关于“球鉴定，是国产杀软问题还是样本问题“鉴定结果

lasette

铁血爷们 发表于 2011-11-20 13:55
360的QVM启发式引擎与高启发一样都是不需要病毒特征库的引擎，主要是用来查杀特征码还未入库的未知病毒。
...

金山就是一个。。。。是吧？

hdy0775

只用360。其它不好评论。。。

铁血爷们

lasette 发表于 2011-11-20 14:39
金山就是一个。。。。是吧？

金山好像就是单独的一个常规特征码杀毒引擎。
上网查资料金山好像带有一个常规启发（静态启发），但真实性值得怀疑。
启发式杀毒引擎分为静态启发和动态启发，是用来查杀未知病毒的引擎，静态启发是需要特征码的启发引擎，以病毒为例，病毒被入库后常规特征码杀毒引擎就可以杀，但如果病毒出现变种，则还需再做一份特征码入库，静态启发说白了就是可以对照着以前的病毒特征码去查杀这种病毒的变种，但如果是一种全新的病毒，库中没有特征码，那么这种引擎也就不起作用了。
动态启发是一种完全不需要病毒库的启发引擎，用以查杀全新的病毒，动态启发（高启发）是在虚拟环境下进行的扫描，有个缺点是会拖扫描速度，静态启发在实体环境下进行，不拖扫描速度，而杀毒软件都是大多数杀毒软件都是常规特征码杀毒引擎+静态启发+动态启发，所以在AV-C评测中才让没有启发的金山毒霸占据了“扫描速率世界第一"的位置。

但问题是金山毒霸现在即使有静态启发，在断网后仍旧是个没用的空壳软件，他把主要病毒库都放在了云端，本地只有一个极度缩水的病毒库，形同虚设，所以金山在联网时能杀出毒来，断网后就什么也扫不出来。

lasette

铁血爷们 发表于 2011-11-20 20:05
金山好像就是单独的一个常规特征码杀毒引擎。
上网查资料金山好像带有一个常规启发（静态启发），但真实 ...

金山毒霸的启发仍旧是老一套？全看入库速度？我了了个去。

【乱】

铁血爷们 发表于 2011-11-20 20:05
金山好像就是单独的一个常规特征码杀毒引擎。
上网查资料金山好像带有一个常规启发（静态启发），但真实 ...

样本本身应该就有问题
可以看看这个：http://bbs.kafan.cn/thread-1132768-1-1.html
样本白文件其实都是压缩包 然后压缩包里才有样本

那人拿卫士去测 而卫士不查压缩包
而这楼也说了 如果不改.EXE360杀毒就不报 ；估计是改成EXE后触发QVM
所以原理就错了 毕竟那些文件都是白色压缩包
经过360卫士QVM也都是安全 所以不知道是否入库问题；金山毒霸现在也是全杀

铁血爷们

lasette 发表于 2011-11-20 20:08
金山毒霸的启发仍旧是老一套？全看入库速度？我了了个去。

1989年4月冰岛推出的F-PROT v1.0是首个应用了静态启发技术的杀毒软件。
很老了

铁血爷们

【乱】 发表于 2011-11-20 20:10
样本本身应该就有问题
可以看看这个：http://bbs.kafan.cn/thread-1132768-1-1.html
样本白文件其实都是 ...

高启发、QVM、还有所谓的“行为查杀”都是可以被骗过！
     现在的任何一种杀毒引擎，在扫描过程中只能对文件进行“一个一个”的扫描，没办法做到模拟多个程序同时运行时的状况，“桌面雪花”病毒就是个例子，这个病毒分为两部分，一个是叫time.ini的配置文件，另一个是叫桌面雪花.exe的应用程序文件，这两个文件独处时都不具备病毒的任何特征及行为，但如果放在一起运行则可变成病毒，就如同在一个人面前摆上一堆炸药让他看，当然能看出不是好东西，但如果放一袋硝酸铵和一袋锯末，那么这个人则只会认为是一袋化肥和一袋锯末，殊不知这两种东西炒到一起也能变成军用级炸药。
那个“行为查杀”所宣传的“被病毒欺骗的可能性几乎没有”这句话根本站不住脚，而造成这种局面的原因是因为病毒制作者越来越狡猾了。
     而对付这样的病毒，还是必须依赖常规病毒特征库杀毒引擎，通过将桌面雪花.exe入库，再进行查杀，只要一个程序没了，time.ini也就没用了，所以有种病毒特征库杀毒引擎将要被行为杀毒淘汰的说法也是无稽之谈，启发本来就是对特征库杀毒的一种辅助。

【乱】

铁血爷们 发表于 2011-11-20 21:28
高启发、QVM、还有所谓的“行为查杀”都是可以被骗过！
     现在的任何一种杀毒引擎，在扫描过程中只能 ...

应该我听说QVM只查杀能启动的文件 这我觉的和金山差不多
金山对于未知文件会自动云鉴定 静态和动态鉴定然后转人工
然后样本是白文件无法启动的所以云鉴定放行 我估计原理和QVM差不多

有些人把评测样本搞成这样根本没实战性可言

钟馗见鬼

【乱】 发表于 2011-11-20 21:54
应该我听说QVM只查杀能启动的文件 这我觉的和金山差不多
金山对于未知文件会自动云鉴定 静态和动态鉴定然 ...

金山的那一套与QVM原理差不多？？？

铁血爷们

【乱】 发表于 2011-11-20 21:54
应该我听说QVM只查杀能启动的文件 这我觉的和金山差不多
金山对于未知文件会自动云鉴定 静态和动态鉴定然 ...

网上找了个文章
---------------------------------------------------------
QVM智能引擎反思！

   360推出QVM智能引擎后，一石激起千层浪，赞赏者有之，质疑者有之。今天我就来谈谈我对这个智能引擎的一些不成熟看法。  
    为了识别病毒，反病毒手段在不断改进，从最初的简单特征码，到复合特征码、广谱特征码，到虚拟启发，到行为判定，经历了不少阶段（具体可参见此文：http://bbs.kafan.cn/thread-866036-1-1.html）。今天让我们跳出这些个条条框框的思维限制，让我们从根本上来思考一下，这样一个问题：区分病毒文件和正常文件，究竟靠的是什么？？
      我反复思考，得出一个自认为正确的答案：difference，也就是差异、不同。 只有靠发现病毒文件和正常文件的difference，才能识别出病毒文件。这一点是我讨论的理论基础。纵观特征码，启发，还是行为，实质上都是在找出差异：病毒文件和正常文件行为上的差异，文件代码上的差异。所谓特征码，其实就是病毒和正常文件的差异特征代码罢了。
     找到了问题的本质，解决问题的方法也就千变万化了。
     于是，有人就想到，既然是找出差异，那能不能利用搜索引擎广泛使用的一些智能算法来完成目标呢？搜索引擎需要完成的任务和我们的反病毒任务有很多相似之处：1、都是海量文件的分析  2、都是去寻找特定特征的目标。设想就这样确立了。
   
     我为了使介绍更通俗易懂，先介绍一个广泛运用于拦截垃圾邮件的智能算法——贝叶斯算法。贝叶斯是基于概率的一种算法。是Thomas Bayes：一位伟大的数学大师所创建的，贝叶斯过滤器是基于自我学习的智能技术，能够使自己适应垃圾邮件制造者的新把戏。
   我就不讲述复杂的算法步骤，我就举一个实际例子，让大家知道，贝叶斯算法是如何去区分垃圾邮件和正常邮件的。

       例：一封含有 “ 法轮功 ” 字样的垃圾邮件 A 和一封含有 “ 法律 ” 字样的非垃圾邮件 B 。 根据邮件 A 生成 哈希表（坏），该表中的记录为
   
    　　法： 1 次
          轮： 1 次
    　　功： 1 次
    　　计算得在本表中：
    　　法出现的概率为 0.3
    　　轮出现的概率为 0.3
    　　功出现的概率为 0.3
    　　根据邮件B生成哈希表（好），该表中的记录为：
    　　法： 1 次
    　　律： 1 次
    　　计算得在本表中：
    　　法出现的概率为 0.5
    　　律出现的概率为 0.5
    　　综合考虑两个哈希表，共有四个 字符串：法 轮 功 律
    　　当邮件中出现“法”时，该邮件为垃圾邮件的概率为：
    　　P = 0.3/ （ 0.3 + 0.5 ） = 0.375
    　　出现“轮”时，该邮件为垃圾邮件的概率为：
    　　P = 0.3/ （ 0.3 + 0 ） = 1
    　　出现“功”时，该邮件为垃圾邮件的概率为：
    　　P = 0.3/ （ 0.3 + 0 ） = 1
    　　出现“律”时，该邮件为垃圾邮件的概率为：
    　　P = 0/ （ 0 + 0.5 ） = 0
    　　由此可得第三个哈希表 hashtable_probability （也就是数据库文件），其数据为：
    　　法： 0.375
    　　轮： 1
    　　功： 1
    　　律： 0
    　　当新到一封含有“功律”的邮件时，我们可得到两个字符串：功 律
    　　查询哈希表 hashtable_probability 可得：
    　　P （垃圾邮件 | 功） = 1
    　　P （垃圾邮件 | 律） = 0
    　　此时该邮件为垃圾邮件的可能性为：
    　　P= （ 0*1 ） /[0*1+ （ 1-0 ） * （ 1-1 ） ] = 0
    　　由此可推出该邮件为非垃圾邮件。

   从这个例子我们可以看出，贝叶斯算法是先通过对垃圾邮件和正常邮件的“学习”，得出模型数据（即上例中的哈希表 hashtable_probability），然后利用模型数据，去区分新的垃圾邮件。显而易见，学习的越多，模型数据越大，则最终的鉴别结果也就越准确。
    而QVM使用的也是类似的技术，即利用一套智能算法（当然并不是上例中的贝叶斯算法，而是一种独创的算法）学习海量的病毒文件以及正常文件，得出数据模型（也就是分发到客户端的MDF文件），最后利用模型数据区分新的病毒。为什么说QVM是智能引擎？？并不是说QVM，具有人类的智能和情感，而是指这套算法是可以不断归纳总结新的数据模型，不断适应新的病毒变化。
    因此千万不要被名字中的VM迷惑，以为是Virtual Machine.  实质这个VM是support vector machine的缩写。其具体理论细节可以参见Vapnik著作的机器学习经典《Statistical Learning Theory》
   从上述可以看出，这类技术有明显的优点：
    1、只要算法得当，完全可以自我学习，减少的人力成本。
    2、对病毒的变形，加密，加壳，具有良好的效果
    3、病毒编写者完全不知道你的算法是如何去区分病毒的，定位特征也就无从谈起了也可以看出，明显的缺点：
    1、对算法，数学功底要求高，如果算法不行，效果大打折扣
     2、对和正常文件特征较近的流氓软件，不易区分。
    3、要求具备海量的病毒和白文件库，以供算法学习。若数量过少，则效果大打折扣