求真象----关于云端的主防----正奇，白羊进来啊。

hu3167343

昨天在国内区看到一个帖子说金山的王欣在微博上说金山毒霸用的是云端的主防，在云端上运行未知文件，继而是病毒的就入库。
当然360宣传也有云端主防。

但是我又有一个疑问：

就拿金山毒霸来说吧，当他扫描到了未知的PE文件时（不一定是病毒），就把文件上传到云端进行分析，据说运用的技术有沙箱，主防等技术。


但是我们都知道，有些PE文件缺少必要的dll动态链接库是无法运行的。

那么也就是说云端上的沙箱跟运行在服务器上的超强主防都可以说是发挥不了那“巨大”的作用。

面对上面这种情况，云服务器又是怎么个分析法呢？

帖子中有很多朋友说到金山其实上传的并不是整个PE文件，而是他的特征，比如什么DNA特征。那我就更奇怪了，单单上传个特征，没有原文件，那该怎么运行文件呢，又何来动作呢，那王欣所说的云端主防跟沙盒，又有何用呢？

我只是个小白，碰到不懂的就问，也想跟大家探讨下云端主防，没有针对金山或者数字，高手大虾勿喷。

一土贝木

金山上传的不是整个文件

迷魂阵

云服务器里完全可以有模拟用户环境的陷阱机啊

cokea

damaged file都可以提取特征的，并非一定要执行，云端若仅一种甄别方式就无神秘性可言了

hu3167343

原来如此，了解了。
但是他只是提取一个特征的话，那王欣所说的主防跟沙箱技术又有什么用呢？

shellingford

终于有人提出这个问题啦，看看官方怎么回答的

cokea

一种方式的结果不可靠罢

hu3167343

回复 6# shellingford 的帖子

纳尼，原来版主大人也有这个疑问呀，哈哈。
   

fans360

至少不是楼主说的这种云，每个PE都要后台传送到服务端，你以为中国网速很快啊！即使够快，你以为服务器处理速度负荷是“银河”啊

fans360

主动防御，如果都主动到服务端了，貌似可以称之为被动防御了。