查看: 4085|回复: 17
收起左侧

[金山] 原来金山毒霸的云引擎是靠Md5拉黑的

[复制链接]
zay365
头像被屏蔽
发表于 2020-2-14 21:04:45 | 显示全部楼层 |阅读模式
本帖最后由 zay365 于 2020-2-14 21:07 编辑

火绒曝光过Mint病毒静默推广金山毒霸,极具讽刺意义的是,Mint病毒就是金山毒霸团队第一个发现的,金山安全团队之前曾披露过一篇Mint病毒的分析报告,当时在没写回应时金山毒霸微信公众号的最新一篇文章就是那篇
金山毒霸随后发文回应(虽然后来金山系软件的流氓行径又被火绒发文曝光了两次12,但都像死了一样没有作出任何回应),在对火绒的回应文中,金山毒霸暴露了自己的云查杀就是拉黑Md5


金山毒霸拦截查杀“Mint”木马家族
金山毒霸拦截查杀“Mint”木马家族
金山毒霸拦截查杀“3D动态天气”即BlackRain家族
金山毒霸拦截查杀“3D动态天气”即BlackRain家族

金山毒霸后台拉黑Mint变种病毒及BlackRain病毒及时间点如下:
2019年8月7日开始查杀Mint最新变种
2019年8月22日开始查杀BlackRain 最新变种

yjwfdc
头像被屏蔽
发表于 2020-2-14 23:15:03 | 显示全部楼层
本帖最后由 yjwfdc 于 2020-2-14 23:16 编辑

云通常都是这样处理的,火绒的本地有时也是用md5的。


测试了一下,火绒和360一样,某些病毒是用哈希值入库。 ...2
欧阳宣
头像被屏蔽
发表于 2020-2-15 04:59:43 | 显示全部楼层
别光看坏处 md5拉黑的好处就是快啊
paul846586
发表于 2020-2-15 12:16:55 | 显示全部楼层
这不很正常嘛
fireware15
发表于 2020-2-15 15:23:04 | 显示全部楼层
也是方法。
baoshunwong
头像被屏蔽
发表于 2020-2-15 15:25:51 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
ywfox2008
发表于 2020-2-20 11:15:27 | 显示全部楼层
楼主的意思是,救急处理可以这样,长久处理还是要靠技术底蕴,而不是只靠拉黑MD5
记录微笑
发表于 2020-2-20 11:19:39 | 显示全部楼层
McAfee其实也是一堆哈希特征,这样拉黑是最快的。有的时候刚我这边双击完,咖啡杀了之后过五分钟别人测试已经拉黑了。

但是神奇的是咖啡虽然每个报毒名后面都是这个文件的哈希前几位,但是改了哈希无法免杀
企稳向好
发表于 2020-2-20 11:49:41 | 显示全部楼层
记录微笑 发表于 2020-2-20 11:19
McAfee其实也是一堆哈希特征,这样拉黑是最快的。有的时候刚我这边双击完,咖啡杀了之后过五分钟别人测试已 ...

应该是用了模糊哈希之类的吧,记得ESET的云杀也有类似的特性
记录微笑
发表于 2020-2-20 12:02:06 | 显示全部楼层
企稳向好 发表于 2020-2-20 11:49
应该是用了模糊哈希之类的吧,记得ESET的云杀也有类似的特性

应该是故意跟着哈希,有些检测明显不是基于哈希的。
比如本地通用特征后面也会跟着哈希。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 09:05 , Processed in 0.135089 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表