一个普通用户对“云”的思考

surenxx

我觉得作为一个用户，首先要学会思考，而不是目盲跟风。
1、对“云”就是云端运行多款其他杀软查杀的看法
首先，大家都知道我们平时使用的电脑被称为微型计算机，其上有小型计算机、中型计算机、大型计算机、巨型计算机，举例而言，我读大学时学校用来为数千用户提供服务的计算机就是一台小型计算机，在它面前，微机的性能十分渺小，可以说中型计算机和大型计算机的性能已经不是我们普通用户可以想象。一款为上千万用户提供服务的服务器性能如何？一个有理智的企业会让昂贵的服务器只用来运行几十款针对微机开发的杀毒软件？这明显是不可能的。
第二，就卡饭病毒包的测试结果来看，云杀软在一小时的响应后查杀率已经远高于未入库的非云杀软，假设云只是一个多引擎扫描器，怎样解释这种青出于蓝而胜于蓝的矛盾？
第三，使用多杀软扫描的结果就是误报等于所有杀软之和，但是目前云杀软的误报控制都还不错。
第四，如果云是多杀软扫描，对于体积较大，不能完整上传的文件，多杀软云是怎样扫描的？每个杀软的特征码提取技术都不一样，没有完整文件，多杀软根本无法扫描。至于MD5码查杀更是无稽之谈，早有达人做过实验，更改MD5码仍然不能躲过云扫描。
就这几点看来说云就是多杀软扫描和多引擎鉴定器是很不负责任的。
2、对虚拟机等启发技术的理解
首先，启发技术的实现难度并未高到技术壁垒的地步，启发技术难以实现的最大瓶颈应该是性能控制，如何在微机有限的性能上实现较高的启发效果，这才是启发技术的壁垒，但是明显云就不存在这个问题，也许国内厂商不能像ESET一样开发出简练高效的启发引擎，但是开发一个“低效”但强大启发引擎总是没问题的，大型服务器的性能完全可以无视这部分损耗。
第二，启发技术仍有局限性，ESET、QVM这些起初很强势的启发引擎在被摸清大概启发规则后，也逐渐泯然于众了。
3、关于首批牺牲的看法
首次查杀高，并不代表首批牺牲小。首批牺牲者的数量取决于病毒出现到病毒被杀软查杀的时间，如果有100个新病毒，A杀软首次查杀率90%，B杀软首次查杀50%，A用两小时将剩下的10个病毒入库，B用20分钟将剩下的50个病毒入库，这期间两个杀软共牺牲了多少人？如果每病毒每分钟感染一个用户：
A：10*120=1200
B：50*20=1000
由此可见，由于云杀软入库速度快，首批牺牲未必就比其他杀软多。
4、关于数字的云主防
按照数字管家的解释是将程序行为上传到云服务器，由服务器判断是否有害，说实话我此还是不能理解，行为规则库并不是病毒库那样庞大，放在本地和云端的区别能有多大？我感觉云主防就像一个实时更新规则库的本地主防。这点是我自己的理解，如果有不对之处请达人指教。

李白vs苏轼

1、不能太笼统的说都不是多引擎，有的也是用多引擎或者是开放的多引擎，关于多引擎误报问题可以通过建模或者加权得到平衡
2、并不是所有的云都是单纯的MD5直接提取，也不是所有的云都是整个文件上传
3、误报控制得好是因为云白名单够，所以不怕，云端跑的QVM版本就是例子
4、对于首批牺牲，云可以把牺牲做到最小化

keiz

覺得雲不用上傳 要上傳的不叫雲  信譽雲 囧

surenxx

李白vs苏轼 发表于 2011-6-18 00:18
1、不能太笼统的说都不是多引擎，有的也是用多引擎或者是开放的多引擎，关于多引擎误报问题可以通过建模或者 ...

多引擎通过加权得到云结果？
就以金山为例，在样本区经常碰到所有杀软报毒，金山云固执的报安全，这个结果是怎么加权出来的？

李白vs苏轼

surenxx 发表于 2011-6-18 00:41
多引擎通过加权得到云结果？
就以金山为例，在样本区经常碰到所有杀软报毒，金山云固执的报安全，这个 ...

金山并不是使用其他杀软的多引擎的，通过建模，详细可以参考
http://bbs.kafan.cn/thread-1008058-1-1.html

-oAo-

云并不是主动防御，肯定有首批牺牲者得

jefffire

用Fuzzy hash 当然改动一点内容不起效，但是加了壳，还是要整个上传。

再说说多引擎，对于质量不错的引擎，比如：卡巴，ESET，BD等设置高权重，这样只要里面有一个命中就立刻报。对于误报有些高的引擎，比如：红伞，IK，如果这几个报，那么就可以人工最优先处理。

yyyyhh123

其实数字的云主防我也不太明白，求高人科普

7奇天大圣7

支持下·

毛豆小新

支持科普！对金山的云越来越了解了，看来还是有很多人喜欢云杀软啊