实测360的扫描的文件后缀名问题

275751198

本测试是为了证明360有个坑爹的bug，是真真实实存在的，

使用的是5月11号精睿包，注意今天已经12号了。本次测试全程断网，断网，断网。

首先解压出来后，文件后缀名是vir，360安全卫士扫描报2个


修改全部文件后缀为EXE


扫描结果依然是2个，而且是同2个


那么把那个EXE拿出来，改成TXT，改成无后缀。结果是依旧报


也就是说360在对可执行文件扫描的时候，不论他是什么后缀都能识别出来。这样也就解释了最近精睿包测试不改后缀一扫结果为个位数，那个就是精睿包中可执行文件样本里  360一扫的识别量。根据最近几次来看精睿包里光doc样本数量就超过一半了，还有不少的脚本。
根据后缀名检测5月11号精睿包里EXE文件总量为10个。

昨天我的测试帖有云的情况下一扫报5个二扫报7个的成绩一般般吧

接下来，接下来，进入下一话题

许多童鞋认为，之所以改了后缀之后检出数增加，是因为二扫的云拉黑。
现在继续测试，还是11号的包，断网测试，断网测试，断网测试
修改后缀名为doc


报27个，其中有两个是1号和44号，根据上面的测试EXE是无论什么格式都能检出的。其余25个均为word文档文件



总结
   360后缀名不对扫描就不报的问题是确确实实存在的，这不是借口和幻想，也不是云拉黑，这是个大bug。本次断网下的测试充分印证。
该问题针对可执行文件以外的其他文件。可执行文件（EXE，dll）不论什么后缀？有没有后缀都照样识别。
但除此之外的其他文件就low逼了，后缀名不对就不报。包括压缩包，包括文档，包括脚本，（我在长期的测试里还发现vbs文件改成js也不报）

个人的分析：压缩包文件扫描可能需要调动特别的机制，平时全盘扫描的时候360卫士总是把压缩包扫描任务放在最后。而其他的文件扫描，个人认为是针对不同的病毒文件类型，360建立不同的病毒库（包括云端和本地）。默认情况下查询的是可执行文件病毒库，发现其他文件的时候查询相对应类型的病毒库。比如安卓文件，宏病毒，文档的漏洞攻击，flash的漏洞攻击等

个人分析的不一定对啊，不过后缀名的问题是非常让人闹心的，非常降低用户的信心，一测试结果就个位数谁受得了。还有那么多国外杀毒软件都能自动识别文件类型，还有EAV的，每次我都是看着别人的查杀日志去对应改文件后缀名，太让我伤心了，能不能改进不知道啊

pkuyzy

为实测精神点个赞。。。。感谢解答疑问

Q_Wxin

@360技术支持

十送鸿钧

……客服ID是哪个来着
@360客服 ？

zmyx279323199

@360技术支持

360技术支持

您好，您的建议已经收录，感谢您对360的支持。
考虑到效率和实际情况，360会将符合特定后缀的文件丢给本地QEX引擎扫描。
实际用户环境样本运行是需要有特定后缀的，这样可以减少文件IO，提高系统整体性能。
辛苦您做了此次测试，也十分感谢您将反馈提交给我们，我们一直在改进，力求在保证安全性的同时不断给用户带来更好的体验。大家的支持是我们前进的动力，希望以后能够保持沟通，360的成长离不开大家的支持！

沧桑浪子

太麻烦，把所有的.vir文件用压缩包打包就行了，然后直接扫描压缩包，当然，压缩包无密码！

275751198

360技术支持 发表于 2016-5-13 10:08
您好，您的建议已经收录，感谢您对360的支持。
考虑到效率和实际情况，360会将符合特定后缀的文件丢给本地 ...

把vbs改名为js就不报了，又是什么机制？360的扫描和病毒库是按文件类型设置的吗？
有没有可能存在时间差？又有没有可能存在这样一种情况：改了后缀名的文件也可以运行，比如电脑上有一个既能运行vbs又能运行js的软件，把vbs改成js之后，360不报了，但是仍有可能运行起来