360木马晕查杀报杀很历害

taoyuan237

回复 10# shellingford


    那不是又长回去了吗？

法外制裁者

回复 11# taoyuan237


    ？？以前360用过特征码？然后才变成文件名，再到现在的MD5？

bugman

回复 10# shellingford

1.特征码跟MD5查杀各有优势：
MD5的优点就是查杀速度快，成本低，比如对是否有壳，是否免杀过等等都可以无视，只要抓到样本，确定其性质，入库后，即可解决问题；缺点就是对于同一类的特征的样本必须不断的收集才能继续查杀，不能做到“杀一儆百”。当然这方面靠360的云来进行补充。因此，目前也没见得有多少劣势。当然遇到感染的，360的这个弱点就会被放大。
2.360的云不仅仅是MD5和文件名，也有自己的一套规则，当然这还不算是特征码。
3.写特征码查杀其实也不是件很难的事，当然要写的好，查杀效率高就另当别论了。比如下面的几行代码，也可以算是特征查杀：

1. 
   
2. #define  VirusChaLength 26   //病毒特征码的长度
   
3. #define  SizeOfVirus 2        //入特征病毒数量
   
4. //数量和特征长度可以根据特征越来越多来进行调节
   
5. 
   
6. char VirusEPCode[SizeOfVirus][VirusChaLength]=
   
7. {
   
8. //入口26个字节,具体数据就不填充了，举个例子而已
   
9.   {},
   
10.    {}
    
11. }；
    
12. 
    
13. char VirusSectionName[SizeOfVirus][8]=
    
14. {
    
15.      //区段名，具体数据也不填充了
    
16.      "",
    
17.      ""
    
18. };   
    
19. 
    
20. int VirusID=-1;  //定义病毒编号，初始为-1为无匹配
    
21.   for (int len=0;len<SizeOfVirus;len++)         //判断是否为病毒
    
22.   {
    
23.       if (strcmp(TagEPCode,&VirusEPCode[len][0])==0)
    
24.       {
    
25.                   if (strcmp(SectionName,&VirusSectionName[len][0])==0)
    
26.                   {
    
27.                         VirusID=len;  //给病毒编号赋值                  
    
28.                   }
    
29.           }
    
30.   }
    
31. 
    
32. switch(VirusID)
    
33. {
    
34.     case -1:
    
35.     case 0:
    
36.   //具体就不写了，就是这么个意思，根据病毒的编号进行不同的处理以及报不同的名称等等  
    
37. }
    

复制代码

上面只是个最简单的例子，没实际用处。虽然上面的代码挫之又挫，查杀的东西也少之又少，但谁敢说这个就不是特征码查杀？
而且，我这种菜鸟都能写所谓的特征查杀，你觉得360招了这么多大牛，会写不出来？
只是，一上特征码查杀，配套的东西都得跟上，比如脱壳引擎等，不然又是浮云了。还有其他的比如查杀效率的降低，误报的严重等等问题。

总之一句话：黑猫白猫，能抓耗子的就是好猫，别管用了什么技术。再说，普通的用户，根本不会在乎你用了什么技术，对他们来说，能查出病毒的就是好杀软，一次查不出来就是垃圾，他们才不管杀软用了什么技术，就算给他们说技术，普通的用户也不懂。
所以啊，卡饭的网友门也别在咬着技术这个词不放，类似MD5没啥技术含量，所以360就是垃圾；360查毒只是BD的壳，类似等等，个人觉得这样毫无意义和必要。而且卡饭的好多评测也仅仅在表面，真正的技术细节跟面象其实有着很大的差距。比如，360的自保护其实是很厉害的，但因为被研究的多，被干掉的样本也不少，难道仅从这样的表象来鉴定360的自保护很垃圾，显然对360是不公平的，跟真正的技术细节也是有出入的。何不对国产软件包容点，多提点有建设性的意见呢？为国产软件的强大出份自己的力呢？而不是各种冷嘲热讽。

chabosh

可能是修改版的XP系统

白羊座

回复 13# bugman


    嗯，至少云查杀速度极快，占用很少，虽然在启发，脱壳上是差了点，但是作为轻量级的引擎，相当不错

Ayer

什么时候360的hips成熟了，真的就要对卡巴构成巨大威胁了。

245536252

等待360;HIPS和主动防御

zzirong

回复 13# bugman


    说得好

其实文件名查杀是某些方面要比特征码好使，两者结合优势互补，就像你看任务管理器一样，你不可能去看文件的特征码，你只会去看进程名一样

peter08

回复  bugman


    嗯，至少云查杀速度极快，占用很少，虽然在启发，脱壳上是差了点，但是作为轻量级的 ...
白羊座 发表于 2009-12-27 23:53

云查杀需要启发和脱壳么，MD5不对就直接把启动的相应注册表给删了。

白羊座

回复 19# peter08


    那不一定，对于启动项可以，但是文件呢？
云端的库再大，总有不在库的，也不能全报可疑，如果有适当的脱壳和启发能力，还能减少云端库的大小，提升效率