关于金山的使用心得

显示全部楼层 · 发表于 2007-7-2 17:36:39

首先声明，我不是X手，我用了金山一年，现在转用微点了，只是对之前金山的使用感受随便抒发一下

1、很多朋友说到不明白金山的数据流技术，其实这东西你说炒概念是有点，但是又不是完全炒，“数据流”理解为数据的流动，数据在哪里流动？内存！金山高调说这技术专对付鸽子，而且看来还真有点神奇，可以说把鸽子的7寸找准了，其实可以理解为金山一定程度上掌握了鸽子的行为特征，是对大量样本分析出来的，其实看过铁军的博客的朋友应该感觉到金山开始有点倾向行为分析，当然技术层面和微点的行为分析无法相比，但是金山对内存的监控还真有一套，它不需要hook任何服务函数就可以实现对文件复制，删除，保存等操作的监控！但是微点却hook一大堆服务函数，我曾经问过微点的超版为什么这么多hook，答复是监控需要。这个不需要hook服务函数的监控技术大概就是金山所谓的数据流技术！立点不错，只是目前还欠缺启发式和行为分析的功底，极大影响了应有的效果。想测试数据流技术的真实性很简单：把监控关闭，然后从隔离区放一个金山能识别的死马出来，然后重新启动监控，把木马文件删除，就会发现金山报毒了呵呵，原理上面解释过了！

2、大家炮轰最多的恐怕是金山的破壳技术了，金山还特意卖了个王八什么的广告，拿锤敲，哈哈，为什么要拿锤敲？（这样会把壳里的东西也敲死的）说到底是龟壳脱不了，一怒之下把你敲个壳破龟亡[:27:] 我看了很多测试，金山的确能识别很多壳（不能说很多，至少常用的都认识），但是认识有啥用，你只能杀不能脱！一个正常文件，加个北斗，马上报Trojan.QQ.PSW............

然后.........删除！大家留意，是“删除”，不是“清除”金山的设置里有选择“删除”还是“清除”，说实话，选哪个都一样，它的引擎壳都脱不了，怎么做特征码提取？某星倒还能提取些东西而且引擎脱壳能力也比金山强，但是某星的监控比金山弱多了！

3、说到启发式，金山说有但是没有大力宣传，本人就看不出来，基本上还是靠样本上报的代码库，这一点是观察金山的命名得出的结论，例如一个鸽子：Trojan.huigezi.10084.al（大概数字是特征码变种，字母是壳）可见金山把所有鸽子的变种都作为一个独立病毒，其引擎也就是判断鸽子和鸽子的壳的代码来杀（数据流的情形不同，因为鸽子一进内存，就变成没壳了，这个al就不存在）从这里大家可以看出金山呐喊：敌不动我不动，敌一动立即清除这句话的真实意思！

但是大家要知道，启发式不足，是不能判断很多未知的病毒代码的，就算病毒库再大，你还是过时，那就是为什么许多人说加花码照过数据流！况且金山的病毒反应速度很慢，基本上报的3个月才回复，金山每次升级都说新增可查杀数量为1000+个，哪来这么多？其实就是一个病毒几百个变种！要是你把启发弄好了，还会这么多吗？某星一次才100~200个，究竟谁忽悠我们？不好判断！

4、金山套装的功能：很多重复！例如全面扫描和反间谍的木马扫描就是典型，你全面扫完为什么还要用反间谍扫？难道反间谍的功能没有集成到全面扫描里？难道全面扫描不扫木马？另一个就是闪电杀毒和右键扫描重复功能，闪电杀无非就是局部扫描，右键扫也是局部扫描嘛，为什么要弄两个？启动项列举很不全面，至少没有列出驱动，只是列出了run值下的启动项，少了点吧，要知道系统的启动项（包括驱动）可是有700多的，微点就多列出很多来！漏洞补丁呢？下载很慢，而且不全，金山打完后360扫描居然还有10个高危漏洞？

总的来说，金山最大的进步的确是数据流，其它嘛，一般一般！

[ 本帖最后由 dsl5 于 2007-7-2 17:39 编辑 ]

显示全部楼层 · 发表于 2007-7-2 17:56:30

我用金山最大的心得就是qq被盗

显示全部楼层 · 发表于 2007-7-2 18:52:57

还要说一点，金山的自我保护很不健壮，随便做一个挟持就把它挟持去了！

盗号正是因为网镖对出外的数据没有有效拦截，外面扫描你系统的拦截的确很到位（前提一定要开高），微点的墙比金山强多了！

显示全部楼层 · 发表于 2007-7-2 18:57:07

金山除了占资源
也就没得啥子优点咯

显示全部楼层 · 发表于 2007-7-2 19:30:48

枪手!有来了~~~~
瑞星技术比金山好多了~
金山在2006开始才可以,2005~前是瑞星第一.
~江民一般般,时好,时不好.
国产用户量是瑞星
国产技术量是江民
金山好像在瑞星和江民上个那一点,不多~
瑞星一向是好~
江民就是不够细致和简易~
金山就是技术不够~
瑞星就是技术不够完善!

显示全部楼层 · 发表于 2007-7-2 19:51:27

说了多少次我不是X手

显示全部楼层 · 发表于 2007-7-2 21:20:23

’上报的3个月才回复‘ 对国产来说这算长还是短？

’例如全面扫描和反间谍的木马扫描就是典型，你全面扫完为什么还要用反间谍扫？难道反间谍的功能没有集成到全面扫描里？难道全面扫描不扫木马？‘

分开来的？！令人难以理解，难道把扫描整合在一起有什么技术难度吗？病毒和间谍不都是泛指的恶意程序吗！

显示全部楼层 · 发表于 2007-7-2 21:28:59

看到第一句话，就没心情往下看了，回复纯支持下

显示全部楼层 · 发表于 2007-7-2 21:29:12

金山给我的感觉就是一个字：卡

显示全部楼层 · 发表于 2007-7-2 22:15:38

原帖由 九棒歪打 于 2007-7-2 21:20 发表
’上报的3个月才回复‘ 对国产来说这算长还是短？

’例如全面扫描和反间谍的木马扫描就是典型，你全面扫完为什么还要用反间谍扫？难道反间谍的功能没有集成到全面扫描里？难道全面扫描不扫木马？‘

分开来 ...

3个月知道是什么概念吗?我在一个网站上下了一个假的星际,13个木马,金山杀了7个,剩余的我自己杀了上报样本去!当时我中招的时候,那东西已经4000+人下载过,过了3个月金山才答复我说是病毒,估计中招的人不止7000了!

那假的星际从发布时间到我下载中间隔了2个月!

[ 本帖最后由 dsl5 于 2007-7-2 22:18 编辑 ]

[讨论] 关于金山的使用心得

原来数据流＝内存监控

浏览过的版块