【戳穿多引擎的画皮系列二】多个引擎真的就安全吗？多引擎绝不等于多防御！

显示全部楼层 · 发表于 2011-6-13 21:06:08

本帖最后由 LouisOT 于 2011-6-13 21:40 编辑

打了这么多年酱油，就被多引擎败坏了修炼，先感谢卡饭er的热情，也鄙视一下自己最近不淡定。我这帖子不是攻击任何一家杀软，还请大家平心气和的讨论技术。上一期留了一个问题，被卡饭的水印给遮盖了，不知道大家有没有看明白，现在用文字表达一下。

有人说电脑装个四核的就是比两核的快。可是杀毒软件装多个引擎首先就会拖慢系统，也许大家说了，如果查杀和防御很给力，牺牲点系统资源是可以忍受的，但是多引擎+云引擎就真的比单引擎+云引擎安全吗？
实测了四个样本，其实病毒过多引擎跟过单引擎一样，没什么鸭梨。如果你觉得一个病毒要过多引擎杀毒软件是需要将小红伞，BD等等引擎全部都过掉，那你就错了。其实病毒过多引擎的杀毒软件也只需要过唯一的一个引擎，就是这个杀软开启防御的那个引擎。

多引擎从来不等于多防御，原理请耐心往下看：

分别用金山卫士，QQ电脑管家和360安全卫士快速扫描四个样本

图1 360安全卫士

图2：QQ电脑管家

图3：金山卫士

结果如下：

图1.1：360安全卫士

图2.1 QQ电脑管家

图3.1金山卫士

其实多引擎的判断机制跟单引擎+云引擎对文件的判断机制基本没什么本质上的区别。在

一个文件进入你的电脑系统后，监控和防御起作用的也只是一个引擎。就像你有多个浏览器，

但是默认的浏览器也只能有一个一样。

在这个表格里你会发现一个问题：标了黄色的那行中，单引擎和多引擎中的A引擎如果将一个病毒误判成了白，那么无论单引擎还是多引擎都会漏杀这个病毒。所以是否能够防御住病毒，起决定性作用的还是引擎A是否给力。
那为什么不开启多个引擎去判断文件是白是黑呢？既然引擎都买了，为什么不在前面的步骤就起作用呢？

   如上表所示：如果杀毒软件开启多个引擎监控和防御就会出现内杠的情况，比如红伞报有毒，DB报没有毒，QVM又报有毒，这时候该告诉用户有毒呢还是没毒呢？这就是前文里面说的，带三块表，一个是伦敦时间，一个北京时间，一个柏林时间，你到底以哪个时间为准呢？然后还是依旧要云引擎去给一个最后的判断，但是内耗是一个不得不面对的问题。所以多引擎的杀毒软件只开一个引擎的监控和防御，这跟单引擎在防范病毒上没有任何区别。

既然无法开启多个监控，那红伞，DB和QVM只能开启一个监控，假设360开启的是QVM监控，那么一个文件如果QVM监控扫描后是无毒文件，就不会在给红伞和BD的引擎扫描了。所以上面那四个病毒也许过不了DB跟红伞，但是只要过了QVM引擎就够了。那既然这样何必在画蛇添足的加两个引擎呢？考验用户的电脑配置是否过关吗？

所以说，多引擎杀软也并不是真的安全。至于还要跟我扯断网时候安全的童鞋们，我在提个问题吧。

  问:你是个病毒作者，那你做病毒要干什么？
  答：获取利益
  问：如何在别人电脑上获取到我需要的利益？
  答：获得QQ号码，网银，游戏帐号，商业文件等等能够卖钱的东西。或者劫持浏览器弹窗卖流量。
  问:那偷到这些帐号密码和文件怎么发送给我？
  答：邮件等传输工具
  问：断网了能传出来吗？断网了能弹窗让人点击吗？
  答: ..................................................
  如果你觉得病毒和木马作者辛苦做个病毒木马出来只是为了搞恶作剧，无关利益。那以上推理不成立。

样本下载地址：
http://www.rayfile.com/zh-cn/fil ... -8e58-0015c55db73d/

显示全部楼层 · 发表于 2011-6-13 21:09:14

本帖最后由 flightzxc168 于 2011-6-13 21:11 编辑

难道是沙……又见主观贴，如果非比扫描，我更信任卡饭每天测试的结果。

显示全部楼层 · 发表于 2011-6-13 21:11:10

本帖最后由 yujiakun 于 2011-6-13 21:13 编辑

谁都知道这三个水平，楼主又何必长篇大论……

楼主发个过360主防的样本出来就行啦，截图木意思

多引擎，那也得看神马引擎，就QQ那个QQ云查杀、金山云查杀和趋势，三个加起来一扫还不如去年出的QVM

显示全部楼层 · 发表于 2011-6-13 21:12:24

在弄115网盘，样本稍后发出！

显示全部楼层 · 发表于 2011-6-13 21:16:07

谣言再破，楼主洗洗睡吧

显示全部楼层 · 发表于 2011-6-13 21:19:37

本帖最后由 yujiakun 于 2011-6-13 21:20 编辑

楼主用X山的，我看单引擎论和断网论就猜到了。

还少写了用户RP杀毒论

显示全部楼层 · 发表于 2011-6-13 21:23:36

尊敬的楼主可爱的楼主，我相信在不久你就会被口水淹没

显示全部楼层 · 发表于 2011-6-13 21:28:57

逍遥郁闷小仙发表于 2011-6-13 21:23
尊敬的楼主可爱的楼主，我相信在不久你就会被口水淹没

你发现没？LZ拿360卫士明显没有开启红伞引擎

显示全部楼层 · 发表于 2011-6-13 21:30:34

BHHZDQL 发表于 2011-6-13 21:28
你发现没？LZ拿360卫士明显没有开启红伞引擎

我对这些不关心，我只关心我的电脑。杀软是经常换，有时候什么也不用裸奔－－－－－享受飞速度的流畅

显示全部楼层 · 发表于 2011-6-13 21:31:23

逍遥郁闷小仙发表于 2011-6-13 21:30
我对这些不关心，我只关心我的电脑。杀软是经常换，有时候什么也不用裸奔－－－－－享受飞速度的流 ...

我保证，LZ又不敢放出样本了，放出来让我用3引擎卫士和4引擎杀毒扫扫

[技术原创] 【戳穿多引擎的画皮系列二】多个引擎真的就安全吗？多引擎绝不等于多防御！

本帖子中包含更多资源

评分

本帖子中包含更多资源