查看: 9577|回复: 69
收起左侧

[讨论] 如何看待知乎用户“油面筋塞肉”的回答

  [复制链接]
大漠X孤烟
发表于 2018-10-14 19:12:17 | 显示全部楼层 |阅读模式
本帖最后由 大漠X孤烟 于 2018-10-14 21:23 编辑

回答一:
Q:360在安全领域的真实实力是怎么样的?
A:
作者:油面筋塞肉
链接:https://www.zhihu.com/question/28980204/answer/78937483
来源:知乎
著作权归作者所有,转载请联系作者获得授权。

360是一开始就以主防为主要思路再加一些辅助功能,做到6.0时还不咋地,然后收了不少高手,比如狙剑的作者,兵刃的作者pjf。。。 这些网上都有资料,mj0011也是镇得住他们的人,你也可以找到,接下去几个版本的迭代直到9.0时已经非常厉害了。
主防是360一开始就搞到现在的核心,大家都是研究rootkit的,主防就是一种rootkit也是anti rootkit,需要优秀的逆向技术,熟悉操作系统内核,32bit时大家的方法都还是下钩子时,360就直接挂钩了入口entry函数,直接hook掉所有相挂钩的函数,hook的函数数量飞涨,因为能利用的太多了,即便hook了,正确而严密的处理也很重要,发展到64bit后不让挂钩就用虚拟化做底层拦截了, 云主防的规则更新,主防的智能化,可以监控程序的一举一动从木马进入到发作的一系列动作都记录在案。
说这么一个逻辑:以前也见过占有量比较大的杀软,但是都被打成筛子了,什么瑞星,卡巴,卡巴当年网上直接找个壳都有过卡巴功能,直接把卡巴干掉,nod32的启发免杀难点,但也被专门针对nod32的花指令搞过,自保不行,什么红伞,avast,bd都没比nod32难。占有率高的时候要不被打成筛子还是很说明起耐抗程度的,毕竟能做到的真没见过几个,所以我基本不看那些只搞企业版的杀软了,简直就是大众市场被虐惨了干不下去了躲到企业版去。
mj0011搞一个卡巴的漏洞提交半年没修复,搞comodo的漏洞也不知道后来修复没。。。
360的沙箱还没听说被破过。
照mj0011来说360是宇宙第一,他那脾气被骂的也不少了,但是底气还是有的。
在别人面前我就把自己当小白用360,在编程届会稍微说说纠正下认识,和认识的铁哥们会说  “如果一个人说大话喷360的安全技术说他流氓,那么他其实就是半瓶子水的小白。”
我个人觉得360所有所在的领域如果和别的国内公司比,都是业界良心。
-------------
其他补充:
云也是比较早期就开始的产品,云查杀主要靠md5,也就是主要用于快速响应入库病毒。360有全世界最大的云库。
qvm 靠喂食病毒来增强识别,对加壳病毒直接带壳识别,当然也得靠大量的样本来丰富识别能力。一开始只有云版本,后来加了本地qvm引擎到卫士和杀毒里。
360整体误报方面,其实360的误报真的挺仁慈的,除了早期qvm出问题的时候乱报,正常的时候误报率绝对比mse低的多,毕竟不少修改器,包括我自己写得修改器工具类,mse倒在哪里乱报,360没报。
oem 红伞和bd,在引入他们的时候360已经能够独当一面了,而且oem来的引擎不带启发,对于做免杀的人来说实在是炮灰,主要用途就仅仅是断网的时候了。
抗免杀能力看一下免杀论坛就知道了,只能过金山瑞星啥的基本都是免费的,过360的能卖个好价钱,当然也不一定真能过最新版就敢拿出来卖,可见抢手程度。 而主防和qvm又是360五引擎中最难免杀的。
主防 云 qvm,每样拉出来都得有独当一面的能力,而主防和qvm更承担了抗免杀的重责,这样才能在用户量达到如此巨大后,不会被打成筛子。
---------------------------------------------------
PwnFest大赛这种真正体现硬实力的大赛360可以取得傲人的成绩,恭喜。同时我想说,杀毒软件的评测没啥技术含量的,是好是坏参考价值都很少,而这种黑客大赛真的是实力。
-----------------------------------------------------
再增加一条,这么多大规模爆发的病毒,360没有一次是不能防御的,事实证明,每一次工业级最最最最可恶的病毒,360都是可以防御的


Q:卡巴斯基在安全领域的真实实力是怎么样的?
A:
作者:油面筋塞肉
链接:https://www.zhihu.com/question/29190481/answer/138886466
来源:知乎
著作权归作者所有,转载请联系作者获得授权。

当年要是有病毒过360的话提交一天内可查杀,通过防御漏洞过360的话一个礼拜可以修复,通过windows漏洞的话三天可以出热补丁。
卡巴斯基一个漏洞半年不修复,提交病毒一个礼拜加黑。
当年卡巴在中国市场占有率高的时候被虐的可惨了,你觉得中国病毒环境好么?现在360的占有率比当年卡巴高多了,但是居然不仅没被虐,做木马的反倒开始做低级别的敲诈者病毒来坑不装杀软的人了。
所以我要说,一知半解比小白更可怕,自以为裸奔可以的人,反倒容易中敲诈者这种毫无技术含量的病毒,小白装个360反倒保障了安全。
一定要论技术实力的话可以看每年的Pwn2own大赛,IE,windows,找的漏洞都是最高级别的,最震惊的是VM家的虚拟机逃逸是以前闻所未闻的,觉得是不可能的事情,这些都是红黑秀技术的硬实力。
-----
最近有个双面间谍病毒,专搞杀软,卡巴不是一样被劫持,360早就防住了

<p>当年要是有病毒过360的话提交一天内可查杀,通过防御漏洞过360的话一个礼拜可以修复,通过windows漏洞的话三天可以出热补丁。</p><p>卡巴斯基一个漏洞半年不修复,提交病毒一个礼拜加黑。</p><p>当年卡巴在中国市场占有率高的时候被虐的可惨了,你觉得中国病毒环境好么?现在360的占有率比当年卡巴高多了,但是居然不仅没被虐,做木马的反倒开始做低级别的敲诈者病毒来坑不装杀软的人了。</p><p>所以我要说,一知半解比小白更可怕,自以为裸奔可以的人,反倒容易中敲诈者这种毫无技术含量的病毒,小白装个360反倒保障了安全。</p><p>一定要论技术实力的话可以看每年的Pwn2own大赛,IE,windows,找的漏洞都是最高级别的,最震惊的是VM家的虚拟机逃逸是以前闻所未闻的,觉得是不可能的事情,这些都是红黑秀技术的硬实力。</p><p>-----</p><p>最近有个双面间谍病毒,专搞杀软,卡巴不是一样被劫持,360早就防住了</p>当年要是有病毒过360的话提交一天内可查杀,通过防御漏洞过360的话一个礼拜可以修复,通过windows漏洞的话三天可以出热补丁。卡巴斯基一个漏洞半年不修复,提交病毒一个礼拜加黑。当年卡巴在中国市场占有率高的时候被虐的可惨了,你觉得中国病毒环境好么?…显示全部


修改一下,顺便再贴两张图和一个网址。。。




我承认在现在国内几家总的来看360的技术应该是领先的



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Jerry.Lin
发表于 2018-10-14 19:20:42 | 显示全部楼层
360技术的确是领先的,但是通过贬低其他安全友商来突出360是多么强悍,可见这人的回答也是过于片面性和主观性,不靠谱。

回答中有几个可以吐槽的点,留给大家了
天使的愤怒
发表于 2018-10-14 19:34:33 | 显示全部楼层
以前我总是要喷360,但现在觉得360还是挺好的,一般使用足够了
a445441
发表于 2018-10-14 19:40:29 | 显示全部楼层
这个一看就知道某些人群写的
静影沉璧
发表于 2018-10-14 19:47:08 | 显示全部楼层
预计楼主这个帖子又会火的,盖个两百楼没问题。


zmyx279323199
头像被屏蔽
发表于 2018-10-14 21:01:26 来自手机 | 显示全部楼层
知乎不行了,滥竽充数的占多数
ELOHIM
发表于 2018-10-14 21:25:10 | 显示全部楼层
本帖最后由 ELOHIM 于 2018-10-14 21:45 编辑

我感觉楼主这个贴子比四大名著之一的《水浒》好看的多。
楼主贴子里面出现最多的字眼儿是“当年”,可见当年的360和卡巴是多么的吸睛。
不过不防说一下现在的、今天的卡巴和360,谁更优秀一点。
既然在对比,不防说的更深刻一点。
360大牛很多,腾讯也有很多大牛,还有七个实验室,但是再看看管家这个产品怎么样呢?

不要忘了,防御永远是滞后的。
那个油面筋这样吹嘘360,不知道360连夜放出刺客追杀他没……
话说,真正是什么原因导致360被那么多测试机构踢出局?

2015年度360粉丝守塔之战
——————————————————————————————————————
作者:匿名用户
链接:https://www.zhihu.com/question/28980204/answer/43382025
来源:知乎

我与360的接触是从傅盛、徐鸣在360刚刚开始做卫士的时候开始的,后来由合作伙伴转为既有合作又有对立的“兄弟厂商”(尽管还是竞争的时候多一些)。
客观评价360的实力,要从多个维度来看。
按照传统分类,我们从终端安全、网络安全两个角度来看。
360从终端安全“白手”起家,查杀“3721”等流氓插件,给系统打补丁,嵌入安天的AVL引擎查杀木马,引入免费的卡巴斯基,免费的bitdefender、小红伞,进一步推出自己的QVM启发式引擎,将win7以后的新安全机制引入XP制造出XP遁甲,为微软不断的提交漏洞。一步步走来,360从一个小作坊到100亿美元的巨型企业,其终端安全能力一直是竞争力的基石,这种能力的成长过程也是由奇虎公司的资本以及相关的利益集团的资本驱动的。
“怎么能够让我们的插件不被卸载?”这是老周他们在初期面临的技术问题。这个时候他们连最基本的安全能力都完全不具备。但随着竞争的激烈,就像今天的各种“全家桶”相互对抗一样,各家的技术不断的升级,新技术不断的引入。这些积累构成了360安全卫士查杀流氓插件的基础,在那个时期,360在安全大佬的眼中不过是“小赤佬”。但360的主动防御等技术却是自此开始起步。
“卸载流氓插件叫好不叫座,没有用户粘性”面对自己的黑历史,无论老周怎么开炮也很难取得用户的信任。但为用户打了补丁,特别是在XP系统自身补丁机制体验极差的情况,给了360第一个粘住用户的功能,解决怎么打的快,为什么有的补丁打不上,等等问题的过程中,360形成了另一轮技术积累。
“免费杀毒”,早起360自己是没有杀毒能力的,卫士里面嵌入了一个查杀木马的模块,用的是全文散列,至今全文散列仍然是360杀毒的主要特征之一。当然,傅盛、徐鸣很早就知道这种粗糙的方法不是长久之计,要想学习、积累必须要选择适合的合作对象。在机缘巧合之下,360卫士嵌入了安天的AVL反病毒引擎。作为一个有野心的公司,每一次OEM都意味着一次学习的机会,各种逆向之后,尽管还没有吃透杀毒引擎到底是怎样的才算好,但用户规模已经不允许360止步不前了。市场攻坚的需要也好,技术引入的需要也罢,360引入的卡巴斯基引擎,宣布杀毒免费。安天和卡巴斯基还是有微妙的关系的,安天的创始人江海客早年间极力推崇卡巴斯基的反病毒体系,所以产品设计自然一脉相承,360从安天切换到卡巴也是相当顺利。而后来的利益纠葛导致选择bitdefender作为新伙伴以及小红伞的引入,对360杀毒的查杀体系都没有特别大的影响。几年间的各种逆向成果,坚定了360自己不搞传统杀毒引擎的决心。拼运维能力的云引擎,拼计算能力的启发引擎,选择两条与传统引擎互补的路,既能够体现自己的技术特点也能够避开传统引擎的技术壁垒。
而围绕着上面三个历史,360形成了自己的终端安全技术核心:“主动防御”、“漏洞与补丁”、“病毒木马查杀”。
如今的所谓很多大牛,在当年也都是弱鸡。MJ就一个典型的例子。但作为看着他们成长起来的人,要承认他们的成长,要认可他们如今的能力。
讲了那么多历史,那么360这三个方面的能力到底怎么样?我认为360三个方面任何一方面都不是顶尖,但均属于行业前列。
先看“主动防御”,MJ是一个沿着野路子成长起来的人,实力虽然强,但是终归是“简单、粗暴、行之有效”的风格。所以至今360仍然有个进程叫“zhudongfangyu”,安装在各种机器上依旧有卡顿的时候。从我近年取证的情况来看,装了360的企业主动防御漏杀的情况总是存在,尽管是个小概率事件,但确实存在。微软的MSE虽然查杀率不够高,但是用户真的不卡。(居然有一句这。。)
在看“漏洞与补丁”,当袁哥在360的时候,360的实力堪称国内顶级,国际领先,特别是在微软体系内的各种漏洞,无论防御还是使用都得心应手。堪称经典的是XP遁甲,各种后续系统中的安全机制移植回XP做的非常棒,同时也使得主动防御能力有所提升。几次XP安全挑战赛下来,即使腾讯也为了应对也抽调主力逆向分析,同理开发了一套。XP安全360确实可以称第一了,但是这种安全也是要付出稳定性、兼容性以及系统性能的。实际使用中,XP遁甲还是要依赖补丁,无论是微软公开发布的补丁、还是逆向非公开渠道的补丁。随着袁哥的离职,360的漏洞团队前景堪忧。当然,有一个MJ就会有第二个,也许360会成长出来新的牛人也说不定。
说到杀毒,不得不提的是QVM。总觉得老周有个“搜索引擎”情节,也许是当年搜索引擎没做成功留下了怨念,在360依然要做搜索,依然不成功。但搜索引擎带来的丰富计算资源反而成就了QVM引擎。第一版QVM是简陋的,0x295个双字节特征,13个统计分析函数,构成了一个只能分辨是不是,检出率、误报率都不够理想的模型。依赖于千万样本的训练,从0x295个区分度不高的维度做出检测判断的向量机,对比传统的决策树与贝叶斯分类,并没有显著的优势。“不知道怎么检测是真的好,拍脑袋调一调”的感觉始终无法掩饰。其实即便把维度腰斩,只要选取合适,有很多模型可以适用。在新版本的QVM中,相关人员也应该发现了这一点,毕竟上市以来的资本带来更多的人才,博士、硕士也不是蠢蛋,虽然不懂安全,但是能力都是极好的。更低的误报,更高的检出率,更精确的分类名称,但你要记住——这都是传统引擎的补充,单一依靠QVM过不了VB100,拿不到AVTEST第一名,启发终究是启发。无论如何用智能、自学习来包装,终究是需要后台训练、前台更新,拍脑蛋调参数、互联网做验证。远远不像某人说的“QVM拿下世界第一”,看看360自己的新闻稿吧,"QVM人工智能引擎助力360国际评测大满贯",助力而已,离开主引擎,检出率也几乎腰斩。
基于大样本集合训练的方法,始终有一个算例上限的问题,当超过某一个限制值的时候,大家不会有显著的区别。这也是为什么百度杀毒可以迅速推出一个类似的引擎的原因。而对于传统厂商来说,无论是卡巴也好还是其他厂商,启发式的方法很早就在使用,只不过他们不是用向量机,模型虽然有差异,但是覆盖的算例没有显著的差别。耗费巨大的精力作出的引擎,也并没有追赶上传统厂商的脚步,脱壳、虚拟机、各种检测方法与检测效率的平衡,差距依然在那里。
AVC、AV-TEST、VB100是国际上认可度比较高的测试,2015年劳动节前,发生的事儿
如何评价 360 杀毒软件在反病毒机构评比中作弊并被取消认证? - 奇虎 360
以及后续360的响应
http://www.zhihu.com/question/30050848
从某种程度上降低了他们在行业的位置。(不知道“啪啪啪的自己抽脸”时360的感觉怎么样)
在终端安全来看,综合能力360在国内三甲以外,杀毒能力更是短板。
看到评论里面有人要求比较一下其他家的技术,我今天就杀毒有关的技术再更新一些相关的内容。
如果把终端的安全软件,作为前端,把后台分析体系称作后端。那么360的技术处于很尴尬的位置,现阶段看起来挺美好,但是不远的前面就是深坑。历史决定你现在的位置,对于安全厂商也是一样。360一路走来,所有前端的需求都是短、平、快,服从人性、竞争需要,所有技术所长都服从于产品的发展:“主动防御”的坚固是继承于“流氓插件”,但查杀能力却一直依托外部力量。无论是早期的安天、卡巴,还是现在的bitdefender、小红伞,对于360来说无论多少个人逆向这些引擎,都没有带来真正的突破。就算看基础的脱壳能力,国外比不过主流产品、国内比不过瑞星、火绒,也就是三流水平。反病毒这个领域存在技术壁垒,积累的不仅仅是样本,从卡巴斯基、所罗门当年开始发展到今天,无形的墙在那里,传统的方式就算投入再多,也无法在几年之内翻越。但360在发展的过程中找到了适合他自己的路线,借助用户的数据、依赖用户的数据,采取跟跑的策略,依托对照扫描建立了自己的后台分析作业流程,包装了云的能力,形成所谓的云查杀。有业内的人讲“云查杀主要是解决特征库膨胀的问题,节约用户的资源”,但是我要在这里讲一个数据,bitdefender的不到700W特征覆盖了数亿的恶意程序,360对应则需要上亿的特征记录才能检测。这种技术差距,使得360没有更好的选择,只能选择把特征放在云里。几年前赛门铁克的杀毒,特征库不断膨胀,以至于压缩之后都有几百兆;今天(2015年4月1日)360的全量病毒库262M,想来与赛门铁克当年相差也不多。但是后来赛门铁克做了优化,病毒库缩减到50M,检测能力没有下降还有所提高。但短期内,这种差距360无法赶超。
前端的差距,一部分是技术积累造成的,一部分是后端分析能力的体现。如何选择检测特征、如何组织特征库,这些都需要根据后台自动分析流水线的产出来决定。卡巴斯基的检测方式有人说是双特征,但其本质是一个前置到用户决策树,所有的决策是依据后台对亿万样本的分析统计来决定的。360做了尝试,尝试的结果是出了一个QVM启发式。这个东西现在还没发和卡巴、ESET、bitdefender这些厂商相比,但也算是一种努力。
当无法通过奔跑追赶的时候,人总会想到新的突破点。“别人骑马,我坐火车。”,美国政府一纸提案,不再采购基于特征的恶意代码检测产品,促使美国Fireeye的火爆,从新的技术角度来检测也许追赶起来会更容易。国内在这方面投入的厂商也越来越多,金山有个同名的产品叫火眼,但根本不是一个段数的对手。后面针对新技术,以及360在这方面的能力我会再更新。
在讲新技术之前,还是先回归到网络安全上来吧。网络安全厂商可以分为两大派系——传统和互联。传统厂商国外:Palo Alto Networks、思科、飞塔、趋势等等,在这个领域UTM(统一威胁管理)、NG{过}F{滤}W(下一代防火墙)各种比拼,360即使收购了网神、控股了网康,也只是国际一根毛,完全不是一个等级的。在国内来说,面对华为、启明、天融信、绿盟、山石等等也只能勉强算是第二梯队的尾巴。但如果放在互联派系里面,360似乎可以排进三甲。互联网与传统的网络安全有着迥然的不同,围绕着World Wide Web三个词产生了很多特殊的安全手段,知道创宇和安全宝,是两家典型的代表。知道创宇集群式的web安全扫描与监控,安全宝的云WAF(网页应用防火墙),大幅度的改善了接入互联网的服务器的安全性。云安全带来的特性之一就是0延迟更新,一条新的检测规则可以在第一时间抵达用户,而云WAF除了这个好处之外,还控制了所有流经网站的流量。对于互联网厂商,流量就意味着现金。免费的云WAF,但是你的网站会多出广告,你网站上已有的广告可能被替换。无数厂商盯着这块蛋糕,360也是其中之一。网站卫士就是知道创宇与安全宝的杂合体。
在这个领域,值得关注的是这几家公司:百度、阿里、腾讯、知道创宇、安全宝、360。评价他们的网络安全能力要看这几个指标:1.用于安全分析检测的计算资源;2.用于防护DDOS的带宽资源;3.云WAF检测规则的维护能力;4.响应时间;5.持续服务能力。
评价传统的网络安全能力时,更多会谈到几层协议分析、吞吐能力、连接数量、规则数量等等,但在安全战场对抗性越来越强的今天,实战能力才是决定胜负的关键。这也是当360杀入传统企业级市场时,传统安全设备厂商担心的地方。合规性采购让这些传统设备厂商尝到了甜美的果实,但也使得他们对抗安全的能力越来越弱。更及时的响应,更强的实战能力,特别是面对突发安全事件的处理与对抗,将是未来的关键。关于云杀毒的能力后面,会与新技术一起讨论。


https://www.zhihu.com/question/28980204/answer/78937483


评分

参与人数 1人气 +3 收起 理由
sunnyjianna + 3 行文规整自然,看着就舒服。正经讨论可不是.

查看全部评分

Weki
发表于 2018-10-14 21:37:04 | 显示全部楼层
360的技术在国产里很明显是不错了,不过能比卡巴斯基小红伞还要强?一句话,不可能!很明显,如果360本地查杀真的很厉害为啥还要买红伞和BD的引擎?对自己不自信呗!还有当年三大测评机构之所以撤销360的成绩是因为在测评的时候360没开QVM引擎而自己宣传的时候却说取得的成绩是QVM引擎的功劳,如果QVM或者本地杀毒引擎或者本地加云端真的那么牛逼360为什么还要用BD和红伞的引擎去参加测评?所以很明显360的主仿、启发都没打到炉火纯青的地步。不得不承认国产里360技术比较厉害,当然,跟金山娱霸和瑞星,或者腾讯这种门外汉比自然是厉害,不过肯定达不到红伞,BD,卡巴斯基等国际一线大厂的地步,不然,为什么还要花钱去买红伞和BD的引擎?钱多烧的 吗?
Weki
发表于 2018-10-14 21:40:57 | 显示全部楼层
还有去年勒索病毒卡饭里的杀软锁库测试,为什么360会失败而卡巴斯基BD能成功?锁了半年的病毒库依旧能防御住病毒,这才说明人家本地引擎是厉害的,不依赖云也有不俗的成绩,如果全部依赖云端,云端的更新速度永远比不上病毒的产生速度,那杀软岂不就是摆设?
ziyerain2015
发表于 2018-10-14 21:43:18 | 显示全部楼层
要去知乎回应,卡饭中360名声好的只有那只猫管理而已。。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 08:49 , Processed in 0.127490 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表