关于QVM和KVM的一些思考，勿喷！

ForeverX

哈的189 发表于 2012-10-1 16:40
我一直在用，时不时开出来清理一下QQ垃圾。

现在还能用？

maoke2005191

CiInitialize 发表于 2012-9-30 23:38
都说了，KVM都是病毒分析师分析出来的，已知病毒的规律总结。对未知病毒（非免杀的，或者说对抗式免杀的 ...

求問難道SVM不是對已經病毒的規律總結，不過是算出來的而已吧，哈哈哈

maoke2005191

22667999 发表于 2012-10-1 00:12
kvm原来是有借鉴开源的代码。。。

libsvm只是一個庫，做研究的都常用的，沒有特殊用途用這個可以滿足需要節省時間

dyhua

尘梦幽然 发表于 2012-9-30 21:30
似乎检测精度还不够高

目前通过测试的爆发来看KVM貌似已经在大幅度应用
但应该还没加入监控 只是在扫描尚有体现
还有就是金山的自动上传未知文件的的系统无法查看 ，没办法判别 KVM是通过本机文件启发 还是 云端缓存
精确度方面还不够完善，不过主要都是在小工具方面上，我记得金山的一位官人好像有说过启发 貌似只能开到70%左右 再高的话会有误报

CiInitialize

maoke2005191 发表于 2012-10-1 18:36
求問難道SVM不是對已經病毒的規律總結，不過是算出來的而已吧，哈哈哈

就是因为自动算出来的，可以自动计算海量数据，而不用一个个都需要自己总结自己已经拿到已知的样本，可以不用人工总结，就自动推演所有已知的样本，所以说，传统启发的只能总结已经知道规律的，而人工智能的可以总结人工未知规律的样本。如果你要非说不是“未知”的区别，传统启发也是对未知，那其实启发本身就是做这种事的，非固定特征码，甚至自动特征码一样可以推演所谓“未知“

CiInitialize

maoke2005191 发表于 2012-10-1 18:39
libsvm只是一個庫，做研究的都常用的，沒有特殊用途用這個可以滿足需要節省時間

当然不是说不能用，用的多了，只是用什么东西可以看出做什么水平而已，当然最终水平还要靠具体效果

尘梦幽然

dyhua 发表于 2012-10-1 18:42
目前通过测试的爆发来看KVM貌似已经在大幅度应用
但应该还没加入监控 只是在扫描尚有体现
还有就是金山 ...

你可以把KVM离线模式打开，然后在联网扫前离线测，就可以避免云缓存的问题。
启发的话，目前全世界公认最好的是G-DATA，数字的QVM检测率虽接近70%但确实如金山官人所述误报超高。启发式就是这样，查杀高与误报低不可兼得。

dyhua

尘梦幽然 发表于 2012-10-1 18:53
你可以把KVM离线模式打开，然后在联网扫前离线测，就可以避免云缓存的问题。
启发的话，目前全世界公认最 ...

G  启发最好？？？

CiInitialize

尘梦幽然 发表于 2012-10-1 18:53
你可以把KVM离线模式打开，然后在联网扫前离线测，就可以避免云缓存的问题。
启发的话，目前全世界公认最 ...

误报超高？ 别没仔细测过就凭着想象乱说吧，QVM误报控制得很不错了，至少对国内样本如此

检出率用卡饭样本+本地QVM不完全的库得出的结论就没意思了，QVM检出率在国内海量样本集合上早超过90%了，秒杀国外杀软。

CiInitialize

dyhua 发表于 2012-10-1 18:42
目前通过测试的爆发来看KVM貌似已经在大幅度应用
但应该还没加入监控 只是在扫描尚有体现
还有就是金山 ...

KVM的本地启发基本都是传统启发，跟VM没关系，干掉SVM的部分再测检出率就知道现在的检出率完全是靠过去的传统启发规则在充数了。