360的水平真的一般吗

1094947421

360除了云自动机反应快之外真的没什么值得称道的。。。
hips虽然严密但是平时就有很多误拦截，导致一直训练用户在选放过，然后真病毒来了下意识就点放过，手比脑子还快。。。真不如把微点收购了，搞个本地智能主防，hips弹窗多现在真的很讨厌。
本地更是一坨，七天一更的鲲鹏连腾讯一个月一更的本地都打不过，两个月一更的qvm误报的360它自己都不敢默认开监控，而大多数人都是保持默认设置使用的，别人杀软是天天更新病毒库，它360是天天更新白名单。。。而qvm的误报坏名声，真报个qvmxxx病毒，你会信它吗？
现在默认把360当成纯云，比管家还纯，云强是真的强，0%或90%的强，它更新个鲲鹏都能出问题，你根本不知道它一天云要断开多少次，云就是空中楼阁，没有本地那么可靠。

keen-qv

00006666 发表于 2024-4-3 05:37
测试组的样本主要是国外一些网站批量下载的，都是国外流行样本，杀软公司也会下载来批量入库，样本区大多数 ...

这个解释很不错，很到位，楼主应该将这句评论置顶

wowocock

00006666 发表于 2024-4-3 08:25
几年前有360有出一本白皮书来说明为什么会依赖核晶VT，因为他们觉得其他技术容易被绕过。

云和核晶作为关键技术，也是木马现在针对360的主要的突破方式。已经发现了不少针对方式，虽然也一直在改进，不过的确因为很多兼容性问题导致还是存在不少问题，比如针对核晶的退出漏洞一直在修改，后续也会加入INFINITYHOOK来进行退核晶下的防护。

DisaPDB

pal家族 发表于 2024-4-3 08:42
不是有个很敏感的本地qvm吗

正是因为敏感，所以完整的SVM只放在云端，而且就算是残而又残的本地它都不敢默认给你开了
KP本身就是n年前的技术，部分特征+一堆拉黑，就是把云上的库拉了一部分到本地（甚至一点点的脱壳能力都没有）

DisaPDB

00006666 发表于 2024-4-3 08:16
360防护体系本质上就是信用链，靠云把程序分为白灰黑，白程序行为选择放过，重点拦截灰黑程序的行为，然 ...

关键是现在ShellCode如果不搞注入，分离本体直接在内存里展开360就跟瞎了一样……
EPT Hook确实强但是也没办法做到在内存里对抗啊……

00006666

DisaPDB 发表于 2024-4-3 09:53
关键是现在ShellCode如果不搞注入，分离本体直接在内存里展开360就跟瞎了一样……
EPT Hook确实强但是也 ...

这要问大肉鸡他们有没有考虑加内存扫描了

DisaPDB

00006666 发表于 2024-4-3 09:56
这要问大肉鸡他们有没有考虑加内存扫描了

我猜是没有，至少个人版没有因为内存扫描就不可避免涉及到特征提取，以360拉黑机器的特性估计短期内搓不出来

wowocock

00006666 发表于 2024-4-3 09:56
这要问大肉鸡他们有没有考虑加内存扫描了

EDR中有内存扫描，个人版目前还没加入。

00006666

DisaPDB 发表于 2024-4-3 10:00
我猜是没有因为内存扫描就不可避免涉及到特征提取，以360拉黑机器的特性估计短期内搓不出来

看楼上，应该以后也会加，

DisaPDB

00006666 发表于 2024-4-3 10:03
看楼上，应该以后也会加，

我是没见过EPP的内存扫描发力过