从查杀的非白即黑到防御的非白即黑

tiejun

2008年10月，珠海金山几个猥琐的程序员想到用非白即黑的方法去处理病毒。

那时，你可曾想到过他们会成功？

我相信他们会成，本文作证：
http://hi.baidu.com/litiejun/blog/item/5f24daf28b389b14b07ec5f3.html

为什么要搞白名单杀毒呢？最开始的想法超简单：

黑的文件太多，这几个猥琐男天天搞病毒分析实在是搞烦了。黑文件库（病毒库）天天更新搞了多年，病毒反而越搞越红火。

哥几个在珠海找个小饭馆一顿饱餐之后想到：干嘛搞黑名单一条路搞到死，反过来搞白的不行么？电脑里的文件虽多，白文件肯定是绝对多数，大部分用户电脑上的文件是完全一样的。你用的Windows和比尔盖咨用的，有相当一部分文件是完全一样的。

把白文件找出来，再把剩下的非白文件全灭掉，肯定解决问题。

几个星期之后，金山急救箱的第一个版本就出现了。刚出来时，几乎遭到所有“专业”人士的耻笑：还白文件杀毒呢，误报天天搞死你。记得曾经有个网友把金山急救箱的想法和某司开发人员交流，对方立刻表示了对金山急救箱的不屑。

2年多时间过去，白名单杀毒做的怎么样呢？

我们看到的结果是，继金山急救箱半年多之后，数字的急救箱也折腾起来了，不久前腾讯也搞了一个。那个曾经表示不屑的安全论坛，有版主推荐网友使用金山急救箱，还和官方人士发生过争执。

做完白名单查杀，那几个猥琐男又在折腾了：只搞白名单查杀吗？能不能搞白名单防御？折腾的结果是，拍板搞白名单防御，然后就搞了毒霸2012的边界防御。

没有意外，边界防御一样被“专业人士”不屑，其中不少本论坛之“专业”人士。暂且由他笑去吧，我就不信他不抄。

568168274

貌似本尊，支持个，最后一句话是亮点

suitao120931329

支持下~~~那位好心的版主，帮我消灭0人气啊

leisong

这个机器自动鉴定的非白即黑全世界也不敢抄，在赌在云端的鉴定器上了
鉴定为黑的没问题，哪怕有一定的误报率；关键是自动鉴定为白的不敢相信，到头来用户还是得自己判断程序来源是否真的是白的。
还有那抑制程序99秒后才决定放行与否，不知用户是否受得了？这种99秒的主意真的有必要抄？本地鉴定器无时差不怕断网的鉴定去抄99秒后必定存在一定误判率的结果？

lwy4652

现在金山的云鉴定有个小问题：个别情况下，把病毒鉴定为“安全”。不知有什么思路可以避免这一情况

dyhua

leisong 发表于 2011-7-12 19:15
这个机器自动鉴定的非白即黑全世界也不敢抄，在赌在云端的鉴定器上了
鉴定为黑的没问题，哪怕有一定的误报 ...

误判问题又不只有金山这样
360没有误判吗？（不要说什么有主防之类的，一旦误判主防也会放过的）其他杀软没有误判吗？
LZ来的时间不短了应该知道没有100%判断的
还有金山有回扫功能会纠正错误判断

tiejun

lwy4652 发表于 2011-7-12 19:16
现在金山的云鉴定有个小问题：个别情况下，把病毒鉴定为“安全”。不知有什么思路可以避免这一情况

新加进白名单的文件会每天重新鉴定，自动纠正这种误判，然后就是需要用户提交误报样本来人工纠正了。

leisong

dyhua 发表于 2011-7-12 19:23
误判问题又不只有金山这样
360没有误判吗？（不要说什么有主防之类的，一旦误判主防也会放过的）其他杀软 ...

别的杀软叫做漏判，漏判后还有别的防御措施来防御，和金山全世界独一无二的黑判白有本质区别。

别的杀软误判是白判黑，但更严重的后果是黑判白通过其它所有防御线，能听懂吗？这和全世界所有的杀软都有本质区别，当然这种本质区别就是金山所追求的，为了拉开差异化，拿鉴定器来赌明天。

NT狼狼

铁军，还是说含蓄点吧，微创新吗！我都能想到某些专业人士的说辞：微创新是对用户好。

7奇天大圣7

坚持自己觉得正确的~