简单测试360全新本地自研引擎：鲲鹏

Jerry.Lin

夭寿啦夭寿啦！靠着云多引擎起家的360研发本地引擎啦！而且还是传统特征引擎！

不得不说360取名部定“鲲鹏”这个名字挺妙呐，透露出一股神秘的东方气息

组件：
360KP.dll
360KPBase.dll
kpb.def   - 病毒库~93MB



大致的报法如下（以下测试均为断网测试）：


特征报法(改MD5仍能稳定检出)，例如：
Backdoor.Win32.Wabot.A
Trojan.Win32.Cosmu.D
Trojan.Win32.Qukart.A
Worm.Win32.Sfone.A
Virus.Win32.CTS.C
Trojan.Ransom.Win32.Crusis.A
Trojan.Win32.Coins.A
……

疑似拉黑报法（改MD5可能失效），例如：
G_Trojan.VB.00294c62
G_Rootkit.Generic.000f4dcc
G_Trojan.Generic.00234790
G_Trojan.Generic.000f5562
……


测试时使用的样本：https://bbs.kafan.cn/thread-2176074-1-1.html，都是一些老样本，2258x

原样本检出率：
1763/2258
凑合着。新样本测得更惨，大概80个报个位数

改MD5 （简单填0）：
1738/2258
还行

改MD5（PE重构+填0）：
1738/2258
不变

从中挑了几个样本，加UPX壳（3.95）

原始报法：Trojan.Win32.Coins.A
加壳后：MISS

原始报法：G_Backdoor.Generic.001e8a06
加壳后：MISS

原始报法：Backdoor.Win32.Wabot.A
加壳后：MISS


看到这里，想必大家知道“鲲鹏”是什么东东了 ，若后续没有本质上的提升的话，看看就好……


附：测试日志

驭龙

简单看了一下KPB模块的代码，确实是传统引擎，且与AVE引擎联动，现在可查杀的威胁，分为下面的这些类型

1. 10086614 0000000C C not-a-virus     
   
2. 10086620 0000000C C PUA.Generic     
   
3. 1008662C 0000000E C Backdoor.MSIL   
   
4. 1008663C 00000009 C Backdoor        
   
5. 10086648 00000011 C Backdoor.Generic
   
6. 1008665C 00000007 C Packed         
   
7. 10086664 0000000F C Packed.Generic  
   
8. 10086674 0000000C C Adware.MSIL     
   
9. 10086680 00000007 C Adware         
   
10. 10086688 0000000F C Adware.Generic  
    
11. 10086698 00000005 C Harm            
    
12. 100866A0 0000000D C Harm.Generic   
    
13. 100866B0 00000008 C Rootkit         
    
14. 100866B8 00000010 C Rootkit.Generic
    
15. 100866C8 00000007 C AutoIt         
    
16. 100866D0 0000000C C Worm.AutoIt     
    
17. 100866DC 00000005 C Worm            
    
18. 100866E4 0000000D C Worm.Generic   
    
19. 100866F8 0000000B C Trojan.BHO      
    
20. 10086704 00000006 C .RAR.           
    
21. 1008670C 0000000B C Trojan.RAR      
    
22. 10086718 00000007 C Script         
    
23. 10086720 00000009 C .WinREG.        
    
24. 1008672C 00000009 C .WinINF.        
    
25. 10086738 00000005 C .JS.            
    
26. 10086740 00000006 C .VBS.           
    
27. 10086748 00000006 C .BAT.           
    
28. 10086750 0000000E C Trojan.Script   
    
29. 10086760 00000005 C MSIL            
    
30. 10086768 0000000C C Trojan.MSIL     
    
31. 10086778 0000000A C Trojan.VB      
    
32. 10086784 00000006 C Crypt           
    
33. 1008678C 00000007 C Ransom         
    
34. 10086794 0000000E C Trojan.Ransom   
    
35. 100867A4 00000007 C Trojan         
    
36. 100867AC 0000000F C Trojan.Generic  

复制代码

乌龟dē海盗

国内版 没有？

Jerry.Lin

乌龟dē海盗 发表于 2020-3-28 19:43
国内版 没有？

国内版貌似没有


能解答下为什么只有TS有么？@360主动防御

2849

感觉是把云上的一部分库拉到了本地？

maomao110

2849 发表于 2020-3-29 10:01
感觉是把云上的一部分库拉到了本地？

你别这样   

不知妻美刘强东

这么弱的吗

岚Azure

360你别看他几个引擎，实际上合起来就一个:360引擎。国外杀软都合起来算，国内喜欢拆开

利刀1937

360终于开发自己的常规引擎了，有这个开头就可以，以后再不断提高质量

kfne12

经鉴定，360这个引擎达到了火绒20年前的水平。

救命稻草

不知道有什么意义，不打算OEM红伞了吗