驳“ 对国内杀软的技术分析”

js228922190

对于第四点，修改MD5前后报毒名称是不一样的。
修改前有明确的病毒名，修改后则是qvm启发的结果。
这不恰恰说明了360的云查杀是根据md5来的吗？
假如一个新出现的病毒已经被360拉黑，但是qvm和主防还不能有效发现该病毒，那你改md5不就过了云咯？

31997

js228922190 发表于 2013-7-19 17:29
对于第四点，修改MD5前后报毒名称是不一样的。
修改前有明确的病毒名，修改后则是qvm启发的结果。
...

既然能被拉黑，就算是改变了MD5，QVM肯定能发现。这是由QVM的统计原理决定的，不信多改几个样本的MD5双击试试。并且QVM会根据总体病毒的变化趋势每两个小时更新一次。而且主防不是那么容易就能突破的。MD5不是云查杀判断的标准，QVM的启发才是。

vm001

31997 发表于 2013-7-19 17:46
既然能被拉黑，就算是改变了MD5，QVM肯定能发现。这是由QVM的统计原理决定的，不信多改几个样本的MD5双击 ...

恰巧说反

31997

vm001 发表于 2013-7-19 17:54
恰巧说反

呵呵，对于未知文件

狼牙_

怎么赶脚整篇文章是在给360打广告滴捏？

E剑忠晴

支持一下
很不错

猪头无双

我是过来学习的，最近看不到LZ这样用心的文字了。支持LZ的反驳

vm001

31997 发表于 2013-7-19 17:57
呵呵，对于未知文件

这样说啊，大部分云杀软（带主防的），在样本执行的时候会同步云查询文件状态（黑 --白---灰--未知）
黑白的就不用说了，灰的自然是拦截到可疑操作挂起进程等待用户确认操作，未知的所谓未知这里指无状态的一种是查询超时引起，这种情况是云端有文件但是未鉴定，是以一种灰文件状态存在与云端，无状态这个各厂商处理方式有所不一，这个就和你浏览网页时遇到的页面404现象一样，不可能无状态就无限挂起进程和拦截.....另一种是云端没有文件。那么这里就说没文件的，对于这种情况，一般云杀软是拦截以后或者通过下载保护的时候就会上传云端做快速鉴定，这个鉴定都是如此的，比如金山的火眼，kvm扫描，360的qvm鉴定等等...然后提取特征发布全网，打个比喻金山的下载保护----火眼或者鉴定器---水银系统出特征---发布，360的貌似是下载保护或者主防-----云鉴定----出特征---客户端拦截（具体这2家怎么回事咱不太清楚，请允许臆想下，呵呵）而文中说的后台多引擎扫描是每个厂商都有的，他们会架设无数台扫描器（就是各杀软引擎），很多所谓的云扫描就是这个，这里有个不叫好处的好处，比如一个无危险行为的样本，很多杀软都报了，你不报，用户会说你烂，查不出威胁，那么参考这个也只能入库报，另外的好处是也可以省去一些不必要的人工参与，数亿计样本在鉴定器鉴定不出结果的时候不可能去人工各个过滤，那样工作量太大....
还有一点可能，如果人工处理，一个样本只要一扔QVM他就是出黑的，那么这个其实还没有提取qvm特征，这时候修改md5是可以过掉扫描的，但是这个md5怎么改才不报是个问题，扔到qvm黑以后，qvm再去训练，最后出qvm特征，这时候再免杀可就难了.....kvm也只具有类似qvm那样的学习算法，也可以说是一些规则..他们里面同时不光是这些，有一些规则的设定就是一个恶意程序在免杀后会生成多少组程序，那么这些程序一样是黑特征，所以才出现很多这个现象----本来不报，只要云入库以后，你使用一般的工具免杀不了的现象.....

就说这么多了，其他的逐渐观察吧，不过我说的不一定对啊

vipok

学习了，都是高人！