关于QVM和KVM的一些思考，勿喷！

sam__天涯

希尔27 发表于 2012-9-30 22:20
作为数学专业学生，无奈表示不知高深理论和实际应用怎样结合。。。
但实际感觉来看，从查杀率角度貌似kvm高 ...

提高查杀率是最容易的，只要提升启发敏感度，难的是提高查杀广度，查杀率的同时还有低误报率。金山现在是以默认高启发带来的查杀率和必然的高误报率。

sam__天涯

CiInitialize 发表于 2012-9-30 23:31
不是什么虚拟机启发，就是最原始的启发，比如 KVM有一个分类叫KVM.OneSection.xxx，这个玩意大概就是说PE ...

你觉得默认高敏感启发提升查杀率能给用户带来好处么？尤其是在断网情况下？

22667999

tjh0429 发表于 2012-9-30 21:23
现在kvm的查杀不是很光彩么？

既然kvm查杀那么光彩
为什么悟空不默认开启这个引擎？
而是要用户去里面设置中慢慢找？在那么隐蔽的地方。而且后面kvm还标明了： 开启kvm会带来误报。
为什么金山这么做  很明显，是因为kvm误报太严重了。
所以默认不开启这个引擎。

说白了就是 这个kvm是为了部分人的测试断网查杀率用 根本不是给大众使用的。
是为了不让一些用户说 毒霸断网查杀很差的无奈之举 让大家觉得毒霸在断网模式下的查杀也不差的。
而qvm可是已经默认在360杀毒中默认开启的，而且参与断网下的查杀，还包括监控以及云主防的防御。
qvm的误报控制已经很好了，不然哪个公司敢把误报严重的引擎给4亿人使用？那不得电脑天天弹窗报病毒？

CiInitialize

sam__天涯 发表于 2012-9-30 23:34
你觉得默认高敏感启发提升查杀率能给用户带来好处么？尤其是在断网情况下？

都说了，KVM都是病毒分析师分析出来的，已知病毒的规律总结。对未知病毒（非免杀的，或者说对抗式免杀的）完全不具备检出能力，这种引擎再提高敏感度也没什么用，只是提升误报而已，断网下没了白名单更惨了。

CiInitialize

22667999 发表于 2012-9-30 23:37
既然kvm查杀那么光彩
为什么悟空不默认开启这个引擎？
而是要用户去里面设置中慢慢找？在那么隐蔽的地 ...

不开启的原因一是误报比较高（主要是不成熟的初级人工智能技术）， 二来我推测也有可能是因为里面有现在云端也在用的启发规则，一旦木马作者发现了（木马作者一般只关心小白用户会开启的默认引擎），一免杀，整个金山查杀就泡汤了，所以不敢开启？当然也不排除金山豁出去了都开启了，反正明年泡汤了再开个追悼会就完事了可以号称金山再次穿越生死线了

jefffire

CiInitialize 发表于 2012-9-30 23:26
在金山的文件里搜"svmlib"字符串就能看到了，具体的代码和网上开源的svmlib代码一对比就知道了，开源的 ...

有机会看看.
传统启发规则也未必垃圾 各有各的用处.

CiInitialize

jefffire 发表于 2012-9-30 23:42
有机会看看.
传统启发规则也未必垃圾 各有各的用处.

没说垃圾，对小样本广度上还是有效果的，比如卡饭的有限样本来源

只是说他跟人工智能不是一个级别的东西，故意整个名词来忽悠人而已。

tjh0429

22667999 发表于 2012-9-30 23:37
既然kvm查杀那么光彩
为什么悟空不默认开启这个引擎？
而是要用户去里面设置中慢慢找？在那么隐蔽的地 ...

你不用那么激动，其实我是反讽而已。。我懂得。因为某些人因为最近kvm成绩光彩已经忘乎所以了。

jefffire

sam__天涯 发表于 2012-9-30 23:27
传统启发的意思是指虚拟机启发么？

虚拟机启发 不可能有这个查杀效率.虚拟机查一个PE文件 需要几百到几万毫秒 . "传统启发"你可以认为是广谱特征码的一种

22667999

CiInitialize 发表于 2012-9-30 23:41
不开启的原因一是误报比较高（主要是不成熟的初级人工智能技术）， 二可能是因为里面有现在云端也在用的 ...

这个可以预见的。
默认不开启 这个真的是对自己引擎没有信心了。


我记得360杀毒2.0的时候推出的是4引擎。增加了主动防御引擎和qvm引擎
当时2.0版的360杀毒是默认开启qvm引擎的。
刚公测的最新版就把qvm引擎直接默认开启放出来让用户下载使用

对待自主研发的新引擎 ，2家完全不同的两种态度