金山云安全的三大疑团

皇柝

---

据官方介绍，水银系统是由一个服务器的集群组成
拥有20多款鉴定器，针对未知文件提取DNA（DNA无法判断则上传整个文件）
如果继续无法判断则进入人工判断流程，再进行反馈等等
如果我没理解错，大体上应该是这样的。


那么，我就有三个疑团不解了。


1、DNA是什么？被上传的程序能否运行？


DNA，又差不多是创造了一个杀软领域的新概念。
首先来看，估计不太可能是那种校验和技术，上传上去的DNA如果是那种校验和的话，那是不能被仿真代码分析器运行的。

我猜它有可能是截取并压缩后的代码片段之类，但是如果这样的话，依然不能被那种虚拟机启发工具运行，最大的可能性就是类似于静态广谱启发的鉴定技术，这种方法是不需要完整的程序，但是误杀会非常高。

其次，也有人怀疑过，被独立上传的程序能否运行，特别是那些加载DLL的，这个也不是很清楚，希望得到解答。


2、云鉴定器的组成？


水银系统号称拥有20多款鉴定器，按我们熟知的分类无非也就是静态启发、动态启发、行为分析等
再接下去就要转人工了，这就让我非常费解了，如果算有21款鉴定器：

那么就平均算——

静态启发7款
动态启发7款
行为分析7款

为什么要把它拆的那么细呢？整合一下不是更能迅速的判断吗？

另外还有一个重要的问题等待官方解答：
金山的水银系统，是否借鉴别的杀软作为依据？
我不希望等以后爆出丑闻了，再来回过头来问这个问题。


3、云的断网？

云的断网是一个很忌讳的话题，某些人认为如果断网了那电脑本身也很安全了
但是如果另一种情况：只有金山云被断网，而别的程序不断呢？

最简单的就是所谓的“防火墙”法，金山本地没有完整的主防，这也就意味着对加驱的拦截肯定不行
如果云一旦被断，特征码免杀又不难做，这时杀软还好好的，还以为用户把网线拔了，这样不是连样本都拿不到了吗？甚至更猥琐一点，不把你云断了，但是不给你带宽，这些都要靠主防才能保护啊。

只有等月光宝盒出现，才有可能做到防御这种攻击模式，而且前提是月光宝盒不被穿透，且用户能够使用大范围的使用，而金山对月光宝盒的定位是小众软件。

镜湖

云上到底有什么？天上会不会掉下林妹妹来？

皇柝

云上到底有什么？天上会不会掉下林妹妹来？
镜湖 发表于 2010-6-15 12:00

建议……带着比较中立的观点进行技术探讨，不用这样说吧……

Palkia

管它是什么。。实际能杀毒就行~

杀毒这东西过程结果是2-8分的~

shellingford

那么多种鉴定器…………我估计可能只是配置的参数不一样吧。
不过我更在意第一点，怎么都想不明白啊

白羊座

1、你应该有基本的PE常识，知道什么能运行什么只能作为特征来做判断(估计李铁军自己也有，但是……嗯嗯）
2、绝对不会有人告诉你，哪怕你被邀请参观
3、木马忙着过360，对小众金山不感兴趣，所以金山自然免疫了所有病毒结束它的方法

prince_zhong

此云非彼云  看不见摸不着
就像皇帝的新装

镜湖

回复 3# 皇柝 的帖子
中立地说：谁都无法给你满意的答案

   

virusman

“云”用其它杀软作为鉴定器，不用分析了

MagicFuzzX

犀利哥啊
对于第一个问题，某些人会告诉你，金山会有其他渠道获得所需的dll。
那么如果本身就是一个dll呢或者一个驱动呢？