驳“ 对国内杀软的技术分析”

jefffire

漫步殇 发表于 2013-7-19 21:56
http://v.youku.com/v_show/id_XNTg0Njc1OTQ4.html
这个视频说明国内杀毒脱壳能力还是不足。我是来打酱油的 ...

现在已经没人做脱壳了，老掉牙的理念。 你的防御装备也是报壳著称。

清茗微漾

改名字就可以过掉数字和金山，这种事常有发生，这怎么解释啊？
我是看这2个帖子看的云里雾里的。

漫步殇

jefffire 发表于 2013-7-19 21:58
现在已经没人做脱壳了，老掉牙的理念。 你的防御装备也是报壳著称。

额 也倒是，数字主防已经给力起来了，红伞还是注重查杀，理念不一样吧。现在加了个诺顿双监控，还好没怎么掐架

kakenhi

jefffire 发表于 2013-7-19 21:55
抗拒变形，说白了就是原文内容不同，计算结果不变。这样的结果就是白文件也可能得出病毒的结果。然后， ...

。。。。一个作者改动后的马，跟一个白文件，区别还是很大的，当然可能误报，但多少依然取决于算法。
目前在云病毒检测领域，用MD5检测的，不知有哪家，还请指教。再纵观某软件，只要没签名的，连HelloWord都可能误报，也恰好应了您的说法啊 :P

31997

kakenhi 发表于 2013-7-19 21:51
MD5本来就是哈希算法，是为了预防巧合和碰撞而产生的，将文件做一点改动，最后的结果变化很大，因此用MD5对 ...

MD5的变化不影响QVM统计判断

kakenhi

31997 发表于 2013-7-19 22:04
MD5的变化不影响QVM统计判断

所以QVM不是用的MD5吧。。。我就是这个意思。

shulun743

31997 发表于 2013-7-19 21:43
现在出售的电脑好像一般都是64位的吧，内存现在几乎都是4G以上的。单单修改MD5是不可能的，只要触犯规则 ...

出售的是32位的，CPU也是32的，程序也是以32开发的，因为系统是32的多！
1、我讨论的是引用云自动放行，没有讨论过云查杀，就不要再说了吧？离题了！
2、AD防御有点薄弱，别较真，见仁见智的事
3、驱动对抗无意义，我自己的观点，只是为了说明自保强度一样的！别离题了吧？

jefffire

kakenhi 发表于 2013-7-19 22:03
。。。。一个作者改动后的马，跟一个白文件，区别还是很大的，当然可能误报，但多少依然取决于算法。
目 ...

在用诺顿，诺顿的下载分析保护基于SHA256哈希算法。金山的云安全，基于模糊哈希算法。卡巴斯基的KSN也是基于哈希算法，虽然具体是什么没分析过。
只要“可能”误报就必须走误报控制流程，除非像哈希算法这样碰撞可能性可以忽略不计的。只要走这个流程就快不起来，还谈什么云安全。

31997

清茗微漾 发表于 2013-7-19 22:02
改名字就可以过掉数字和金山，这种事常有发生，这怎么解释啊？
我是看这2个帖子看的云里雾里的。

很早很早以前的确有这事，360在刚开发出来好像报毒就是和文件名有关，不过现在早已今非昔比了。

kakenhi

jefffire 发表于 2013-7-19 22:07
在用诺顿，诺顿的下载分析保护基于SHA256哈希算法。金山的云安全，基于模糊哈希算法。
只要“可能”误报 ...

。。。大哥，您都说了还有金山的云安全，基于模糊哈希算法。前面那个SHA256，也只是用来确诊呀。。。
个人感觉，光HASH真的不靠谱。病毒作者添一个字符，就得多一条特征，前后添加1万个字符，不又得多出一万个特征？