支持检测已知和未知的漏洞。

对于特定漏洞可以给出相关的漏洞编号（例如CVE编号）。

对于漏洞同时支持静态和动态两种方式进行检测。

环境模拟包括对国内常见的软件的安装，如Word、wps、Adobe reader 、QQ等 。

能够对移动介质模拟 ，利用文件夹模拟磁盘，并hook修改磁盘类型。

模拟游戏、杀软进程等用来触发一些对抗和窃取密码等行为。

模拟常见的网络请求，比如DNS解析，用来触发下一步连接和发送指令。

强大的并发处理能力，智慧的云计算架构设计。

支持20GBytes的网络带宽检测。即使面对海量数据文件也能做到“轻巧灵动”。

APT网络攻击行为往往通过多种途径实施，在不同的地方总会留下相应的痕迹和线索。系统对应有多个检测分析模块，通过关联分析模块对所有检测结果进行集中关联查询和展示，呈现APT攻击行为的全貌。

系统基于海量知识库，实现了对大量的、已知的病毒程序的过滤。系统级别检测引擎引入了模拟执行虚拟机技术、解包技术、溢出检测技术、基于PE结构IAT的检测算法。采用虚拟机技术进行脱壳解决加壳变换问题，同时采用更深的基于特定算法的匹配规则。

包括远程线程序 、自删除（主体进程镜像被删除）、自复制、自启动、注册表敏感位置（劫持）、恶意URL访问(恶意的域名，放马地址等)、恶意IP访问、映像劫持、终止杀软进程、释放驱动、反主动防御。
分析的结果可以判断一个文件是否是恶意的，并对该文件相关联的网址包括、来源和试图连接的一些恶意网址反馈到前端。

根据已有样本提取动态、静态信息包括文件格式、字符串信息、壳、编译器、版本、API等构建每个样本的向量，聚类包括采用两两比较向量相似的层次聚类以及快速聚类LSH算法。可以对一些已知家族的变种进行分类，对未知样本进行新的聚类。

  具备自我学习能力：对于动态分析过的文件避免二次分析；对于已有的检测结果可以进行更精确的修正；对于首次未检测到的目标可在后续学习过程中检测到，即能够在不更新特征库的情况下可获得不断增强的检测能力。

  为了不让恶意软件发现自己是在控制环境中执行，产品具有自我伪装隐藏的功能：对恶意样本的进程隐藏沙箱使用的所有系统对象，其中包括模块，文件，注册表项，互斥事件（互斥）以及句柄等。从而避免恶意软件探测到该监控的存在。

  支持网页人工上传和后台批量传输，并提供JSON、XML、HTML等多种鉴定结果返回方式。可以与防火墙、网关等安全设备和企业级杀毒软件等终端安全产品进行联动，既可以进行批量的文件鉴定分析，也可以同时支持多个第三方设备的分析需求。