测试了一下，火绒和360一样，某些病毒是用哈希值入库。

cocomail

www-tekeze 发表于 2019-4-19 17:22
？？ 标题是“某些病毒”，现在成了“全哈希入库”，请问是火绒官人告诉你的么。。
才发现大佬说 ...

你理解错了他的意思

huang1111

dsb2466 发表于 2019-4-19 17:36
其实单纯改MD5，国内的云杀软都还是可以检出的，楼主可以试试

很可惜，火绒和云不沾边。。。。

www-tekeze

cocomail 发表于 2019-4-19 17:38
你理解错了他的意思

他说“本地杀软就更不应该全哈希入库了”，本地杀软指的不就是火绒？ 但火绒毒库主要是启发式毒库，虽然存在少量哈希库。。。相信没哪款杀软不存在哈希库的，多点少点而已。。

www-tekeze

諾言敵不過時間 发表于 2019-4-19 17:34
火絨這報法不就是拉黑處理的嗎？
我記得後面會做通殺吧？
好像一星期一次還多久，忘了。

拉黑主要是为了快速响应，但没有多长时间做一次通杀的说法，做不做通杀主要是根据威胁情报系统的反馈情况，如果有出现甚至蔓延苗头，为了防止变种产生无法查杀，就会做通杀，但如果始终无反馈，比如我发的样本集，当中有不少加了UPX或ASPack，只是临时炮制出来给饭友娱乐下，止步于卡饭，现实当中没有的，像这种无价值样本，永远都只是拉黑状态，几年后甚至从库里删了也有可能。。。

yjwfdc

www-tekeze 发表于 2019-4-19 17:22
？？ 标题是“某些病毒”，现在成了“全哈希入库”，请问是火绒官人告诉你的么。。
才发现大佬说 ...

不应该 “整体文件哈希" 入库，"关键位置哈希" 入库也难免杀些。

这样容易理解些吗？

yjwfdc

dsb2466 发表于 2019-4-19 17:36
其实单纯改MD5，国内的云杀软都还是可以检出的，楼主可以试试

金山未试过，360就很多时候都可以过，
以前听说360把文件分一千份来哈希，这样很难简单免杀，最近才试了几次，原来是“整体文件哈希”，随便改一下就过了。

如果我做杀软，最小会分几份来哈希，不太影响查杀和入库速度，也不会这么容易过。

www-tekeze

yjwfdc 发表于 2019-4-19 18:29
不应该 “整体文件哈希" 入库，"关键位置哈希" 入库也难免杀些。

这样容易理解些吗？

金山未试过，360就很多时候都可以过，
以前听说360把文件分一千份来哈希，这样很难简单免杀，最近才试了几次，原来是“整体文件哈希”，随便改一下就过了。

如果我做杀软，最小会分几份来哈希，不太影响查杀和入库速度，也不会这么容易过。

以前在数字论坛混时曾听说过，但相信是种传说，最多也就流行广危害大的会这种处理，但分3、5份，10份不得了了，1000份？ 一个样本就有1000条毒码？？ 想毒库急剧膨胀？ 检索速度也会大为拖慢。。。火绒通杀和ESET一样，提取的是行为特征码，一条毒码可以查杀成千上万个样本，这种将文件大量分割实在不可取，但大数字可能没提取行为码、基因码这方面技术，所以有可能局部采用这种办法。。。

个人猜的，别当真。。

zdlzp

yjwfdc 发表于 2019-4-19 18:41
金山未试过，360就很多时候都可以过，
以前听说360把文件分一千份来哈希，这样很难简单免杀，最近才试了 ...

病毒分析师偷会懒都被你发现啦

yjwfdc

zdlzp 发表于 2019-4-19 21:20
病毒分析师偷会懒都被你发现啦

他偷懒，我们的电脑安全性就降低了。

www-tekeze

yjwfdc 发表于 2019-4-19 22:18
他偷懒，我们的电脑安全性就降低了。

把文件分割成多份然后提取哈希，这种编个小程序就能做到吧，也就是机器就可以入库，不需要病毒师过多参与。。。但带来的特征库膨胀、扫描速度下降、效率低下等，这些负作用如何解决呢。。