谈谈你们对360 QVM 的理解

rsin

360官人对qvm实现原理保密，大家不妨来说说自己所理解的360的qvm的理解
以下谈谈我对qvm的理解：
                观点1. 让我受启发的是李白的这个帖子：http://bbs.kafan.cn/forum.php?mod=viewthread&tid=1133667。貌似当时只有云qvm可以查杀。当时我就怀疑了，云qvm又不知道密码怎么提取特征的？？然后想想貌似免杀的时候云qvm很喜欢杀输入表。。。遂怀疑qvm是否是虚拟运行的。然后是借助360的hips行为库，进行统计样本有多少木马的行为然后得出结论的？而且这样也能解决64位系统杀软不能有效防御的问题（这个你们可以试试，64位的系统突破360防御比32位轻松多了。不过我是没能力了），
                观点2.应该是多者结合，既有行为统计又有版本描述，甚至行为和版本描述对比等等                 
                                                                                                                                                                by-------------菜鸟rsin

下面是论坛很多人问的360的一些问题，我拷贝来了，需要的可以看下：

               一扫：360平时会从用户那儿对未知样本进行上传，然后在云端鉴定，如果是病毒就加入黑的md5库，一扫就是与黑的md5库对比。看是否在其md5库中，是则报毒，若是未知文件则继续前面说的上传鉴定的流程，同时又包含云qvm（在下面再说）

               二扫 ：进过一扫上传样本后，等段时间（360已经对未知文件完成鉴定，同时入库）再次进行扫描，这时会补充鉴定为病毒的文件的查杀，所以查杀会比一扫高些.
               断网 ：是bd引擎特征码查杀（基本无用）+本地qvm

               本地QVM：是360对病毒样本基于统计学的引擎（360官方是这么说的），举个列子：360对很多病毒统计发现90%的木马都会将自身剪切到windows目录下，那么qvm就会以此为杀毒依据之一，对病毒进行计算。看看他是病毒的可能性（若超过xx%报毒）

               云qvm：通过本地qvm可以发现qvm属于统计类的引擎，那么自然参与统计的样本越多，结果越准确。云端有个超级电脑（上面的统计很全，2h左右更新一次），当用户扫描样本时，360会自动提取样本的一些数值发送到那儿，在他那里进行复杂快速的运算（1s-2s之内）返回计算结果，进行查杀。

ps：以上有点个人猜想（因为官人不能透露太多），但基本因该是对的

leisong

有一点是肯定的，QVM是静态分析，所以速度很快。
和一般的静态启发有所不同，可以算特殊的静态启发，所以基本没有合适的选项

飘落的泪

对QVM 不太熟悉~

rsin

重大消息：zdold选了第二个

MagicFuzzX

静态启发+数学模型吧

sevenday

用用matlab你就知道了

ericsaf

qvm应该就多了对云库黑白文件特征提取吧

丶鍇児、

类似于ESET的高启发！不过客观的说 在想法上更先进（eset已经跟上）就是加入了云的支持  有个云的高启发！！！你懂得。。

lll714775117

丶鍇児、 发表于 2012-1-6 22:10
类似于ESET的高启发！不过客观的说 在想法上更先进（eset已经跟上）就是加入了云的支持  有个云的高启发！！ ...

QVM不需要云

-oAo-

老实说我搞不太清楚qvm和启发的区别