驳“ 对国内杀软的技术分析”

31997

首先申明，本帖仅限讨论，禁止口水！
版规镇楼：http://bbs.kafan.cn/thread-1589967-1-1.html

对于shulun743发表的“ 对国内杀软的技术分析”不正确的观点予以反驳，其中引用的文字来自shulun743的“ 对国内杀软的技术分析”一文中的原话。
1.

至于金山、腾讯和360模式雷同都是云信誉加单步，就以360为代表吧，称为模式1！

信誉云是国外的模式，360和金山的云并不是单纯的信誉云，而是有分析能力的查杀云

2.

如何实现这些控制呢？杀软就是靠驱动挂钩ssdt实现的！
ssdt挂钩代表：大多数杀软都是使用此类挂钩，并少量挂钩inline，只有三个例外！
例外一，微点！不知作何感想，全部inline HOOK相关函数，微点可有的蓝了！360是通过挂钩HookKiFastCallEntry调用实现挂钩的，同理还有金山！其他的包括瑞星、卡巴等都没有采重这种方式！

全是ssdt? 64位呢？

3.

文件类防御主要是控制文件的创建、访问、删除和修改四中权限！注册表的操作和文件控制一样！程序的控制比较多有：结束进程、结束线程挂起进程，挂起线程！加载驱动，加载服务！调试权限，替换进程令牌，启动子程序，远程注入，读取其它进程内存等等
360只有一个单步，并且是配合云的单步，并且360的单步严重不全，主要是程序控制这块，只有进程运行防御和驱动加载防御这两项！

你自己说的文件类防御主要是控制文件的创建、访问、删除和修改四种权限，难道你双击可执行文件是不会出现进程的?进程防御就是控制可执行文件的创建、访问、删除和修改权限，至于驱动防御就不多说了，360是有完整的AD的

4.

360的工作原理就是对进程查询安全信息，是否有数字签名或md5是安全的。若是的话，就自动放行，不再弹出拦截窗口！反之，程序既没有签名，并且未查询到MD5安全信息？就拦截询问！

做一个测试，我们来验证一下这句话到底是否正确。
测试环境：VirtualBox windows8 X64 样本来源：http://bbs.kafan.cn/thread-1600739-1-1.html（该样本可能导致计算机感染，请谨慎下载）此病毒已入库，MD5你们自己改吧，我修改的就不再往样本区发了
修改MD5前双击样本：
修改MD5后双击样本：



看来云主防没有这么简单，修改MD5不可能逃过云主防的。

5.

360没有行为分析引擎，只有连接云自动放行的单步，并利用云端适时云鉴定判断程序安全性，来提升单步云的易用性，来弥补没有行为引擎的弊端！在这里360号称是云端行为分析，实际上不不是行为分析引擎，就是个云鉴定，判断是不是病毒的人工智能！

360从来都没有提到过云端行为分析，云鉴定判断程序安全性是由qvm完成的。

6.

金山和360不同的是，有火眼！

普通用户可以看懂火眼的分析结果吗？

7.

用户群大，在理论上来说劫获病毒多，病毒收集快，但分析速度就慢了！

病毒收集快，不代表分析就会慢，云端服务器不等于普通的电脑，服务器的运算能力很强，企业级服务器最起码是采用4个以上CPU的对称处理器结构，有的高达几十个，大企业级服务器，一般都是几十台或甚至上百台一起工作的。比如你打网游，慢，卡的现象一般都是你自己的电脑和网络的不流畅造成的。劫获病毒数目几乎是不会影响到分析速度的。再说因为qvm是统计性质的引擎，不会一步一步的分析行为，所以速度不会慢。

8.

有很多很多的纯启发引擎啊，大家都逛论坛，发现查杀率是多少了吗？没有高于70的吧？？？不是打击你们，能达到50就不错了！！！

JS貌似没有低于70%过

9.

非百即灰这就是360的策略！进行云查杀时，查询MD5，若有未知的MD5，就判定为有风险的文件，就这样病毒样本被上传了！这时过去了10秒，样本从客户端被传走了！接着qvm不一定就能确定是病毒吧？

前面说了，MD5不是360判断病毒的标准，修改MD5不会影响360的判断。并且云qvm分析所需要的不是整个文件，而是从文件中提取的部分信息，上传的文件很小，几乎是秒传。不知你有没有学过统计学，qvm运用了svm算法，判断病毒的精度取决于统计维度和参数，具体的你可以看http://bbs.kafan.cn/thread-1473279-1-1.html，而这些计算方法用笔算，非常麻烦，但是计算机却可以很快的搞定，这就是360鉴定样本只需一两秒的原因。

10.

何为云鉴定？说白了就是集合重家之长，扫描器就是卡巴，江民，金山的扫描器集合。启发扫描器由nod32、瑞星启发、大蜘蛛等等构成！行为分析就有卡巴、诺顿等引擎构成，至于云引擎则就有金山、腾讯等引擎构成！当然厂商开发多少个云鉴定器？鉴定器有哪些杀软引擎，都有厂商自己的打算，在这里只是举例说明罢了！这些就是所谓的云鉴定，由扫描，启发云查杀等鉴定器综合打分，判断是否是病毒？为了控制误报，厂商开发此类鉴定系统时，进行了严格限制，宁愿漏杀一千，不可误杀一个！因此很多文件被转人工了！金山的90秒云鉴定不就是这样的那？？？这就是云鉴定！！！

云鉴定不是集合众家之长，擅自使用其他反病毒公司的引擎是违法的，360的鉴定方式上面已经提到了，而鉴定打分是信誉云的模式，像http://www.virscan.org/这样的网站只能算是上传了以后再扫描，它的引擎是经过众反病毒厂商的许可才使用的

11.

人工就不说了！若一切顺利啊，病毒啊刚出生，就被截获了，然后分析又确认了，够快吧，假设出生到确认就用了2分钟，时间不多吧？不过分吧？？？

说过了，qvm是不需要人工干预的，整个判断过程只需一两秒

12.

你认为误报测试3分钟能做完？？？那可是几百甚至上千上万G的白文件！！！

qvm使用统计算法，能区分出黑白，不需要单另的误报测试，少量的误报样本用户反馈后会加白。

13.

若扫描过程中发现病毒，那这个报毒文件，会被人工分析原因！！！白文件被报毒可不是闹着玩的！！！最后解决问题，哎别急，我们还要升级病毒库还有云库！！！

扫描由计算机自己完成，不会有人工参与

14.

金山的云鉴定和360一样，甚至比360还要先进，毕竟金山起跑的早！

人比剑齿虎跑的快是因为人进化的时间长，可能吗？原因、结果都错了。原理太一样，不要相提并论。

15.

因为在内核中同级对抗是没有意义的！！！

杀软的自保弱，在开机时病毒先添加启动项，但恶意行为被杀软拦截，重启后，病毒干掉杀软照样运行，这叫没有意义？

大金鱼先生

支持下。确实那篇文章有疏漏之处需要商榷

Lintel-TR

楼主已修改，他人提醒，为避免口水，编辑

maomao110

国内区第一次看到驳斥文

31997

Lintel-TR 发表于 2013-7-19 16:21
第四点，感觉只是简单没过QVM而已，还说明不了什么“云主防有严格规则”的吧……

只是驳斥一下，qvm是参与云主防的~

怎么样了

楼主是做了功课的

huicuan

这是哪家的大牛啊又来了

Robinhua

这个，学习，不说话。

小非爱睡觉

学习大牛！

九尾野狐

别较真

不然会掉入烂泥潭拔不出来的