【怎么免杀金山云查杀？讨论】【】

695580825

现在金山云的查杀率和鉴定都是很不错的。

金山2011比前面的任何版本都要强悍，查杀率都要高（云鉴定时间一般在10分钟）这算长的，一般都在几秒钟至两三分钟

安装包小，资源占用小等等.....................

金山的云二次扫描比一些国外杀软的查杀率都要高

但金山的首次扫描以及断网扫描是很悲剧的，所以金山官方加入了沙箱以及行为防御加强本地防御

并且继续加强和完善。

但任何软件或技术都是树大招风。现在有很多人比如黑客啊 卖马人群等等就想着免杀了

有的说改变MD5，有的说增加大小，有的说封装安装包的时候行为正常化，不过现在有不少样本是突破云的，

比如金山样本区就很多，比如提示未知，鉴定提示安全本身就是病毒弹出安全提示大家分析下金山云都有哪些漏洞和不足？

如何突破免杀？大家都可以交流讨论下也算大家一起完善毒霸了。大家都可以分析讨论，畅所欲言。

（世界上没有100%的安全软件）

============================================================

但经过测试改变MD5以及加大体积等方法是无法躲避金山云查杀的（但这个方法是可以免杀360云）

很多黑客 卖远控 卖马人群表示金山云很BT（金山云和360的云）上报鉴定以及原理也是不一样的。

他们表示金山云更好一些，现在正在加强研究。

============================================================

【部分网友的回答】

（1）
确实金山的云还有很多的不足，希望金山官方可以继续进步发展和完善（比如有的病毒根本鉴定不出来居然提示安全）

（2）
防住两点：
1、断网
2、断云

这两点都可以用主防保护好。。。
所以。。必须有强大滴本地主防。

又，为了防止毒霸被直接干掉
干掉你毒霸，然后病毒自己做个假界面出来忽悠人……
还可以假兮兮查杀一下显示无毒

那么就还要强大滴自保。。
自保+主防。。。

又，毒霸面向的用户群，不可能去玩太复杂的主防。。
智能主防总有办法被绕过。。
一旦未知木马绕过主防了呢？

那么还要高启发查杀未知的病毒木马。。
还要防火墙在木马绕过防御手段对外发送信息的时候拦截。

所以。。。
自保、启发、主防、云、防火墙……一个都不能少。。
沙箱我都懒得说了。。。。这东西。。普通用户真的用得少，主要还是给高端用户折腾杀软玩的。

最最后，最好还能来个面向高端用户的强大滴手动hips+沙箱

（3）
  损招，病毒一般是盗号的，你让他断网后他如何发回数据啊。

（4）
现在毒霸有行为防御，年后还会重点加强，以后未知程序运行会自动入沙箱运行。

（5）
防御10M以下的木马等很有优势~

但是体积过大的程序就不行了~

很多木马可以用copy /c等等来增大自身体积~

云就会因此失去效果。

还有就是本地扫描引擎（尤其是启发技术和断网扫描很悲剧）所以以后要加强本地防御比如加强主防和沙箱等

（6）
  对于大文件是采用提取特征码上传来实现云查杀的，并不是整文件上传，这种问题在软件设计初期就会考虑到的。虽然本地特征码的提取方式有可能被突破，但是云端的处理方式还是未知的，所以大文件做到免杀云还是非常不容易。
毒霸最怕的还是被断网，不过如果用户对所有进入计算机的文件都进行扫描，未知程序首次运行都是用沙箱，怎么会被断网呢？

（7）
黑白名单

TomBox

BT。。。。呵呵。。。。。。。

寂静de雨季

沙箱被穿呢

李白vs苏轼

要是上传特征后找不到文件呢

695580825

寂静de雨季 发表于 2011-1-31 03:39
沙箱被穿呢

李白vs苏轼 发表于 2011-1-31 03:46
要是上传特征后找不到文件呢



ZJUER 发表于 2011-1-31 08:06
回复 5楼 695580825 的帖子

抱歉，沙箱在原理上就是一种虚拟机……


10楼ZJUER

我应该对您感到抱歉了，但金山官方认为金山沙箱不是虚拟机也可能是定位问题吧。

（具体您应该和金山工程师讨论一下 才能更具体的了解金山沙箱等相关信息）


1  金山沙箱不是虚拟机，只是针对一些未知程序可以在沙箱环境下运行不影响系统环境

并且以后发现的未知程序会自动入沙箱运行（并且加强未知程序鉴定的标准和时间）这都很大的帮助了小白用户

可以看到程序的分析安全性以及动作等（即便不懂也能看懂那些）

当然沙箱被穿也是有可能的毕竟金山沙箱目前还是测试阶段，以后出正式版的时候会越来越完善的。


2  上传后找不到文件是不是你肉眼看不到（很多木马以及病毒会实现自身隐藏）但一般安全软件都可以扫描出来

以前我就碰到过一个样本，解压后看不到任何文件（但使用金山扫描说有病毒有三个文件）

如果你是全盘扫描的话发现有问题的软件或文件金山也会上报云鉴定（在你第二次或第三次扫描的时候就会查出）

如果是远控木马（在配置的时候可以选择隐藏等等一些配置方法）如果没有病毒文件他又如何去控制你呢？

上面说的都是你电脑上的原有文件，如果是你下载后的软件或文件等（金山会事先扫描发现有问题的会哦上报云鉴定）

如果你不去随便点击运行又怎么会消失找不到呢？

当然金山不是完美的，需要我们大家提意见发现问题来共同完善（世界上没有100%的安全软件）

post8

vbs[

695580825

post8 发表于 2011-1-31 05:36
vbs[

金山毒霸的SP6已经加强对vbs以及批处理等程序的拦截

比如加入沙箱以及行为防御后期还会继续完善和加强。

金山卫士很早就拦截的

所以目前还是使用金山安全套装是稳妥（等金山整合完毕之后就可以使用全功能版）

一个用户只需安装一个毒霸就可以享受全面的服务即全功能版。

当然每个软件都是有问题和瑕疵的不会是完美的，这离不开官方的进步与发展，和用户的支持也是离不开的

让我们大家一起帮助金山提出更好的意见建议以及BUG，来共同完善毒霸，支持国产好软件。

flyinbed

我觉得金山在向panda学习，一步一个脚印慢慢来吧。

郑伟用户

放心，金山有能力去应付断云的事件，年后重点应该就是主防，自保和防火墙了，个人看法

ZJUER

回复 5楼 695580825 的帖子

抱歉，沙箱在原理上就是一种虚拟机……