金山之行学习贴系列一：“未知病毒无法查杀”的真实概念

半支煙

蓝芯云安全 发表于 2011-7-28 12:27
你要知道的是，只要QVM在本地一天，就会有无数的新办法来免杀QVM，QVM在病毒作者面前就是赤裸裸的被研究和 ...

关于这个，你完全可以上一些著名的免杀论坛去观光一下。我相信你也是经常去那些论坛逛的。

主动防御

楼主洋洋洒洒写了一大篇显而易见的玩意。

主防，启发这些肯定要有依据（也就是行为库）才能发现未知病毒。类似于理科学生，在学习基本公式之后，通过大量题海来练习，总结出经验。下次遇见同类型的题目，直接就知道怎么处理。

就事论事来说。你认为是金山那样抓一个入库一个先进些，还是NOD32 卡巴斯基（虚拟机启发）依靠行为逻辑来判定，QVM依靠普遍统计学来判定病毒 先进？

QVM依然有虚拟机启发的影子，只是在云端利用虚拟机对样本进行海量分析，总结出病毒的普遍行为特征，之后将 特征 更新于本地端。

NOD32与QVM不同之处在于，QVM可以自己根据以往的知识，自动学习新的行为特征，但是NOD32需用工程师来分析总结行为特征。

我对QVM的具体机制不甚了解。只是猜测。QVM对于一个新生的行为特征虽然没有记录，但是许多拥有这个 行为特征 的软件运行后，会出现许多以往已经纪录过的 病毒行为，那么就可以将这个特征判定为新的 病毒行为，加入 行为特征库。

sanya167

gxrsprite 发表于 2011-7-28 12:21
其实吐槽点太多都已经懒得吐槽了，感觉金山杀毒回到了小学5年纪，诶，金山干脆做一个云查杀模块被别人调用算 ...

说的很中肯，也是事情

好像以前看香港电影，里面有个演员说：我先一招天龙十八什么什么，再 一招什么什么的，接着一招什么什么的
你就倒地了，你根本不是对手

可是问题是，真的能做到吗？
要是真的能做到，你还怕人家不懂你的招吗？

kyzi

所有本地防御技术对于提高木马门槛等于0，而云安全提高到了90。本地防御技术对于病毒作者是完全透明的，而云根本无从下手。真正提高了门槛的恰恰是云安全，因为假如说本地对抗只是时间问题，病毒作者对于云的对抗根本无从下手。你自己想想，要制作一个在断网下传播、盗号的病毒根本是不可能的，而对于已知的所有本地防御技术，即使是毛豆这样的公认强悍主防，QVM这样神秘的启发，都是一攻就破，甚至有一键免杀器，而对付云，除了什么加大自身体积这样搞笑的方式同时也增加了传播难度以外，没有更好的办法。
现在的杀毒软件更倾向于云，包括本地超强的卡巴也日渐觉得自己真的是卡吧死机了，需要用云来减轻负担，云做到极致的话，代替本地技术也完全是可能的

见证无从下手。
病毒样本区每日都有无从下手的样本。。。。

小蚂蚁的梦想

  总之一句话  金山目前技术还不行  总是云 晕晕  天知道在里面搞什么

蓝芯云安全

kyzi 发表于 2011-7-28 12:34
见证无从下手。
病毒样本区每日都有无从下手的样本。。。。

样本区的病毒见云就死，基本没有抵抗能力

fzq198776

蓝芯云安全 发表于 2011-7-28 12:27
你要知道的是，只要QVM在本地一天，就会有无数的新办法来免杀QVM，QVM在病毒作者面前就是赤裸裸的被研究和 ...

bug，一般都是被高手找出来的吧，我都说了不指望本地能抵御免杀高手的免杀，只要能抵御中手和低手，提高免杀的成本和免杀门槛，目的就达到了，然后再配合云就完美了，另外对于高手，什么都是浮云，真正的高手我估计安软现有的技术他都能突破，云，也无非是增加了免杀成本而已

K_Ghost!

半支煙 发表于 2011-7-28 12:33
关于这个，你完全可以上一些著名的免杀论坛去观光一下。我相信你也是经常去那些论坛逛的。

他是手持一键免杀器的人

liyuxinbaoding

感觉金山应该改成文学院校
竟然可以对一些名词作出新的解释
一定要紧跟潮流与时俱进哦
我很看好金山网络进军娱乐圈啊

蓝芯云安全

sanya167 发表于 2011-7-28 12:33
说的很中肯，也是事情

好像以前看香港电影，里面有个演员说：我先一招天龙十八什么什么，再 一招什么什 ...

卡巴、红伞当人家面说我的独门武功就是这一招那一招，人家摆明了就可以针对干掉你。

而金山的云藏在暗处，干掉你根本不告诉你是用的哪一招，病毒作者自然头疼了。很简单的道理