360的下载文件保护还是验证MD5吗？

longkidd

呃~刚刚又用迅雷下载了游民星空的一个小游戏~
360WS又弹出扫描画面……
扫了半分多钟
仍然是蓝色框的“文件安全性未知”
囧了~
难道说刚刚那些时间都是连接360的病毒库
验证MD5的吗
如果病毒库或白名单没有就反馈为“未知”
是否如此，请懂的解释一下~
谢~

tokthoo

应该是这样没错。还有在灰名单上的也应该报未知。运行的时候云主防就会拦截危害动作。
（应该）

屋里头

这也是360与众不同的。  360网盾下载保护，将云端 “白名单”显示“安全”，“黑名单”显示“威胁”。其它的如：“未知”或者云机器鉴定（QVM等）提别为“威胁”，并没有完全确认为“威胁”的，都是显示“未知”。   与金山的下载保护，完全不同的。

-oAo-

一般不在黑白名单的都报未知

leisong

其实更认同不再黑白名单报未知等后续的主防来保护的理念。

因为机器自动鉴定无法避免一定量的误判，当样本量大的时候，哪怕1%的误判（实际应该不止）其绝对数也是一个很大的数目，到最后自己也不知道是否能弄得清楚云端这种自动鉴定出的黑白库到底有多少是误判的，用的时间越长，误判数目越大，最后自乱阵脚。

jefffire

下载保护有自己的查杀方式。除了云验证外，还会调用本地的各种引擎进行查杀，还有一些特殊查杀逻辑

longkidd

jefffire 发表于 2011-7-8 21:29
下载保护有自己的查杀方式。除了云验证外，还会调用本地的各种引擎进行查杀，还有一些特殊查杀逻辑

呃~如果是这样的话，我觉得有点疑问，就是，调用本地引擎的话，扫不到毒，应该提示“安全”吧？
难道说：云验证（无）——本地引擎（扫不出毒）——显示“安全性未知”？
这样的话~个人感觉太不给本地引擎面子了吧？毕竟，判断是否有毒，也是依赖本地引擎啊
（交给HIPS的话，一旦加驱动就报疑似木马，对没有安全基础知识的小白可就太不负责了）

jefffire

longkidd 发表于 2011-7-8 21:37
呃~如果是这样的话，我觉得有点疑问，就是，调用本地引擎的话，扫不到毒，应该提示“安全”吧？
难道说： ...

显示“安全性未知”才是真正负责吧。你要知道判定一个文件是否安全，靠几个特征码和启发引擎是不可能做到的，这类引擎仅仅能判黑，只有通过人工分析才可能判定文件安全。

longkidd

jefffire 发表于 2011-7-8 21:41
显示“安全性未知”才是真正负责吧。你要知道判定一个文件是否安全，靠几个特征码和启发引擎是不可能做到 ...

我等小白不太可能会来个HIPS行为判断或者脱壳+反汇编吧？
呃~好像有点跑题了~
可是，~那个……不信自己的引擎……是不是太……？

或许我理解错，是不是说，对于下载保护，360WS只会调用特征码，云鉴定，启发（呃，这个……）
等等的不太占资源的扫描方式。
至于是否有毒，则在运行时，交给HIPS等实时防护部分作进一步判断？

jefffire

longkidd 发表于 2011-7-8 21:48
我等小白不太可能会来个HIPS行为判断或者脱壳+反汇编吧？
呃~好像有点跑题了~
可是，~那个 ...

你还是没有理解特征码，启发式引擎到底是个什么东西。
简单来说特征码就是把收集到的病毒进行代码分析后，取出其中一些代码片段作为标示，并将片段所在的位置一起记录下来。 这样如果有一个新文件来了，就调用引擎分析，在这个位置寻找是否有这段代码，有则认为是病毒，无则认为不是病毒。
启发式就是把大量病毒进行综合分析，分析出其代码的共同特点，并记录，然后如果有一个新文件来了，就调用引擎分析，分析这个文件是否具有这个共同特点，有则认为是病毒，无则认为不是病毒。

从上述可以看出，这些东西都是基于对病毒的判断的，对白文件没有任何识别能力。不可能将其作为识别白文件的手段。