请问高手360等杀软云查杀实现的机制

SOKA2012

十送鸿钧 发表于 2012-5-9 14:57
最早起步的时候，云查杀是简单的MD5+文件名，现在大致是特征码和云端启发了吧……主动防御……唔，就是云端 ...

我想只写论文。结果被老师破口大骂，骂傻了都。

SOKA2012

JuMin 发表于 2012-5-9 17:08
毕业设计可以做个山寨的云杀毒，哈哈

需要不少服务器。条件不允许。我能力也不够。我就一本科生

prawnliu

其实做个所谓的“山寨云”简单的要死
基本的TCP/IP协议了解吧？Socket通信学过吧？
够了～
所谓“云”无非就是客户端和网络端的一个即时互动。
难点在于用户量大了之后，如何高效准确的处理庞大到无法想象的海量数据。

怎样拉平带宽？用什么数据库？用怎样的架构？如何高速缓存？一旦服务器崩溃，有怎样的应急预案？
就拿360的云来说，4亿用户每天的系统防护，云端是如何承受的？而且你平时使用的时候并不会有拖慢网速或卡机的状况，那么云是如何实现这种高效准确的响应的？
这些才是高端的东西。

而如果只是做个山寨的云用于演示，那你面对的最多无非也就是几百个用户，这个数据处理量一台普通的PC就能胜任，数据库只要别用sqlite，其余随意选……（Access我不了解，不过MySQL之类的绝对有富余）
至于原理，真的不需要解释什么。最简单的MD5病毒库机制，你把所有已知病毒的MD5都存在云端数据库里。扫描的时候校验每个文件的MD5，然后与云端数据库通讯查找，发现对应的MD5就返回相应的病毒名。就这么简单。
如果你懂点反汇编的可以试着提个广谱特征神马的：指定偏移量处的指定范围内，出现制定十六进制字符串，满足条件则记为一个点。同时命中2～3个点即为命中特征，可以报毒。你可以把特征逻辑用自己制定的格式存在云端数据库里。（当然这主意可能有点馊……效率应该不高，只是说个大概意思）
至于启发特征神马的表述太复杂，更适合做在本地，不适合上云。
再有能力，给本地程序写个驱动，hook几个最基本的函数，然后监控下大体行为。就可以做个简易的主防了～对应的可以做云主防～～不过这些都是后话了

还是那句话，云不复杂，复杂的是一大片的云……所以山寨云很简单的～

JuMin

可以用多引擎在线扫描的来做MD5云+金山贝壳云，这样比较有效果
http://md5.virscan.org/5d04d875f415062f8babd49656ff7d3a

潘中医

虽然我什么也不懂，但是帮顶一下。

JuMin

SOKA2012 发表于 2012-5-9 22:35
需要不少服务器。条件不允许。我能力也不够。我就一本科生

用学会用现成的可利用的云，一样可以做

hwl573452046

prawnliu 发表于 2012-5-9 22:54
其实做个所谓的“山寨云”简单的要死
基本的TCP/IP协议了解吧？Socket通信学过吧？
够了～

支持下哈 说得切实

yunai2008

SOKA2012 发表于 2012-5-9 22:30
我也想忽悠，结果被老师骂傻了，他号称自己是安全领域元老。我简直伤不起啊

你哪个学校的，难道是北京邮电大学的，老师是方兵兴？？？

小紫英

楼主如果做毕设，建议做一个迷你的QVM

laushilin

自己安装感受一下吧，呵呵。