对于篮芯云安全对于QVM云鉴定不靠谱分析的分析

管保振

在分析之前，首先需要向篮芯童鞋普及下QVM是什么，QVM怎么识别病毒

1、QVM是通过人工智能算法实现的杀毒引擎。在处理一个样本时，QVM先从样本中提取N个特征，再计算样本的安全值。至于提取哪些特征，计算安全值的算法是什么，这是QVM引擎根据黑白样本训练自己总结出来的，和病毒分析师用人的思维分析特征完全不同；

特征码引擎：病毒库有一条A特征，程序X符合A特征，所以X是病毒；
QVM引擎：有若干计算病毒的公式，可以理解成n元n次方程，比如a*b+bcd-d/e……，QVM从程序X的文件结构中提取abcde…的值，再根据公式计算X=黑/白

2、QVM是根据特征运算识别病毒，而不是匹配已有特征。在这点上，篮芯童鞋貌似并没有意识到，还在用常规特征码引擎的思维去理解QVM；

3、很多人见过360扫描样本报出“Malware.QVMXX.Gen”这样的病毒名称，其中绝大多数是360云查杀匹配样本的MD5，而并非QVM引擎去匹配，只不过这些样本恰好是QVM在云端鉴定出来的而已。

接下来说说篮芯分析之3大不靠谱：

一、出于地球上的技术考虑，一款杀软是无论如何也不可能仅仅依据匹配值来进行本体鉴定的，也不可能真的在0.5秒内完成鉴定
QVM可以，道理很简单：QVM本地引擎提取未知程序的特征abcde，上传到服务器，再由云端运算能力远超客户端的服务器版QVM的公式计算程序的安全值。

二、所以其实360的0秒鉴定，应该大部分是基于本地技术的
本地技术是有的，上面提到了，就是本地QVM抽取abcde这样的文件特征，而鉴定病毒是由云端QVM实现，当然是不折不扣的云鉴定。

三、0.5秒的时间，用户根本无法判断到底是未知文件鉴定完了出的结果，还是干脆是360云端已经有了这个文件，仅仅是匹配云特征查杀而已
当然是鉴定未知文件，测试下不就能判断出来了。不会测试的话可以参考http://bbs.kafan.cn/thread-1025670-1-1.html

篮芯童鞋的分析，全是基于把QVM理解为特征码/哈希/模糊哈希匹配，错误的观念导出错误的结论，也就不足为怪了

iezhaoie

支持楼主一记
虽然不太明白

蓝芯云安全

谁也不能根据ABCD这样的东西就来判断一个文件是否有害。假如仅仅是对特征的细微分析，和启发式也没啥不同

郑伟用户

可能楼主理解也有误点，特征不单指特征码，不要吧所有同学所提到的特征当成就是所说的特征码，行为也是特征，计算方式，公式，都是摸索出一定规律才有的，这个也算是特征。可以说世界上任何一个物质都是具备特征的。而童鞋们对于QVM的怀疑也出现于此，是匹配本地已有的特征【这里只QVM的计算结果】，还是将数据与云端相互匹配得出结果？这个和金山云端鉴定好像不是完全一致的，所以这个时间不应该成正比

-oAo-

技术上的东西不好说

管保振

蓝芯云安全 发表于 2011-8-1 14:43
谁也不能根据ABCD这样的东西就来判断一个文件是否有害。假如仅仅是对特征的细微分析，和启发式也没啥不同

人的确做不到，但如果让机器根据几百万上千万个黑白样本训练，机器自己会知道去哪儿找abcd，找到了怎么算是不是病毒。
也可以说qvm是一种启发，但qvm云鉴定把启发的过程放在服务器端，比客户端显然强大得多

小紫英

蓝芯云安全 发表于 2011-8-1 14:43
谁也不能根据ABCD这样的东西就来判断一个文件是否有害。假如仅仅是对特征的细微分析，和启发式也没啥不同

别胡说好不好，病毒分析人员不也是按照ABCDE的标准来判断是不是有害的

只不过QVM取得更多，多到全世界字母都用上还不够

管保振

郑伟用户 发表于 2011-8-1 14:48
可能楼主理解也有误点，特征不单指特征码，不要吧所有同学所提到的特征当成就是所说的特征码，行为也是特征 ...

是匹配本地已有的特征【这里只QVM的计算结果】，还是将数据与云端相互匹配得出结果？

既不是匹配本地特征，也不是去云端匹配。原文反复说了不是匹配，你非说匹配那咱们也没什么好说的了

郑伟用户

管保振 发表于 2011-8-1 14:53
是匹配本地已有的特征【这里只QVM的计算结果】，还是将数据与云端相互匹配得出结果？

既不是匹配本地特 ...

楼主理解错我的意思了，怎么说呢，我明白楼主的意思，我并没有怀疑QVM的能力，而确实是人家大牛辛苦开发出来的，我的意思是指QVM的方式本来和金山云鉴定器的方式就不同，所以他们的时间比较是不存在任何意义的，我们把他们这些看作是一到鉴定工序的话，如果说QVM是一种鉴定方式，那么金山云鉴定器就是多道鉴定方式，哪个更准确？所以和自身的所用时间，鉴定结果作比较才是正确的。打个比喻---就是我用10秒跑完一百米路，你用20秒跑完500米路，那么我就能说我比你跑得快？

hsezbmh

编辑掉。。。