[戳穿浮云]多引擎是当下首选，反对用“浮云”来掩饰研发能力不足

hdy0769

我们将会在本文中分析一款“云鉴定器”的工作原理。
然后以此类推某款杀毒软件的“云查杀”真相。

我们先来看看在线查毒网站www.virscan.org。
一起来瞧瞧，它与“云鉴定器”是不是一个样子的？

打开网站，上传可疑文件就进行在线鉴定了。我们将扣扣保镖的一个执行文件上传，不一会，结果就出来了。
如图：



看图可知，
一：查杀中有MD5码的鉴定过程，它凭此来辨别文件身份。（如果相同文件曾经有人上传，会有提示。）
二：服务端有多款杀毒软件引擎一起查杀。（共37款，因图片太大，未完全截取。）
三：查杀时间很快，用不到99秒。

有了这些认识，我们再来看看“云鉴定器”。到底是什么样子？

一：有MD5，如图。可恶的水印，将图挡住了。



二：数十款云端引擎，如图。




三：毫不讳言的其它杀软，如图。



看到这里，我们可以知道某云的工作流程了。
首先云鉴定器会把本地的MD5上传到服务器比对。查过的就出结果。
如果没有数据。而且这又是个可执行文件或者动态连接库之类的有危害的文件，就会完整上传，调用其他杀软进行查杀。

看来，这个“云鉴定器”与www.virscan.org没有什么区别。

最后我们不得不想起一些问题：某杀软断网查杀率为个位数（卡饭测试结果），为什么一联网就百分百了？

到底是多引擎给力，还是某杀软自己的引擎给力？

这不由得引人深思。。。

剑步如飞

哦，原来可以这样调用啊～

hdy0769

有图有真相，绝非什么口水，版主请自重。

某云，说白了，就是云服务器里面的数十款扫描引擎。

看到这里，再看看居然还有人说什么“多引擎是忽悠”，真是笑话。
如果没有服务端的众多引擎，某云就成浮云了。

z13667152750

金山云鉴定器加入其他杀软的扫描结果就是自讨苦吃

z2009

卫士里多引擎就没意义了，不监控没意思，再说很少人用木马扫描的，又不支持右键，还不支持压缩包

jefffire

这是最简单的初级云，具有极高的误报（VT的误报感觉至少能上15%）和高查杀的特点。
实际上还有很多方法：比如首席曾经讲过的，加权平均的方法：利用一个白文件误报测试库来校正不同引擎的权重，比如误报太多的就直接剔除出局，误报少的就给予较大的权重分值，再设定一个阀值。这样一个样本来了以后，用多引擎查杀一遍，然后把所有引擎的结果的权重分值相加，最后和阀值比较，如果大于等于阀值则认为有毒，否则无毒。

z13667152750

z2009 发表于 2011-6-11 23:43
卫士里多引擎就没意义了，不监控没意思，再说很少人用木马扫描的，又不支持右键，还不支持压缩包

下载保护

hdy0769

z2009 发表于 2011-6-11 23:43
卫士里多引擎就没意义了，不监控没意思，再说很少人用木马扫描的，又不支持右键，还不支持压缩包

有没有意义，要测试才知道。但千万不要拿某云来跟它进行对比测试。要么就断网再测。

z2009

z13667152750 发表于 2011-6-11 23:45
下载保护

下载保护也不支持的

z2009

hdy0769 发表于 2011-6-11 23:45
有没有意义，要测试才知道。但千万不要拿某云来跟它进行对比测试。要么就断网再测。

卫士是给普通用户用的，不是用来测试的，所以没意义，呵呵