360的水平真的一般吗

DisaPDB

360现在完全放弃传统特征导致面对未知样本只能通过QVM和自动机来检测
但是QVM和自动机都是有通解的方法的，况且半残不残的QVM也没办法做到大范围覆盖新样本，甚至可能出现不杀pyinstaller这种诡异的现象
国内黑产对360的高关注度导致国内新样本出来的时候总是第一时间免杀360然后360在第二时间拉黑，导致了"初见杀"这种在对360来说普遍存在
再就是，主防这种东西在360身上其实是一个云化的HIPS，在核晶和云的加持下比一般的HIPS能做到拦截点更多
其他的东西来看并没有什么亮点，火绒有AMSI和内存扫描了，江民做机学了，奇安信和金山都有内存防护了，只有360还傻乎乎的守着十几年前的技术吃老本

取名字难

@wowocock @360主动防御 两位大佬不打算下放点厉害的技术吗

00006666

DisaPDB 发表于 2024-4-3 07:02
360现在完全放弃传统特征导致面对未知样本只能通过QVM和自动机来检测
但是QVM和自动机都是有通解的方法的 ...

360防护体系本质上就是信用链，靠云把程序分为白灰黑，白程序行为选择放过，重点拦截灰黑程序的行为，然后为了防止信用链被击穿，需要重点拦截各种注入等以及拦截DLL模块发起的行为(需要定位行为到具体的dll来判断行为是否由灰黑发起)，360这几年的更新主要就是针对一些新的绕信用链的攻击方式来加强。

mimida667

360资源占用太厉害，配置低的电脑不建议使用

00006666

取名字难 发表于 2024-4-3 07:58
@wowocock @360主动防御 两位大佬不打算下放点厉害的技术吗

有核晶VT加持，基本上面R3程序的行为，它其实没有看不到的，以后要做拦截应该不难。

00006666

DisaPDB 发表于 2024-4-3 07:02
360现在完全放弃传统特征导致面对未知样本只能通过QVM和自动机来检测
但是QVM和自动机都是有通解的方法的 ...

几年前有360有出一本白皮书来说明为什么会依赖核晶VT，因为他们觉得其他技术容易被绕过。

pal家族

DisaPDB 发表于 2024-4-3 07:02
360现在完全放弃传统特征导致面对未知样本只能通过QVM和自动机来检测
但是QVM和自动机都是有通解的方法的 ...

前几天试用的时候 发现鲲鹏完全不能应对新样本
只能在断网的时候临时对付下比较老的病毒

00006666

pal家族 发表于 2024-4-3 08:27
前几天试用的时候 发现鲲鹏完全不能应对新样本
只能在断网的时候临时对付下比较老的病毒

360断网基本只能靠机学，所以断网查杀很低，本地没有启发，也没有传统特征库，鲲鹏那个是少数流行样本特征库。

pal家族

00006666 发表于 2024-4-3 08:34
360断网基本只能靠机学，所以断网查杀很低，本地没有启发，也没有传统特征库，鲲鹏那个是少数流行样本特 ...

不是有个很敏感的本地qvm吗

00006666

pal家族 发表于 2024-4-3 08:42
不是有个很敏感的本地qvm吗

以前是很敏感，误报也多，这几年他们的模型应该都有优化，误报少了一点，离线查杀也没有以前那样，现在一般最多40%断网查杀。