360的水平真的一般吗

453125415

刚刚看看了极安全的测试，360无论是联网还是断网成绩都是倒数水平，而且卡巴的朋友普遍都是推荐卡巴斯基或者是avast和eset，对360好像没什么好感。但是看样本区360的能力还行，有老哥来说下吗（单纯讨论360能力，无视广告和恶心人的缺点） 各位大佬不要吵了，我不问了行吗。

Frank404

对 360 好像没什么好感

你应该能意识到，这句话实际上和他的水平并没有很大关系

如果你能接受这句话背后的原因，那就用呗

我也希望未来有一天我能无比心安的用着360的杀软、360文件夹、360桌面助手、360压缩

但现在不是时候，至少对我来说不是

453125415

Frank404 发表于 2024-4-2 22:15
你应该能意识到，这句话实际上和他的水平并没有很大关系

如果你能接受这句话背后的原因，那就用呗[:01 ...

已编辑

祸兮福所倚

因为卡巴和Avast有防火墙和web防护。ESET主打轻快不占资源。如果单看样本区的查杀率的话，360不次于任何杀软

枣泥奶卷

360防护水平国内第一，国际免费领先，应该没什么争议吧。

神龟Turmi

360未知上传之后二扫被云黑的概率很高 所以大部分的包结果都不会太差
换句话说就是他们自动机效率比较高
就像卡巴靠着别人双击敢死队PDM转UDS之后在样本区大杀四方一样
但是如果是针对性攻击 没有人帮你提前扫过 自动机自然没法“预知未来”的话。。。那就。。。

EDIT：提醒一下 你看的那个评测 他们的样本是被他们自己改过hash的 对于360云来说这些全是新文件

ztgdhm

神龟Turmi 发表于 2024-4-2 23:47
360未知上传之后二扫被云黑的概率很高 所以大部分的包结果都不会太差
换句话说就是他们自动机效率比较高
...

问题是那个极安全的评测乾坤查杀率虽然非常高，我却听别人说样本区测试时差很多，比不上360，而且那个评测的真实世界测评中360比乾坤可能成绩好的多，我感觉那个测评可能不能令人完全信服，不知道你有没有其他测评佐证你的观点。

神龟Turmi

ztgdhm 发表于 2024-4-3 01:41
问题是那个极安全的评测乾坤查杀率虽然非常高，我却听别人说样本区测试时差很多，比不上360，而且那个评 ...

正常的评测应该都不会对样本改hash
他们的样本改过hash是我从某个美国安全厂商那边拿到了部分他们测试的样本才确认的
至于他们测试的结果有多少的参考价值 我不做评价

ddxuchen

ztgdhm 发表于 2024-4-3 01:41
问题是那个极安全的评测乾坤查杀率虽然非常高，我却听别人说样本区测试时差很多，比不上360，而且那个评 ...

极安全那个评测，我觉得水分很大。单论国内的话，360 确实领先，实事求是的说它的云病毒库样本绝对第一。但是，放到国际上比，确实很一般​​​

00006666

测试组的样本主要是国外一些网站批量下载的，都是国外流行样本，杀软公司也会下载来批量入库，样本区大多数都是国内才能见到的远控木马，比如各种通过聊天工具传播的远控(银狐等)，样本区还有各种WHQL签名的驱动木马(国外几乎没有)。360只是某种意义来说比较适合国内的攻防环境，包括对于区域流行样本的快速响应等(装机量大对于样本获取的优势)，然后对于一些拦不住的新攻击方式能够短时间更新修复实现拦截(对于黑产作者而言，360是种很大的威胁，国内很多样本经常会使用新的技术针对360进行对抗，这种就需要及时更新)。

DisaPDB

360现在完全放弃传统特征导致面对未知样本只能通过QVM和自动机来检测
但是QVM和自动机都是有通解的方法的，况且半残不残的QVM也没办法做到大范围覆盖新样本，甚至可能出现不杀pyinstaller这种诡异的现象
国内黑产对360的高关注度导致国内新样本出来的时候总是第一时间免杀360然后360在第二时间拉黑，导致了"初见杀"这种在对360来说普遍存在
再就是，主防这种东西在360身上其实是一个云化的HIPS，在核晶和云的加持下比一般的HIPS能做到拦截点更多
其他的东西来看并没有什么亮点，火绒有AMSI和内存扫描了，江民做机学了，奇安信和金山都有内存防护了，只有360还傻乎乎的守着十几年前的技术吃老本

取名字难

@wowocock @360主动防御 两位大佬不打算下放点厉害的技术吗

00006666

DisaPDB 发表于 2024-4-3 07:02
360现在完全放弃传统特征导致面对未知样本只能通过QVM和自动机来检测
但是QVM和自动机都是有通解的方法的 ...

360防护体系本质上就是信用链，靠云把程序分为白灰黑，白程序行为选择放过，重点拦截灰黑程序的行为，然后为了防止信用链被击穿，需要重点拦截各种注入等以及拦截DLL模块发起的行为(需要定位行为到具体的dll来判断行为是否由灰黑发起)，360这几年的更新主要就是针对一些新的绕信用链的攻击方式来加强。

mimida667

360资源占用太厉害，配置低的电脑不建议使用

00006666

取名字难 发表于 2024-4-3 07:58
@wowocock @360主动防御 两位大佬不打算下放点厉害的技术吗

有核晶VT加持，基本上面R3程序的行为，它其实没有看不到的，以后要做拦截应该不难。

00006666

DisaPDB 发表于 2024-4-3 07:02
360现在完全放弃传统特征导致面对未知样本只能通过QVM和自动机来检测
但是QVM和自动机都是有通解的方法的 ...

几年前有360有出一本白皮书来说明为什么会依赖核晶VT，因为他们觉得其他技术容易被绕过。

pal家族

DisaPDB 发表于 2024-4-3 07:02
360现在完全放弃传统特征导致面对未知样本只能通过QVM和自动机来检测
但是QVM和自动机都是有通解的方法的 ...

前几天试用的时候 发现鲲鹏完全不能应对新样本
只能在断网的时候临时对付下比较老的病毒

00006666

pal家族 发表于 2024-4-3 08:27
前几天试用的时候 发现鲲鹏完全不能应对新样本
只能在断网的时候临时对付下比较老的病毒

360断网基本只能靠机学，所以断网查杀很低，本地没有启发，也没有传统特征库，鲲鹏那个是少数流行样本特征库。

pal家族

00006666 发表于 2024-4-3 08:34
360断网基本只能靠机学，所以断网查杀很低，本地没有启发，也没有传统特征库，鲲鹏那个是少数流行样本特 ...

不是有个很敏感的本地qvm吗

00006666

pal家族 发表于 2024-4-3 08:42
不是有个很敏感的本地qvm吗

以前是很敏感，误报也多，这几年他们的模型应该都有优化，误报少了一点，离线查杀也没有以前那样，现在一般最多40%断网查杀。