再次看到有人纠结云鉴定 再次科普 官人自觉进

zhq445078388

zdolo 发表于 2011-8-5 16:26
一般不是那么容易，入白比较谨慎，很多需要人工分析的，当然不可避免也有分析错误，比例很小而已

这个。。。

zhq445078388

zdolo 发表于 2011-8-5 16:28
这个原理大概知道些，还有些这方面样本。刚才讨论的东西和md5本身精度无关

没有 只是刚有人看到帖子 突然给我发的
然后我觉得好玩就发上来了

seehere

zhq445078388 发表于 2011-8-5 16:09
发现一个很恶意的小东西

貌似可以批量生产md5重码

记得以前有贴讨论过。
产生相同MD5几率就比较小，要让某个恶意文件的MD5与某白文件MD5相同几乎是不可能的。仅理论上是存在的。

zhq445078388

zdolo 发表于 2011-8-5 16:20
3x,我看看

目前的鉴定模式我知道的是这样
1、跟本地启发接近的查倒入表的方式
2、利用云端的强大力量做虚拟主防分析
3、基于高速链接的病毒库同步 本身没有鉴定能力 只是下发病毒库
4、与常规病毒库扫文件相反的文件扫病毒库
5、分点hash 黑名单hash对照加权
6、汇编虚拟机逆向启发
7、基于大量样本的无壳模式的特征提取加权
8、基于多杀毒软件的扫描云（类似vt vs在线多引擎）
9、利用云端强大资源做虚拟机脱壳后进行常规扫描
10、类似与zmpi的分点特征 当无特征时转入其他启发等引擎
不管是那种 我知道最后若无法鉴定则转如人工

zdolo

zhq445078388 发表于 2011-8-5 16:41
目前的鉴定模式我知道的是这样
1、跟本地启发接近的查倒入表的方式
2、利用云端的强大力量做虚拟主防分 ...

--------------------------------------------------------------
不管是那种 我知道最后若无法鉴定则转如人工
--------------------------------------------------------------
绝大多数上传样本，不会查出问题，也不会转人工，只不过提出了云鉴定模式后，通过鉴定器接口上传的样本在无法决定时转人工，这也是这个模式巧妙的地方，让人感觉我有人工鉴定，准确率能得到保证，其实，现实中的样本，无法确定，基本就放到灰名单里了。云鉴定起到的作用是：你要觉得这个文件对你重要，我就给你走遍流程。也可以这么理解，云鉴定模式起到了帮厂家区分重要和不重要样本的作用，这是我的理解。这个模式和技术没关系，而是一套筛选样本的流程。

zhq445078388

zdolo 发表于 2011-8-5 16:53
--------------------------------------------------------------
不管是那种 我知道最后若无法鉴定则转 ...

意思就是说走的流程和看到的根本就是两回事呗

zdolo

zhq445078388 发表于 2011-8-5 17:10
意思就是说走的流程和看到的根本就是两回事呗

我只是说明了这种东西的内在本质而已

zhq445078388

zdolo 发表于 2011-8-5 17:34
我只是说明了这种东西的内在本质而已

看到360也终于出云鉴定器了
不知道流程。。能说明下吗

或者只是个qvm的单人秀?。
鉴定的检出率跟云扫描有太大分别吗？。。

jefffire

zhq445078388 发表于 2011-8-14 21:22
看到360也终于出云鉴定器了
不知道流程。。能说明下吗

现在感觉是云端不能查出病毒的，统统转人工。我感觉人工压力很大。

zhq445078388

jefffire 发表于 2011-8-14 21:24
现在感觉是云端不能查出病毒的，统统转人工。我感觉人工压力很大。

走下主防 不就行了

在云端 丢个成品虚拟机总简单吧。。
或者沙盘？。。
现在mj的能力写个类似k+的主防很简单把

规则加权就行了啊（依据已经有的策略 触碰策略则按威胁加权）
虽然跟微点的差很远 但是比金山要强不少的吧