[戳穿多引擎测试系列2]搞笑的多引擎不等于多监控测试！！！

ezpod32432

既然都这么牛了为啥还加引擎？？打自己嘴？？

东方未亮

1、楼主批评的那篇帖子确实有枪手的嫌疑，但是即便对方是枪手，也应该用客观的态度去面对他。但是一门心思批评这一点，而不讨论对方提出的多引擎是否等于多监控的概念，真的没有偏离主题吗？那个人提出的观点或许正确，或许不正确，测试只是他的主题的很小的一部分，说实话删了都行，纠缠在这上面，根本就无法证明对方的论点有错误。

2、如果对方说了一句，360杀毒的多引擎不等于多监控，那么他肯定就是白痴，不值得一辩。问题是，他谈的是360卫士和QQ管家的多引擎是否起到监控作用的问题。360卫士确实没有开启小红伞的引擎，QQ管家也没有啊，因为那个人测试的就是默认引擎状况。

3、那个人还提到了，多引擎同时监控时优先级的问题。楼主说360的一个引擎报毒就确定为病毒，那是不可能的。360是有海量白名单的，而且N多360的粉丝告诉我，360的误报超低。一个引擎报毒就确定有毒，如何来的超低的误报？单说比特梵德的引擎的误报率在国内是超低的吗？360的主防则最后会通过海量白名单来确认过。所以360不是直接一个引擎报毒就确定为病毒。不然云端是拿来做什么的？

4、360主防确实厉害，我认为是联网状况下国内最好的。但是主动防御引擎本身就是防御的，而小红伞引擎、趋势引擎则不是，所以那个人在讨论多引擎是否等于多监控时，自然不需要提及主动防御引擎，因为该引擎本身是个例外，一个本身就是用于监控的引擎，和多引擎不等于多监控的主题有什么关系？只不过360的主防可以告诉我们，即便多引擎不一定等于多监控，但是360主防是个例外，360的防御很强，如此而已。我一直觉得360的主防本身就是组件的一部分，没必要和小红伞引擎、云安全引擎放在一起说。

5、卡饭论坛懂电脑的人不止楼主一个，至于对方是不是枪手，中立的人都很清楚了。客观讨论即可，对待不同的观点，就用“你洗洗睡了吧”的说法，这才搞笑。某个帖子或许有对360不公正的地方，那么你们指出即可，而不是非要把那个帖子的主题强调成对360的污蔑。这里不是360的官方论坛。

6、我的说法或许会让360的粉丝们不爽，但是我想360公司的虚心接受用户意见的态度，你们也应该多加推崇。很多问题本身就会有歧义，讨论即可，而不是讽刺来讽刺去，谁也不比谁高人一等。

jefffire

东方未亮 发表于 2011-6-15 17:02
1、楼主批评的那篇帖子确实有枪手的嫌疑，主要在于命名的问题。但是即便对方是枪手，也应该用客观的态度去面 ...

你说的很多都很对。不过有一点不对，那个帖子的所有推论都是基于测试结果中金山比360的成绩高导出的，如果没有测试成绩就没有这么一堆结论。所以既然连立论基础都不牢靠，推出来的结论自然成了浮云了。

shanget

无敌的有吗？

polythene

wangyunxi80 发表于 2011-6-15 00:00
你谈技术？
要技术就像铁壳、趋势那样保持20%左右的查杀率100年不动摇
照样保持那么高的口碑和占有率！ ...

呦.您是高手.小白我不懂.咱虽用肚皮思考.但我不像某满脑猪油

东方未亮

jefffire 发表于 2011-6-15 17:09
你说的很多都很对。不过有一点不对，那个帖子的所有推论都是基于测试结果中金山比360的成绩高导出的，如果 ...

不是这样的。在我看来，那个测试根本没意义。

因为多引擎不等于多监控这个概念，完全不需要建立在谁的查杀率高的基础上。因为他一直在说多监控的问题，而不是强调多引擎可以导致多高的查杀率。他在那里测试下谁的查杀率，我不明白到底有什么意义？这种无意义的测试，喷他两句就算了，喷个没玩，还扯到360杀毒上，不是很水吗？360主防本身就可以拦截大部分病毒，但是那又和多监控有什么关系呢？ 那个人的多监控的概念，提到了监控级别的问题，有几个引擎监控的问题，有谁关心吗？

其实他也就是那个多引擎不等于多监控的概念有讨论的价值，问题是根本就没人讨论那个，全都关心360卫士的查杀率是否被造假上了。

我觉得这样看待问题同样不全面。

jefffire

东方未亮 发表于 2011-6-15 17:22
不是这样的。在我看来，那个测试根本没意义。

因为多引擎不等于多监控这个概念，完全不需要建立在单引 ...

我看了那帖子半天，主要都是测试了。
至于那个优先级问题，那个帖子简直是胡扯。首先，不管是什么特征码引擎，都是只能判黑不能判白。因为判白的条件比判黑苛刻的多，要求整个文件完全和已知的白文件匹配，目前只能用哈希的方法或者数字签名的方法（也是基于哈希）来确定。而判断文件为黑，则只需要一个文件的某一部分和特征库匹配即可。因此目前的流程都是，首先计算文件哈希值，先和本地白名单内的哈希值匹配，若有则跳过，若无则和云端黑白名单库匹配若有则改报毒的报毒，报安全的报安全，若无则调用本地特征引擎查杀，根据预设情况依次调用各个引擎，只要其中有一个引擎报毒则直接报毒。
也就是说假如有个文件，既不在白名单内，也不在黑名单内，则只要本地引擎中的一个发现病毒就报毒。

BHHZDQL

东方未亮 发表于 2011-6-15 17:02
1、楼主批评的那篇帖子确实有枪手的嫌疑，但是即便对方是枪手，也应该用客观的态度去面对他。但是一门心思批 ...

测试的2个是正常安装程序这个则么说？一个是流氓样本安装完了360杀毒杀了主程序，一个运行360卫士报木马

东方未亮

jefffire 发表于 2011-6-15 17:31
我看了那帖子半天，主要都是测试了。
至于那个优先级问题，那个帖子简直是胡扯。首先，不管是特征码引擎 ...

哦，也就是说，先看本地白名单，再看云端名单，最后才是考虑调用本地各个引擎。

嗯，理解了。也就是说，其实360和金山它们扫描时，都是会先考虑云端名单，再考虑本地引擎的结果的。

总算看到客观的说法了，谢谢。如果是这样的话，有云端的软件和没有的软件，区别还是很大的。

东方未亮

BHHZDQL 发表于 2011-6-15 17:33
测试的2个是正常安装程序这个则么说？一个是流氓样本安装完了360杀毒杀了主程序，一个运行360卫士报木马

不怎么说，我本来就没把那个测试当回事，何必较真，又不是多正规的样本。

我的意思就是说，讨论的时候不要太激动，不要偏题，解释得清楚点，不然看的人都一头雾水。

jefffire 不就是解释得很清楚吗？大家都看得懂。