【KSC集中营】第一辑：KSC之Q&A

郑伟用户

第一辑：KSC之Q&A                 
----------------------------------------------------------------2012.02.13

       因为我们的无心之失，KSC要正式发布的消息不胫而走，而这也让我们意外感受到大家对毒霸新引擎的强烈兴趣。虽然KSC正式版科普文还不能发布，但有感于对KSC抱有热情和好奇的网友之多，KSC研发团队某核心成员特撰贴一篇，以解大家的“相思”之苦……

---------------------------以上均可无视，以下才是正文---------------------------

Q1.不需要文件也能保证系统安全吗？
       传统安全厂商认为，文件识别全了，系统也就安全了，当然这个命题是没有问题的，但是有一个不可避免也一直没有解决的问题就是——文件真的能识别全吗？
       答案是否定的，任何一家安全厂商，哪怕你有再全的文件库，再高的文件判别技术，也永远不可能有100%识别全文件的时候。
       虽然所有安全厂商，包括金山自己，都在努力提高文件的识别能力，但是对于安全而言真的只有“文件安全 = 系统安全”这一条铁律吗? 金山KSC研发团队坚信，只要多维度封死病毒入口，不需要文件也可以保证系统安全。
       而系统中各维度病毒入口已经被金山覆盖完全：
       入口点 —— 金山毒霸下载保护、金山网盾、金山U盘防御
       启动点 —— KSC云启发引擎 + 金山文件云引擎
       入侵点、出口点 —— 金山防黑墙

Q2.不需要文件的KSC和传统杀软的文件引擎相比有何优势？
       我们举一个例子。某病毒作者小李编写了一款盗号木马用于盗取用户的QQ号码，去互联网上传播木马之前，小李已经用杀毒软件扫描了该木马程序，并成功免杀（免杀：指病毒通过某些修改使杀毒软件无法识别出自己的方法）。小李的盗号木马三天内没有被杀毒软件捕获，这期间对于小李的木马而言是有实际盗号价值的。然而第四天，腾讯发布了一个QQ程序的升级，使得小李的木马即便运行了也无法盗取号码了，那么这样的木马病毒对于系统而言，就只能称作垃圾。OK，第五天，杀毒软件捕获了小李的木马。那么作为病毒作者的小李和中了小李盗号木马的用户分别是什么样的反应呢，我们来分析一下。

       用户：Oh yeah~ XXX杀毒软件发现病毒了！清除成功，唉，原来果然是有木马！难怪我号被盗了，这下杀掉了病毒，我的系统总算安全了！
     
       小李：杀毒软件赶紧把我的老病毒都杀光了吧！这样用户就以为安全而放松警惕了，我可以写最新的木马传播继续盗号了！

       我们已经知道，传统杀毒软件是根据文件的黑白，反过来推断系统某项是否安全。采集文件特征，加库，投入云引擎识别，循环往复，周期不可谓不长，响应不可谓不慢。
       而KSC呢？KSC是关联系统提供的各种机制，覆盖全部维度的启动点，凭借不断自我学习累积的系统特征经验，来反推这些点的安全与否。KSC与文件无关，但KSC却能瞬间秒杀最新病毒，随着使用人数的激增，她的秒杀精准度和响应效率将越来越高，就像一个三维智慧雪球越滚越大……
       KSC + 金山文件云引擎 + K+防御，会碰撞出怎样的奇迹？我们拭目以待。

Q3.KSC和文件引擎的检出数量谁高？
       毫无疑问，一定是文件引擎的检出个数多。但是，是不是多就一定更好呢？
       一个中了毒的系统，可能存在1000个病毒，但是这1000个病毒不会全部都可以利用启动点启动，因为1000个目标实在太多，太明显了。病毒的特性之一就是隐藏自己，而且病毒也没必要把自己都放到启动点，它只需要有那么几个或者仅仅1个能够启动，那么剩下的所有病毒就都会被他激活。形象的说，启动点中的病毒就是一个不易被发现的剩烟头，而整片黑暗森林就是那好多的病毒，只要剩烟头起作用了，整片森林就会顺势被引燃，从而使系统陷入危险之中。
       这也就是为什么我们强调要防患于未然。消灭了启动点中的“火种病毒”，整片森林的安全系数就能立即高了不只一个档次。正因为KSC是这样一个封杀系统多维度启动点的高效灭活引擎，所以KSC的检出率必然将不如文件引擎。这是由KSC的设计原理所决定的。

Q4.为什么KSC可以更快？
       传统的文件引擎，每天面对的未知文件是海量的，这其中的白文件（无威胁文件）占了约90%，当文件引擎每天面对这么多文件，处理能力就算再强，也会消耗很多时间。而且这其中有很多文件是损坏的，加密的，自动鉴定程序无法自动判定的……
       再看KSC：
       第一、KSC专注系统启动点（绝非系统启动项），这就使引擎处理的信息狂降了几个数量级，这就大大提高了服务器的处理速度。
       第二、KSC针对的是系统全局高危之所系，只需要将启动点完全灭活，其余的病毒不过就是一堆垃圾文件，毫无作用。所以，KSC有快、准、狠之奇效。
       第三、KSC不需要采取文件特征甚至是上传整个文件，所以减少了云地数据交换，减少了I/O和CPU的工作压力。
       值得注意的是，KSC对系统启动点灭活同时，还同步予以系统修复。这解决了以往文件云引擎杀掉了某系统文件而导致系统各种问题频出的问题。例如开机找不到XX项目、无法加载，或者毒杀了，系统桌面没了等等这类问题。KSC = 灭活启动点 + 恢复默认启动点设置。

Q5.为什么KSC报毒，但是文件云引擎不报？
       因为KSC和传统文件引擎是两个完全不同的概念，自然文件云引擎就不一定会报毒。再次重申，KSC基于系统而非文件，文件内容已不再那么重要。另外，现在的界面展现方式是，如果后台文件云引擎和KSC都报毒，则显示文件云引擎；因此，大家在界面上看到的标有KSC云启发的威胁项，如果用右键扫描或者云鉴定测试的话，是肯定不报毒的，这点请大家务必注意（关于KSC界面展现策略请详见Q6）。
       KSC团队认为，一个病毒文件，如果不具备主动启动的特征，那么这个病毒=垃圾！
       然而，是不是安全的文件就一定不具备危害性呢？答案是否定的。近年来，随着互联网攻防的不断发展，正常文件被病毒利用已经不再是什么新鲜事，其实很多热爱攻防的朋友可以发现，金山毒霸有一类病毒名字叫做3rdLoader . xbt，这就是金山毒霸的第三方loader特征库在查杀中发挥的效应。
       举个例子，某互联网厂商的 A.exe程序，在启动时会加载一个同目录下的update.dll 文件来更新程序，但是往往只是查找同目录下文件名为update.dll的程序。这时如果没有做严格的校验，病毒又恰好替换了update.dll文件，则当运行A.exe时，病毒就被加载起来了。这也就是为什么安全的文件A.exe也不安全的原因。
       所以，基于系统维度的KSC，当启动点存在威胁时，就会立刻报毒；但是文件云引擎则可能不报。这也就很大程度上杜绝了好人被坏人“利用”的危险。

Q6.为什么部分启动点病毒，文件云引擎能报，但是KSC不报？       
       这还是由当前界面展现策略决定的。事实上，就后台而言，只要是启动点存在病毒，则KSC都会检测，KSC本身就是专注于系统各维度启动点的灭活引擎，其在启动点这块的病毒识别能力远高于文件云引擎。然而，当前界面展现策略是，如果文件云引擎和KSC都报毒，为了不重复展现使用户迷茫，现阶段优先展现文件云引擎，因此这会出现部分启动点病毒文件云引擎能报毒但是KSC不报的假象。这个界面展现策略要到后期才能调整，会改为：只要是KSC报的威胁，则都显示KSC云启发。

QN.欢迎大家前来提问，我们会尽自己所知来回答！



       最后，真诚感谢大家对KSC长久以来的热情和支持，KSC团队一定会尽力、尽快地为大家奉上这样一件精心准备很久了的礼物，欢迎各种支持、诘问、质疑和批评！借此还要感谢一下网友sxyuqiao为KSC画的插图，毒霸内部都很喜欢，谢谢你 : )

转自爱毒霸论坛bbs.duba.net                     http://bbs.duba.net/thread-22640107-1-1.html

安仔

集中营 。。。

goodliukun

无心之失。。。明显是故意泄露。

wanglei7865

不看广告看疗效，不过还是很期待

seehere

支持一下，加油专注技术，越来越给力

22667999

期待中~

剑步如飞

等效果。。。

sfzjn

我咋觉得其实就是主防呢？启动点其实就是程序运行的一些行为吧，拦截病毒行为就相当于灭活了。。。

z2009

期待尝试

maikeyin2010

期待