我对360云响应机制的理解以及突破的吐槽............人工加长，置顶.............

rsin

前言：360区现在冷清多了，都说没有技术性文章的出现还有白加黑的缘故。我来谈一谈个人的理解，当然本人十足的小白，活跃下气氛就好~~~

首先是对360qvm查杀的理解，当然这里不是说qvm的查杀原理，因为以前很多大牛都讨论过了，也没什么好说的，今天想说一下qvm杀毒模型的不同。

1.本地QVM，7~8m的文件大小，里面包含了00~40各种杀毒模型。当然这些数字是有具体含义的，列如00是杀驱动 06 07是杀资源和信誉.........在联网状态下，本地引擎一般不起作用。

2.云QVM，云地联动，实时分析。虽然没有达到当初宣传的1s返回结果，但是也很快了，毕竟这么多人在用，云端的模型要大大丰富于本地模型，而且更新很快，记得是2h一次，

3.云鉴定中的qvm，这个是完全在云端，我觉得模型可能是一样的，但是因为连文件都在云端了，所以不用担心联网速度的问题，可以采取更多的文件特征点，进行更为详细的分析。

                    总结（QVM杀毒效果排名）：  云鉴定中的QVM ＞ 云QVM ＞ 本地QVM     (PS:完全云端的qvm很少被提到过)


但是，既然是机器自动鉴定，就算再厉害也不可能100%的木马识别率。所以360的zhudongfangyu.exe进程发挥了补漏的作用

个人见解，在木马病毒文件运行时，当然360会全程监控，当有行为触发云规则时，拦截！不过，当有木马通过各种方法突破云鉴定甚至云主防后，360当然会全程哑火。但是云行为记录，自动反馈，然后对突破主防样本进行相应，最典型的就是报文件为 Trojan generic 的时候。


好了，不写了，顺便吐槽一下。

话说白加黑流行了很长时间了，360的白加黑云响应机制3.0也出来快半年了，白加黑启动项自动降灰也出来一段时间了，具体效果不好说，但是的确白加黑样本变少了，这个的确是个大招，但是完全是云端操作，不知道很早就说过的大招什么时候才能出来，再不进步就要被木马赶超了！！
也不知道这段时间里面是不是360的官人都去忙白加黑了，对于其他漏洞的修补很是滞后，现在什么远控秒掉360云主防的很多，有无提示过的，还有拦截也强制过的，太多了。希望关注下，不要落后了。

个人上高一以来好久没来卡饭了，这是今年第一篇这么长的帖子，没技术，就是希望大家讨论讨论，不然论坛都要死了

rsin

有图为证，的确现在远控过360云鉴定的很多，过云主防也挺多（不是白加黑）

rsin

imetoo 发表于 2013-8-9 16:51
你是说MJ说谎了吗

没有，乃理解错了

CiInitialize

也不知道这段时间里面是不是360的官人都去忙白加黑了，对于其他漏洞的修补很是滞后

===

这个不会的，白加黑（单纯白加黑）早就没问题了，也只是当作一种问题来处理，其他有问题当然视严重程度不同会逐步修复，这周才刚修复一个被木马使用的跟白加黑无关的主防驱动拦截问题，还补了一个在地下流传的秘密攻击方法。

imetoo

rsin 发表于 2013-8-9 17:03
没有，乃理解错了

MJ说过远控 白加黑360都防吧

rsin

imetoo 发表于 2013-8-9 17:13
MJ说过远控 白加黑360都防吧

怎么可能呢，mj可没说过！而且完全不合常理啊，要是都能防，360就别要工程师了，就不要更新技术了

rsin

CiInitialize 发表于 2013-8-9 17:10
也不知道这段时间里面是不是360的官人都去忙白加黑了，对于其他漏洞的修补很是滞后

===

直接call你一个，好像360安全卫士9.2beta版对以前的无提示加启动漏洞做了策略更改吧，就是那个快捷方式启动的。又出现利用它的了，你看是不是

CiInitialize

rsin 发表于 2013-8-9 17:23
直接call你一个，好像360安全卫士9.2beta版对以前的无提示加启动漏洞做了策略更改吧，就是那个快捷方式启 ...

快捷方式启动，是什么。

能不能防拿样本测不就知道了。

feiren

CiInitialize 发表于 2013-8-9 17:10
也不知道这段时间里面是不是360的官人都去忙白加黑了，对于其他漏洞的修补很是滞后

===

这种修复，推送到什么版本？beta>正式版>国际版？国际版组件会更新吗？组件只会跟版本号替换，还是日常更新就替换？人在国外，用国内版杀毒更新基本失败，国际版倒正常，只能国际版了。

rsin

feiren 发表于 2013-8-9 17:26
这种修复，推送到什么版本？beta>正式版>国际版？国际版组件会更新吗？组件只会跟版本号替换，还是日常更 ...

应该是云端规则更新吧，要是漏洞涉及主防机制的话，得上本地更新了，具体的看策略吧，等mj