360的云究竟是怎么认定病毒的？【实践得真知】【不是为了贬低什么，请自己注意】

zqmm100

在360区时讨论不了问题的

久远寺有珠

在卸载360前请看看有没有360的安全软件存在，如果有，那个插件是去不掉的

jinzijie

艾瑞的3亿360用户交给LZ那是死定了

k498506029

来自海底的冰 发表于 2010.10.19 22:05
回复 7楼 hopetobe 的帖子

...借助文件名~关键是对方改名又该如何？

当确定一个文件是病毒后就已经被放到病毒库了，你改名就没有用了。。你难道觉得人家是傻子？这么简单的问题都想不到？？

zhengxu_1985

大家这么较真干嘛，360又不是咱们家开的，好就用，不好就不用呗，很简单的道理，为这点事争论的脸红脖子粗的。。。。何必

来自海底的冰

回复 120楼 白羊座 的帖子

怎么没有意义？改个名字可以延长病毒使用时间~我做的实验仅仅改了个名称而已。
MD5只是我随口一说~
另~改进方法不是我们负责的~是Mj他们负责的~

Lgwu

来自海底的冰 发表于 2010.10.20 12:22
回复 102楼 Lgwu 的帖子

你自己卸载360卫士，从起，再用金山卫士查证插件，很简单的几步

对于问题，不用说我也会测试去。测试完毕一个，其它陆续奉上。
1.360卸载后，金山卫士仍检测到残留问题：
测试环境：
虚拟机：VMwareV5.5.2
金山卫士：2.0正式版
360卫士： v7.3.0.2002正式版
测试结果：360卫士卸载后重启机子，用金山卫士清理插件功能未检测到360相关信息。
测试备注：其实楼主应该用sreng之类的工具全面查看系统，或用RegSnap 快照工具对卸载前后进行对比更为准确。

PS：需要证据可跟帖，我会附上操作录像。

2.动网论坛直接修改MD5.asp改变算法问题：
测试环境：
系统：Windows.XP.Pro.With.Sp2.VOL简体中文MSDN 正版光盘版
IIS辅助开启工具：AspWebServer V1.0
动网系统：DVBBS 7.0 SP2
测试结果：对于论坛MD5算法修改，论坛是可以正常使用的。
测试备注：文件MD5你不可能像修改asp代码这样去修改MD5算法。所以不能划等号。

3.病毒修改文件名就可以过360云查杀问题：
测试环境：
系统：Windows.XP.Pro.With.Sp2.VOL简体中文MSDN 正版光盘版
病毒样本：CZ.EXE
测试结果：通过文件名修改，是无法过360云的。
测试备注：修改文件MD5不去测试，修改结果是可以知道的。肯定可以过360云。
测试操作：

Lgwu

帖子中楼主所阐释三个问题，都已经做测试。附在帖子内。
如有疑问，可直接跟帖。

lwzy2046

Lgwu 发表于 2010.10.20 14:10
帖子中楼主所阐释三个问题，都已经做测试。附在帖子内。
如有疑问，可直接跟帖。

技术流的老板真是给力啊...

jpzy

我想是不是可以这样理解！
首先，1扫是本地病毒库。这个毋庸置疑。本地扫完上传到云端。云端对上报的文件进行判断和分析。并且回传结果。回传的结果当然不是以特征码的方式，而是以文件名和MD5的方式。为什么不以特征码方式回传结果呢？！很好理解。因为杀毒的主引擎是BD的，特征码不可能单个单个的回传，也不可能随时的添加。上报文件的特征码将会在下一次的病毒库更新的时候被添加进360的毒库。
OK，这就能解释为什么本地修改完文件名，MD5以后的三扫被认为安全了。因为3扫的扫描对于本地引擎来说，依然是特征码未入库的样本。而对于云端来说，这个文件是一个“新”文件了，上次的回传结果不能用了。

LZ的这个测试不能证明360的云端识别病毒的技术。只能证明云端回传的结果是MD5的。这个结果想要改变，云引擎肯定要升级，回传结果由文件名和MD5改变为文件特征码。不过有无必要就不好说了！