驳“ 对国内杀软的技术分析”

jefffire

kakenhi 发表于 2013-7-19 22:11
。。。大哥，您都说了还有金山的云安全，基于模糊哈希算法。前面那个SHA256，也只是用来确诊呀。。。

模糊哈希和哈希没有本质区别，ssdeep算法知道吧？
难道数字的MD5不是用来确诊的？MD5能自主分析？ 晕了吧。。。。

31997

shulun743 发表于 2013-7-19 22:05
出售的是32位的，CPU也是32的，程序也是以32开发的，因为系统是32的多！
1、我讨论的是引用云自动放行，没 ...

好多XP是32的，不过微软已经咔嚓了，你懂的~因为32为支持的内存不大，现在的新电脑大多是64的。你说的云自动放行的原理不对，MD5不影响放行，打个比方，可以简单的把云主防看成是设置了规则的HIPS，你把文件改一个MD5，是不会影响HIPS拦截或者放行的。驱动对抗我们的观点不一样罢了，事物都有两面性，是利多弊少还是弊多利少，留给反病毒公司思考吧，比如金山和大蜘蛛……

jefffire

kakenhi 发表于 2013-7-19 22:11
。。。大哥，您都说了还有金山的云安全，基于模糊哈希算法。前面那个SHA256，也只是用来确诊呀。。。
...

改一个字符就得多一条特征，这没错。不过，一条字符串特征的免杀难度又有多少呢？  反之，计算一个哈希值的时间和资源消耗，和提取一条字符串特征的时间和资源消耗又是多少呢？ 云查杀不是要解决一切问题，是要解决在对抗中，安全厂商总是反应速度大大滞后的问题。你不能按照万能药的标准来看。

gxrsprite

shulun743 发表于 2013-7-19 22:05
出售的是32位的，CPU也是32的，程序也是以32开发的，因为系统是32的多！
1、我讨论的是引用云自动放行，没 ...

你还能买到32位的CPU，真是不容易，为了玩游戏系统也大多64位的了，而且是主要趋势，做不好64位系统的安全防护就说明开发能力不足，没啥好辩解的

z13667152750

清茗微漾 发表于 2013-7-19 22:02
改名字就可以过掉数字和金山，这种事常有发生，这怎么解释啊？
我是看这2个帖子看的云里雾里的。

和SVM算法使用的特征有关

SVM是统计学算法，但是同样需要选取特征，文件名同样可以作为特征的一部分，尤其是在“社工”横行的今天

rsin

js228922190 发表于 2013-7-19 21:41
无特征码云，那他的云查杀引擎就是md5啊，你看他的引擎，云查杀引擎和qvm引擎是分开的。

是的，但是360的云qvm和qvm不是一样的。云qvm是在云引擎中的

rsin

绿茵守望者 发表于 2013-7-19 21:17
QVM没有毒库，不可能拦截所有已知病毒，QVM只是对云的补充而已，如果你觉得云端能拦截QVM就一定能拦截那就 ...

同意

31997

z13667152750 发表于 2013-7-19 22:47
和SVM算法使用的特征有关

SVM是统计学算法，但是同样需要选取特征，文件名同样可以作为特征的一部分 ...

这个和社工没什么关系，360在老早以前（还没QVM，主防也没有的时候）判断病毒对文件名是有些关系的，现在SVM算法的维度是很多的，单改个文件名是不会有什么影响的。

31997

清茗微漾 发表于 2013-7-19 22:02
改名字就可以过掉数字和金山，这种事常有发生，这怎么解释啊？
我是看这2个帖子看的云里雾里的。

看58楼

rsin

js228922190 发表于 2013-7-19 20:58
同一个病毒，仅仅是md5不同，造成了前后报毒方式不同。难道这不是md5查杀？
即使是特征码查杀，修改md5应 ...

补充一点，他那个报毒名称的变化，是表示，那个是由第二十号qvm鉴定出来的。云qvm原理。运行（或下载）文件时本地提取必要文件文件信息，上传云端完整版qvm分析。返回结果，本地做出拦截or放行