360杀毒神经错乱大测试

zzirong

别人用的我的U盘，被病毒感染了，用360杀毒杀了一下，结果误报大大的，过了几分钟后，发现一些误报被解除了，实在吃惊，360的服务器解除误报居然这么快！！！！




然后我随便扫了几下，不扫不知道扫了吓一跳，发现360杀毒实在是神经错乱！！
且看我的简单测试，分别用BD引擎、bd+QVM、BD+QVM+云扫描同一批样本，样本一份解压缩状态，一份为压缩状态，发现360SD在扫描的时候，解压缩状态的样本居然和压缩后的样本报的不一样
注意一些细节：
1.某些样本在压缩包外不报毒，在压缩包内报毒
2.某些样本在压缩包内不报毒，在压缩包外报毒（事实是此扫描可以扫描压缩包内的文件，如果不能扫描压缩包内，那么将会一个也不报）




只用BD引擎，压缩包外

只用BD引擎，压缩包内




-----------------------分割线-----------------------


BD引擎+QVM，压缩包外
B
D引擎+QVM，压缩包内




-----------------------分割线-----------------------



BD+QVM+云，压缩包外

BD+QVM+云，压缩包内



[:348:] [:348:] [:348:] [:348:] [:348:] [:348:] [:348:] [:348:] [:348:] [:348:] [:348:] [:348:] [:348:] [:348:] [:348:] [:348:] [:348:]

官人解释在8楼

zyh6036

一点不奇怪，很多引擎不扫压缩包内
本地也有白名单缓存

zzirong

回复 2楼 zyh6036 的帖子

不奇怪？

不扫描压缩包内？

你仔细看我的测试：注意一些细节：
1.某些样本在压缩包外不报毒，在压缩外内报毒
2.某些样本在压缩包内不报毒，在压缩包外报毒（事实是此扫描可以扫描压缩包内的文件，如果不能扫描压缩包内，那么将会一个也不报）

xujian003

不会吧？不是说误报率为万分之一吗？

360sandbox

xujian003 发表于 2010-11-12 19:35
不会吧？不是说误报率为万分之一吗？

看了一下，QVM报出的不是误报。

其他几个误报是BD的

wdolo

回复 4楼 xujian003 的帖子

万分之一也没说不报吧，何况不见得误报

dl123100

QVM扫描的两个天琊 antirootkit的驱动 至少第一个危害不是很大吧 算是误报
adsl.exe被报倒是应该

360sandbox

zzirong 发表于 2010-11-12 19:13
回复 2楼 zyh6036 的帖子

不奇怪？

你的结果，整理一下来看，就知道压根没什么错乱：

(1). 只BD,BD不报 解出来的服务器备份恢复.exe

这个应该是BD的一个特性， 对压缩包中的文件加权更高，很多安全软件都有这样报包的特性，没什么奇怪

(2).BD + QVM报天琊

这是正常，天琊驱动有漏洞，一直是被报的目标
压缩包内就不报天琊了，说明QVM目前不解压扫描，这也没什么吧

(3).+云 后， 压缩包外少报了 ADSL.EXE，但是压缩包内还会报
这个可能是ADSL.EXE被云去误报了
但是压缩包内BD扫描是流的，没有走云白名单，这点我不是很清楚这里的逻辑，只是猜测。

你想怎样

怎么是误报 ?     那几个.EXE文件 , N多的杀软都会报 .   即使不是病毒也要经过杀软官方分析后才能解除.  

楼主标题耸动 ,  不知有多少喷子想利用这个标题帖子试图再次PK  ,   不过估计他们要失望了

360sandbox

dl123100 发表于 2010-11-12 19:45
QVM扫描的两个天琊 antirootkit的驱动 至少第一个危害不是很大吧 算是误报
adsl.exe被报倒是应该

第一个是说ch000001.sys这个？都能乱结束进程了，危害还不大啊。