其加入例外名单放行。火绒安全工程师以被恶意程序高频利用的典型漏洞驱动 WinRing0.sys 为例,演示了该功能的实际防护效果。
主动防御的日常配置
防护中心的核心开关
开启主动防御的第一步,是确保防护中心的所有核心开关都已打开。进入“防护中心”,确认“病毒防护”“系统防护”“网络防护”三大模块全部开启。在“系统防护”中重点确认“关键进程保护”“内存防护”“UAC 绕过防护”等开关状态。
文件实时监控的优化设置
如果你发现安装火绒后某些程序启动变慢,可以在“文件实时监控”中将扫描时机从“文件创建/修改时扫描”调低至“文件执行时扫描”,可显著降低资源占用,同时不牺牲核心防护能力。
定期查看防护日志
主动防御的威力在于“防患于未然”,但我们也需要知道它防住了什么。建议每周打开“防护日志”查看近 7 天的拦截记录,在日志筛选栏中按来源筛选,确认是否存在成功拦截事件。如果发现某个正常程序被频繁拦截,可以在相应的防护模块中添加白名单。
总结
火绒安全 6.0 的主动防御体系可以概括为“三层防护、诱捕加密、内核守护”。病毒层通过文件实时监控和行为分析拦截恶意程序;系统层通过关键进程保护和内存防护阻断系统级攻击;网络层通过恶意网站拦截和暴破攻击防护守住网络入口。勒索病毒诱捕用“蜜罐”主动诱杀加密行为;BYOVD 攻击拦截在不影响正常软件的前提下守护内核安全。花 10 分钟配置好防护中心的核心开关,开启勒索病毒诱捕,定期查看防护日志,你的电脑就多了一道坚实的“主动防御墙”。
火绒安全 6.0 的三层主动防御体系是哪三层?
火绒应付勒索病毒诱捕功能是如何工作的?
什么是 BYOVD 攻击?火绒如何防御?