金山之行学习贴系列一：“未知病毒无法查杀”的真实概念

azazkjkj

其实所谓启发、行为分析、智能HIPS，就是高级点的特征检测。

CBT-BILL

支持一个

tokthoo

。。。其实。。。。从以前就停人家说过了：启发，不可能单单只是一个启发引擎就能完成启发工作的。
并且没人说过启发不需靠特征。
它一定是基于某些已有的特征，再去启发所谓的“未知”病毒。光看字面的意思“启发”：qǐ fā
①开导指点，使产生联想并有所领悟

启发的意思，本来就是你要告诉他一点点想法（特征），他才能靠这些一点点思想，去启发出新的思想。
经由他启发出来的想法，还没被他想过，对他来说那就是“未知想法”（未知病毒）。
而并非什么都没告诉他，要他自己想出一个新的思想，就算想出来了，这也不叫启发了

我觉得“未知病毒”实际上指的是：该杀毒厂商尚未确实入库的病毒。
以一个例子来说说：
1）QVM基于启发，检测出了某某疑是病毒，但是360云中并没有这个病毒。
那么对360云来说，这就是个未知病毒。总之结果就是无需额外进行云鉴定，就把它杀掉了。
过后360云把某病毒入库了，那么以后再扫的时候，报的就是已知病毒。

如果把以上的各个引擎分别看成不同的杀毒厂商的话，就变成如下：
2）A杀毒厂商基于一些已知的特征，查出了这个他本身还没确实入库的“未知病毒”
    B没启发（或启发很弱），只能把文件对照黑白灰名单。如果不在名单（没确实入库），它就没法子了。
根据360的上半年安全报告宣称，现在每秒有26个木马“诞生”，也不管这是全新的病毒，或者是半新半旧的病毒。
http://bbs.360.cn/3229787/250681758.html?recommend=1

99秒鉴定一个还没入库的病毒之时，又已经有2574只新木马诞生了。

K_Ghost!

tokthoo 发表于 2011-7-28 01:24
。。。其实。。。。从以前就停人家说过了：启发，不可能单单只是一个启发引擎就能完成启发工作的。
并且没 ...

95%的文件30秒左右完成鉴定 你说的那个数字接近每秒鉴定出的病毒数量

lzw555

学习了，没坚持看完。。

flyinbed

车了半天看似很有道理，其实还是没怎么看明白，举个最简单的例子，为什么熊猫烧香只要升级一次有些杀软就不能查杀了？

lasette

看来目前地球上的知识写出来的病毒都是已知病毒了。各种犯罪行为肯定已经被记录在案。那怎么样才算是未知病毒啊？写出来的病毒没有犯罪行为，那已经不是病毒的范畴了。一个罪犯即不偷又不抢又不杀人放火只要是法律里面说的全部不干，这样的才是未知的。我杀这样的东西干嘛？我怎么会惹到这样的东西？这东西是用来做什么的？
“假如出现了一个真正的未知病毒，不匹配这个庞大的统计库里面的任何条件，QVM还能查杀么？”这句话能不能理解为：一个未知的罪犯，不匹配当前地球上的任何犯罪行为或流氓行为或者玩笑行为或得利行为以及特征，所以没有办法抓到他。那这个罪犯还是罪犯吗？他做的事情根本就没得罪地球上的任何人。或者是地球任何手段都无法对付得了，就算你拿个原子弹去炸他都毫发无损。这样才算是未知罪犯。引用上面的话不是针对QVM而是指的全部安软。  犯罪行为我估计只有变身厉鬼的罪犯，但是他不吃人不出来吓唬人，就站那角落一个人发呆，一群特警冲上去抓他，其实这厉鬼也是冤枉的啊，他不是什么也没做吗？
连comodo的疯狂模式、全局限制都能搞定的病毒，写得出来就是科研成果了，直接给军方征用电子战去灭了小日本最好。comodo在这个领域全世界第一。看了那么多总结出一句话搞定：没有一款杀软能杀掉全部杀软都杀不死的病毒，没有一个警察能抓到全部警察都抓不到的罪犯。跟全能的上帝能否造出一快他自己无法举起的石头是一个道理。
这是我的一点困惑，请官人解答。

不知道这是剑

过来支持真相帝了

chongzifei

小白支持一下山山，只用山山什么也不说，免得口水

CloudWhisper

lasette 发表于 2011-7-28 04:33
看来目前地球上的知识写出来的病毒都是已知病毒了。各种犯罪行为肯定已经被记录在案。那怎么样才算是未知病 ...

回答正确，这个世界上确实根本没有、也没有一个警察会去抓获一个“未知罪犯”。你的疑问本身已经验证了这个世界不可能存在未知罪犯这个事实