对于QVM"0秒鉴定"的个人分析

蓝芯云安全

金山毒霸将云鉴定时间达到了99秒，这个99秒是30个鉴定器共同努力的结果。而360提出来“0秒鉴定”，号称可以在0.5秒内完成鉴定，在此我不是不信，只是想从地球目前具备的技术水平来分析一下。

据360官人和QVM研发者的描述，“0秒鉴定”的基本原理号称是本地和云端的QVM共同启发完成的，当然，如果是本地启发的话，所谓的“0秒鉴定”根本不成立，因为不存在所谓的鉴定过程，全世界这么多具备本地启发的杀软都可以0秒鉴定，这个与云就没啥关系了。所以这里优先讨论，当本地QVM没有鉴定出来的时候，云端是如何起作用的。

根据QVM研发者Zdolo介绍，360的0秒鉴定既不需要上传整个文件，也不需要上传微特征，即可在0.5秒内完成鉴定，但目前地球上的匹配技术就那么几个，微特征也好，哈希值也好，MD5也好，都只是匹配技术而已，360如果能在0.5秒内完成上传鉴定下载这全过程，必然是绝对不能上传样本的任何实际特征的，最多是匹配值。上传一个匹配值，就好像对警察报一个名字一样，一个名字仅仅是个代号，是肯定不能依据一个代号来确定危害性的。

所以有人提出，所谓的0秒鉴定，根据QVM的统计学特性，应该是本地QVM对一个样本进行分析，这个时间是多久那就不晓得了，而本地QVM由于统计库远远不如云端，所以本地QVM仅仅对该样本进行某些节点的分析，将其特性归类，然后送至云端，云端的QVM借助庞大的统计库，来定性该文件。而这个定性的过程就很短了，相当于看报告，写结论，所以才可以在极短的时间内反馈结果。

出于地球上的技术考虑，一款杀软是无论如何也不可能仅仅依据匹配值来进行本体鉴定的，也不可能真的在0.5秒内完成鉴定（要知道即使是传统的特征码杀毒软件，光匹配本地的特征都得好一阵子，还根本没鉴定过程）。而360又没有上传文件本身，又没有上传微特征，那么应该是上传的本地QVM分析过的结论和依据，云端再查找统计库来得出结果，反馈本地。所以其实360的0秒鉴定，应该大部分是基于本地技术的。

其实，0.5秒的时间，用户根本无法判断到底是未知文件鉴定完了出的结果，还是干脆是360云端已经有了这个文件，仅仅是匹配云特征查杀而已，下一步我将会人工生成未知文件，然后测试360是否确实能在0.5秒内完成鉴定。

360至今并未说过0.5秒内完成鉴定的样本百分比是多少，仅仅说具备这个技术，那用户在使用中一扫即报毒这个状态下，到底有多少样本是未知经过0.5鉴定出的结果，到底有多少是云端已经有此文件的特征仅仅是匹配呢？这个不得而知。如果仅仅是0.5秒杀，那金山毒霸的云鉴定经常出现上报即报毒的现象，难道这也是0秒鉴定么？

希望360不是把仅仅匹配一下云端已有的特征，当场杀了就说是即时鉴定的结果就好，具体过程我将会进一步测试。

shanget

是否除去鉴定失败的？
迫切想了解下.

kyzi

拖几个样本去试一下不就清楚了吗？？？？
用得着这样长篇大论绕来绕去吗？？？

cst8899

反正是吹牛不上税，那就吹呗...

cJ.

复杂了..
做个测试对比下就清楚明了了

FOXFFF

测试测试不就知道了？

fujet

貌似有点道理，等官方解释

十送鸿钧

样本区，曾遇到过，过360SD常规扫描的样本，过了常规扫描，然后在下一步执行云安全查询，确实马上就查出来了
比如说这层楼的样本大部分都是这样的
http://bbs.kafan.cn/thread-1002877-1-1.html

以上均为小白直言，坐等官人科普

美上千里

来自火星的技术

风亡

测试一下不就完了，在这绕来绕去