McAfee VirusScan Enterprise 8.8十月测试 更至29日【侦测率48.98%】测试结束感谢支持

hansyu

storyhare 发表于 2011-10-13 11:11
恩，你说的那种情况，有一点类似动态启发：即，不真实运行，仅虚拟运行分析；分析结果，便是该文件“触犯 ...

本来月神的工作原理就是本地引擎检测文件是否可疑，可疑就访问云来进一步确认，如果不可疑就略过。

所以很大程度上依赖本地引擎的启发能力。

钢铁侠

原来月神是这样的啊，貌似和国内的360QVM 1s云鉴定有点相似。

嘁。不稀罕~

storyhare 发表于 2011-10-13 11:11
恩，你说的那种情况，有一点类似动态启发：即，不真实运行，仅虚拟运行分析；分析结果，便是该文件“触犯 ...

本地启发应该还是有的，在无法联网月神的情况下，提供相对低误报级别的启发。。。

钢铁侠 发表于 2011-10-13 13:33
原来月神是这样的啊，貌似和国内的360QVM 1s云鉴定有点相似。

QVM实现技术的主体是：白名单；也就是，QVM本身是一个具有大量误报的检测技术 ——技术本身，不怎么样；因为只要将检测的“检出率”调到最高（很简单就能实现，就好比一条很严格咖啡的规则），而后使用收集的白名单（对应规则中的排除）进行排除而已。  所以，QVM可以使用的前提就是——必须具有相当庞大的用户群，用以收集白名单。（这个想想360的用户数量....）

hansyu

storyhare 发表于 2011-10-13 14:55
QVM实现技术的主体是：白名单；也就是，QVM本身是一个具有大量误报的检测技术 ——技术本身，不怎么样；因 ...

虽然你说得有道理，不过我觉得现在的QVM本地只有10多M的模型文件就能在断网时获得较高的检测水平和较低的误报率，这说明这技术还是很有效的。
想想咖啡那100多M的病毒库。。

嘁。不稀罕~

今天更新的特征库，就修改了两个启发定义。。。
所以，断网后还是有基本的启发的。。。
和月神的联系不大。。。

hansyu 发表于 2011-10-13 15:30
虽然你说得有道理，不过我觉得现在的QVM本地只有10多M的模型文件就能在断网时获得较高的检测水平和较低的 ...

呃～～咖啡的规则，实现主体只有几个驱动文件；而规则本身，只是一个75KB的文件（默认规则），外加几百KB的注册表（自定义规则）；   也就是，技术本身以及所需要的数据库（包含白名单），所需要的文件，很小的；呃，纠正一下，咖啡的规则与杀毒组件（包含病毒库）是相当独立的，所以那个“100多M的病毒库”，木有参考对比价值；

至于，为什么『现在的QVM本地只有10多M的模型文件就能在断网时获得较高的检测水平和较低的误报率』；首先要说的是：QVM发布初期，误报率，是世界领先的.....；经过几年的发展，其误报率必然下降——而下降的主要途径，是白名单的“成熟”（技术本身的优化，当然也有）。   再说：断网，既然有『断网』这么一说，也就是——必然通过联网进行了某些数据的对比（如特征分析什么；但更有可能，也进行了更庞大的云端白名单的校正）    最后说：断网后，本地必然也有最常用到的少量白名单，用以对QVM的检测进行矫正。

呃～～以上，仅个人猜测；不含有任何可参照价值.......

m220011

gengxin~

m220011

更新

原帖55L有注释

tkh321

macfee 牛x在访问保护