云鉴定到底用什么鉴定，

猥琐帝

应该是提取文件特征码上传！

a574387038

猥琐帝 发表于 2012-5-29 15:39
应该是提取文件特征码上传！

就是 哈希值呗，，

但是哈希值只能判断是哪个文件，它也不包括这个文件是否有病毒木马什么的 啊

zjf954

一直不明白金山云对于未知的怎么鉴定的。他那个分块哈希上传就能分析原文件的行为了？还是由云端系统在云端捕获呢？

lishaoyu007

1、从NNNN多客户端计算机收集文件特征、行为，发送到服务端（云端）
2、在服务端记录不同文件的特征、行为及黑白名单（见4）

3、通过对客户端欲鉴定的程序、文件等等的收集（收集这些文件的行为、特征等）发送到服务端（云）
4、服务端根据收集结果，将收集到的文件行为、特征等和服务端已存的文件行为、特征进行比对（黑白名单）或存取的文件安全判定标准（引擎）进行比对。以判定文件的安全性，并更新黑白名单。
5、讲鉴定结果返回客户端。

我想应该是这样的鉴定法吧。。。至少大多数应该都是这样。

简单点说就是
客户端拦截——MD5 HASH云端发送查询请求———是否在云端数据库（黑白名单）
若在云端数据库则直接返回鉴定结果
若不在则经过云端预设的文件鉴定标准（引擎）进行安全鉴定并返回鉴定结果

至于说人工鉴定一类的。。。充其量是云端引擎仍旧鉴定不出来的再转人工，或者直接丢个鉴定结果——未知
要说是大部分甚至十分之一上传云端的文件都经过“人工”。。。你信不信我不知道。。。反正我。。。。

a574387038

http://www.ijinshan.com/intro/intro10.shtml


这是金山的云的隐私声明。。。从隐私声明中可以发现。似乎发现未知程序就会上传。

mengld

a574387038 发表于 2012-5-29 18:26
http://www.ijinshan.com/intro/intro10.shtml

用哈希值之类的方法与云端的病毒库对比，如果是白名单中的就是安全，与病毒库特征相符就报毒，模棱两可的报未知。这是网盾常用的方法。
后来在此基础上发展出了云鉴定，就是按照提取文件中的一些部位，上传后进行鉴定。至于按照什么方法提取，金山说的是微特征法（模糊哈希）。360是 QVM模糊向量鉴定
因此不需要上传整个文件，只要上传一段就可以了

xiao8566

以前就上传过我一个500兆的文件，卡死老子网速了