原来金山毒霸的云引擎是靠Md5拉黑的

显示全部楼层 · 发表于 2020-2-14 21:04:45

本帖最后由 zay365 于 2020-2-14 21:07 编辑

火绒曝光过Mint病毒静默推广金山毒霸，极具讽刺意义的是，Mint病毒就是金山毒霸团队第一个发现的，金山安全团队之前曾披露过一篇Mint病毒的分析报告，当时在没写回应时金山毒霸微信公众号的最新一篇文章就是那篇
金山毒霸随后发文回应（虽然后来金山系软件的流氓行径又被火绒发文曝光了两次1 2，但都像死了一样没有作出任何回应），在对火绒的回应文中，金山毒霸暴露了自己的云查杀就是拉黑Md5

金山毒霸拦截查杀“Mint”木马家族

金山毒霸拦截查杀“3D动态天气”即BlackRain家族

金山毒霸后台拉黑Mint变种病毒及BlackRain病毒及时间点如下：

2019年8月7日开始查杀Mint最新变种

2019年8月22日开始查杀BlackRain 最新变种

显示全部楼层 · 发表于 2020-2-14 23:15:03

本帖最后由 yjwfdc 于 2020-2-14 23:16 编辑

云通常都是这样处理的，火绒的本地有时也是用md5的。

测试了一下，火绒和360一样，某些病毒是用哈希值入库。 ...2

显示全部楼层 · 发表于 2020-2-15 04:59:43

别光看坏处 md5拉黑的好处就是快啊

显示全部楼层 · 发表于 2020-2-15 12:16:55

这不很正常嘛

显示全部楼层 · 发表于 2020-2-15 15:23:04

也是方法。

显示全部楼层 · 发表于 2020-2-15 15:25:51

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2020-2-20 11:15:27

楼主的意思是，救急处理可以这样，长久处理还是要靠技术底蕴，而不是只靠拉黑MD5

显示全部楼层 · 发表于 2020-2-20 11:19:39

McAfee其实也是一堆哈希特征，这样拉黑是最快的。有的时候刚我这边双击完，咖啡杀了之后过五分钟别人测试已经拉黑了。

但是神奇的是咖啡虽然每个报毒名后面都是这个文件的哈希前几位，但是改了哈希无法免杀

显示全部楼层 · 发表于 2020-2-20 11:49:41

记录微笑发表于 2020-2-20 11:19
McAfee其实也是一堆哈希特征，这样拉黑是最快的。有的时候刚我这边双击完，咖啡杀了之后过五分钟别人测试已 ...

应该是用了模糊哈希之类的吧，记得ESET的云杀也有类似的特性

显示全部楼层 · 发表于 2020-2-20 12:02:06

企稳向好发表于 2020-2-20 11:49
应该是用了模糊哈希之类的吧，记得ESET的云杀也有类似的特性

应该是故意跟着哈希，有些检测明显不是基于哈希的。
比如本地通用特征后面也会跟着哈希。

baoshunwong 头像被屏蔽	发表于 2020-2-15 15:25:51 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
baoshunwong 头像被屏蔽
	回复举报

[金山] 原来金山毒霸的云引擎是靠Md5拉黑的