【关于】360卫士主防在卡饭样本包的测试中长期100%极其问题【整理篇】

695580825

                                                      360度安全、国际化、用户至上 永远免费




【反馈机制】

上传须知

1.未被360识辨出来的未知文件

2.并非自己编辑制作的软件（包含自己制作的软件）

3.发现的软件漏洞以及未能防御的病毒样本

4.对软件的问题反馈及意见建议

5.压缩后在五兆内；

6.如果文件压缩后超过5兆请提供有效的联系方式或者详细的链接地址；

7.详细说明运行此文件后出现的症状和必要的图片资料(请勿采用幻灯片方式上传)

官方论坛反馈地址：http://bbs.360.cn/

官方邮箱反馈地址：kefu@360.cn


=========================================================================

=========================================================================

360卫士主防在测试中长期100%的结果，看似令人震惊，实则完全在情理之内。

造成这个结果的原因有以下这么几个前提：

1、卡饭样本包包含样本种类的局限性或者说是对360主防的针对性不强

2、MJ等360主防组工作人员的不懈努力改进

3、360卫士云HIPS的本身架构的优势和内核驱动的高质量

逐条来解释。

首先，卡饭的样本包虽然每天都有50多个，一个月有近1500个，但仔细分析后会发现总是那么几

十个种类的样本经过不断免杀更新后的产物，也就是说其行为是比较单一的。而这几天的帖子中

的过360主防样本则是小范围不公开的极具针对性的样本

在这样的样本面前确实任何防御都是白费的。

其次，从去年360卫士升级到7.0开始，在初期的卡饭测试中360卫士主防的成绩很

一般甚至可以说很差，但经过MJ等360工作人员的不断改进，

在7.5版本以后基本堵住了卡饭测试样本中的所有主防漏洞。

再次，360的云HIPS架构为升级带来的便利，

因为360本身的HIPS具有足够的强度因此在内核级别上的漏洞少，

而问题主要出现在云端规则的漏洞上。限于白名单数量的原因，

云HIPS不可能如本地HIPS一般，拦截的面面俱到。

这就给突破绕过找到了可乘之机。但换个角度想，一旦有漏掉的样本被发现，

也很容易升级规则来拦截。

说了这么多，其实就是想说这么一句，请大家理性看待这个成绩。

同时也希望各大软件厂商能够学习360这种发现问题绝不妥协，绝不拖拉的优良作风。

====================================================

PS突破360防御的病毒分析

断网时，360为了易用性，主防功能大减

断网时弹窗很少，至如远控，似乎智能主防都有重启后才报的问题

估计和远控及主防原理有关

有人提到过，远控和流氓软件最难识别，应该是因为远控的行为和正常程序类似，

重启才容易暴露

【譬如】：360云主防断网很悲剧

【譬如】：360老喜欢阻止木马启动（但当时运行是可以上线的）只是重启后会拦截。

我想借微点的重启后杀毒说明：远控的行为和正常程序类似，现在似乎只能利用远控的开机后会

自动启动来判断是否正常程序

以前我也一直认为，360是对每一个他的监控点进行云验证，后来的一些样本让我逐渐接受另一个

观点，360并非全部行为都会进行验证，仅仅那些正常程序不常见的行为才会云验证，也就是说

360有本地规则，会根据本地规则判断是否进行云验证

一些过360的样本可能就是利用本地规则的漏洞，绕过云验证，否则的话，每个行为都云一下，不

在白名单就提示，这种防护恐怕比hips都严格，因为360完全可以给每个白文件根据最小权限原则

在云端创建规则，这样利用白文件漏洞也不大可能了

七宝

LZ这帖子什么意思？
你帖子中的三个部分都是引用别人的把？想说明什么？

小蚂蚁的梦想

  楼主你这个帖子前面一大半都是别人发过的，，就后面一小部分是自己的

ＳЁv⑦ēЙ

膜拜。

wyx5385365

没看懂   

年下

意义何在呢？整合贴吗？

追逝

其实我觉得360一直很努力

blue03

360是努力

皇影

360一直在进步