1]当杀毒引擎发现一个可疑文件,自动与云安全中心发送可疑文件的文件指纹[可疑文件MOD5值],在云安全中心由无法识别时,会自动上传到云安全中心进行分析。但也可能是把全部的文件的文件指纹都发到云安全中心比对,是否采取这种方法,我没实验,你也可以通过拦截网络数据包的方法来分析下.讲到这里你应该发现问题了,如果金山云安全使用的是[把全部的文件的文件指纹都发到云安全]的方法,那MOD5值对比是不靠得住,其实金山现在的云安全已经不是靠MOD5值对比的了,那不是靠MOD5那会靠什么???金山的说法是从文件中抽取几个字节的代码就可以完成分析,我没实力推测出金山的抽取的字节,只好问了下师兄.师兄就是师兄.在电脑中抽取出一个文件,改了文件尾部结束部分填0区的几个字节.上传云安全中心,发现一下就报安全文件.这说明金山并不是靠MOD5来判断的,也推翻了其云安全靠哈希函数等算法来判断的,因为算法是一种运算法则,一个文件中哪怕只有一个字节改变,哈希和MOD5值也会更改.这与事实不相合.再试了2次后,师兄就找到了路.上传云安全,云安全判断为未知文件,这时候就成功骗取了,金山云安全的文件安全预检测判断.原来金山云安全是根据文件的PE信息来进行文件识别的.文件的PE信息是什么?就云安全来讲,它是几个字节的代码.你把一个病毒文件重建下PE,金山的云安全就查不出该病毒了.再登陆金山云安全网站,上传该文件,可以看到云安全把它归为未知文件了......免杀了金山云安全 高手应该知道这是什么了,小白就不要知道了.总之是些二进制代码.
不过要注意的是免杀了金山云安全对金山没多大影响,金山会对上传的样本进行PE信息检测后,还会调用金山毒霸进行扫描 [ 这是为了减轻云安全服务器的负担,也同时在一定程度上避免了,以可疑文件形式的DDOS攻击云安全服务器,导致云安全服务器出问题 ] .如果没对金山定义的病毒特征码进行处理,不用几秒,该样本就会被云安全识别为病毒.你连特征码都没处理,就想免杀云安全是可能性较小.[2]自动上传的可疑文件会在网络使用相对空闲时上传到云安全服务器中。
[3]云安全中心服务器接收到可疑文件时,开始在服务器构造的类似虚拟环境[应该自含代码形虚拟机和缓冲区虚拟机的复合虚拟系统]中运行可疑文件。
[4]在运行在虚拟环境中可疑文件使用的API会被云安全中心服务器中的分析程序监控,并进行和服务器API规则表的分析...... 还有很多的云安全细节,没有讲到.不过对我们这些小白来说,已经够了 |
发表于 2011-6-19 11:38:11
楼主
