[科普]为什么360会报键盘记录

msi123456

做一个实验
1、下载官方原版迅雷7.9.6.4502安装
2、下载一个ResHacker（http://www.angusj.com/resourcehacker/reshack_cn_3.6.0.exe，有过汉化破解相关经验的应该知道这是一个资源修改器）
3、用ResHacker打开迅雷主程序Thunder.exe，修改文件版本为4500，并保存（如图）

4、开启迅雷下载一个文件试试，看360提示什么（如图）


这个实验很容易做，大家都可以试试，只修改了版本号，其他什么都没做，为什么会有这种情况，这需要从360的原理说起。
360用了一种很过激的方法来做安全软件，其他杀软都是黑名单+行为分析来杀毒，360则是用白名单+行为分析。就是说不在360白名单内的软件，都报风险。
这个机制好处是，木马完全没办法避过360了，因为只要360不认识的都认为危险（从这个角度讲360确实让木马越来越少了）。
坏处就是误报率非常高，比如刚才的实验，假设原版Thunder.exe的md5保存在白名单内，用reshacker修改版本后md5一定会发生变化，导致修改后的文件360不认识。360的行为分析又异常敏感，任何有可能被木马使用的方法，哪怕是正常程序使用都会被报风险。因此出现了前面的情况。

msi123456

此文是高手ayu分析

qftest

前排坐等官人解答

九尾野狐

因为迅雷有快捷键功能 需要监控键盘的按键情况

所以会有键盘记录的行为

在白名单内  默认放行  减少弹窗

你改了以后不在白名单内

自然就提示有键盘记录  

这个是正常的

怎么样了

360经过市场用户行为分析

极少极少有用户会修改修改版本后md5值   

360认为,   既然产品用户群定位在普通小白用户身上 ,  那么这种机制是可行的

E剑忠晴

支持一下

msi123456

看看不说话   认为自己是小白的继续用360吧  愿你一辈子做小白  

peter08

这样挺好的啊，大范围的病毒确实少多了。

哀酱俏佳人

应该报可疑，而不是报其他的

亡灵之月

有点像hips区的禁运党，所有的都是不安全的，除了偶认为安全的