关于360的几个不得不说的真相（2011.8.5新增第7条:360一秒云鉴定的实现原理）

fzq198776

前言：卡饭里的喷子和“卡饭试的高手”实在太多了，偶都看不下去，所以做出了如下科普：

第一：关于360的文件名查杀：

案例：某位童鞋将一个txt文档改名成了txplatform.exe，然后发现360卫士或者360杀毒报发现“可疑木马”
解释：我们来看看360的判断逻辑：首先360杀毒（或者卫士）会通过特征码和QVM分析此文件并未发现异常，但现在外面的一些高手做免杀又厉害，所以不能说我扫描不出这个文件就一定不是木马。而txplatform.exe 本来只可能是QQ里的一个程序，可是你的这个程序和他的名字一样，但是却又不是和QQ里的那个程序一样的功能，在常规引擎未分析出异常的情况下，他当然有理由怀疑这可能是由黑客伪装成的木马文件（他报毒的方式也体现了这一点），这其实是一种负责任的做法。

其实你想验证他是不是纯文件名查杀很简单，那就是你去样本区下个360可杀的病毒，然后随机更改文件名，再在网上下个更改MD5值的工具改掉病毒的MD5值 然后看360杀不杀，再或者是你把QQ的主程序改成txplatform.exe然后看360杀不杀 就可以验证了

所以说文件名识别 只是360在最后一步的一种手段

第二：关于360云的判断逻辑：
360 云 首先是依据 MD5的黑白名单，在白名单里就直接报安全，在黑名单就直接爆出具体病毒名称，如果都不在黑白名单里，那么则看他是不是伪装成了一些常见的应用程序（具体见第一条的分析），如果都没有，那么就是云端的 QVM完全版发威的时候了。不要觉得360的云里面用了MD5值和文件名就不是好东西，你要知道凭借360的装机量，要完整迅速并正确的收集到这些信息并不是很难。。。


第三：关于说 360杀毒 2.0 版中的 QVM杀毒引擎 就是本地黑白名单库：

关于这一点我是觉得最好笑的，现在的软件和病毒这么多，少说也有几亿种了吧？几亿条名单的大小会只有几十M？？

PS：论坛上的杀软扫描测试区现在每天都在做360杀毒的测评，并且有单独测试QVM的，QVM作为 一个光秃秃的且不含任何病毒库的纯启发式分析引擎，其断网查杀率（说明并不依赖 云）比百锐都高，360安全卫士的主动防御也在360区同步测试中，几乎每天100%的拦截率



第四：关于QVM的人工智能体现在哪里

根据QVM的作者 wdolo大牛所说，QVM之所以能够被称之为人工智能是因为它能够自我学习判定规则（这里妄自猜测下，应该就是学习新的启发式分析代码的方法以判断是不是病毒），但是360杀毒本地集成的只是QVM的精简版，是不具备学习功能的，毕竟资源的占用率是一个必须要考虑的问题，而云端服务器里的QVM才是完全版，完全版具备有学习新的分析代码方式的能力，而其学习的样本主要来源则来自于云端对未知程序或病毒的分析（相见第二条分析），而每隔一段时间云端的QVM就会把学好的“分析方法”下发到客户端

针对QVM的详细科普：
谈谈我对QVM引擎的理解（重编辑版）

第五：关于360卫士的主动防御为何必须联网

根据MJ童鞋的连喷带骂的描述，可以作出如下总结：当你运行了一个360卫士无法判定是安全还是危险的程序时（判定方法详见第二条分析），那么360会首先收集这个程序在运行过程中的所有动作并记录下来，然后将进程挂起，并将这些记录好的动作上传到云端服务器去分析，由云端的规则分析器判定这个程序是好还是坏，而这个过程上传和下载的数据量最多几KB，在网速好的情况下几乎感觉不到，所以 MJ 童鞋才一直强调360是 “云主防”，不过说实话，联网后360的主防的确很厉害，有兴趣的童鞋可以在虚拟机中进性测试，基本上都能拦截

那为什么360不把HIPS的鉴定规则放到本地呢？
原因很简单，那就是为了避免误报！首先360的云端肯定要有白名单，原因很简单，360是单步HIPS，也就是程序的每一步动作都会提醒用户，但是360面对的是上亿用户，这其中大部分是小白，于是360在云端建立了海量的白名单库，凡是在白名单内的的程序，基本上都不报警，大部分动作都自动放行，而在断网状况下360不是没有能力进行报警，毕竟把规则放到本地并不是难事，但问题就在于误报，因为考虑到硬盘和内存的占用，360不可能把云端的海量白名单放到本地，而频繁的提醒又会造成小白的厌烦从而卸载，所以此时360选择了宁可不报警，也不可“误报”

第六：为何360杀毒的监控反应如此之“迟缓”？

相应有不少童鞋已经发现了，当你解压病毒后，360杀毒大概要过五六秒才会弹出报警窗，于是就有很多童鞋说360杀毒监控不灵敏之类的云云，但事实真是如此吗？大家可以做这样一个实验，开启360杀毒监控的前提下，解压一个已入库的病毒，然后在360杀毒弹窗报警前，立刻双击此病毒，会发现windows提示你没有权限运行XX，这说明360杀毒在弹窗之前就早已监控到并加以限制，可为什么监控到了却不立刻弹窗报警呢？据官人所说，这种“延迟弹窗”是故意这样做的，因为这样做可以有效的降低对CPU的占用。所以360杀毒监控不灵敏，只是浮于表象的误传而已

第七：关于1秒云鉴定的原理：
新版的360新增了“1秒云鉴定”的技术，乱喷者随处可见，遂增加了这一条
注：阅读以下内容前，请先移步下面链接所示的帖子阅读金山微特征的数学模型（任何算法其实都是数学模型，搞算法的人可以不懂编程，但是数学一定要牛B！）：
金山微特征的原型fuzzy hash(模糊哈希)算法

以下内容，摘自360杀毒研发小组的科普贴：

一秒云鉴定不是要上传文件才能鉴定，这也是与传统的99秒鉴定的区别

　　“一秒云鉴定”的实现，得益于360安全中心最新的QVM模糊向量鉴定技术。该技术提取文件的模糊向量信息发送到云服务器进行运算鉴定，相比于之前基于文件MD5指纹的鉴定方法，鉴定速度和鉴定广谱性更强，尤其对于变形文件及超大文件，其鉴定效率比MD5指纹鉴定有了数量级的提升。

　　由于模糊向量鉴定只需提取文件中微小尺寸的信息点用于鉴定，提取的速度和与云服务器的通讯量都大大减小，因此可以实现1秒级的鉴定响应。

　　基于MD5指纹的云鉴定，文件一个字节改变，都会导致其MD5指纹变化，对于鉴定引擎来说，就相当于一个新文件，需要上传新文件重新进行分析鉴定。对于变形、加壳文件，其鉴定效率并不优秀。而采用模糊向量鉴定技术后，文件的变形、加壳对于鉴定引擎基本失效，因此只要是同一家族、类型的文件，无论其如何变形，对于鉴定引擎而言都可以根据其信息点进行判定，而不需要上传文件的每一个变种。

　　QVM模糊向量鉴定技术与所谓“微特征”技术也有本质的区别。微特征本质上还是基于Hash（类似MD5）的算法，只是对Hash算法做了选块处理，以避免修改一个字节就改变微特征的问题，同时提高了计算速度。但是，由于微特征是一个Hash值的固有属性，其信息丢失严重，无法通过微特征去发掘数据内部规律，因此只能用作数据指纹比对。也就是说，微特征是无法通过自身来鉴定黑白的，而是将文件的微特征与服务器上由其他鉴定器提取的恶意样本微特征进行比对。

　　因此，微特征不是一种识别手段，而是一种标注手段。对于新的样本，由于服务器上并不存在对应的微特征，仍需要上传文件由鉴定器进行鉴定并抽取新的微特征。而QVM模糊向量鉴定技术是一种识别手段，可以直接运算信息点鉴定文件黑白，两者性质完全不同。

　　类似生物DNA鉴定技术，文件模糊向量鉴定技术也可能会存在一定比例的误判。虽然这个比例非常低，但是为了防止误判，并对文件做更精准的全面分析，360安全中心在用户许可的情况下，仍然会上传一部分云服务器中不存在的文件样本。
PS：我这里对云主防的理解还有一点小小的偏差，具体可补充阅读10楼 leisong 的回复

晚风中的泪

fzq198776 发表于 2010-11-25 13:13
第一：关于360的文件名查杀：

案例：某位童鞋将一个txt文档改名成了txplatform.exe，然后发现360卫士或者 ...

说的比较清楚，卡饭某些“高手”真该汗颜

pan5639

精辟

找不到新用户名

是真相，标题写错字了

leisong

支持
其实喷子中的部分人是真的什么都不懂，跟着乱喊乱叫
部分人是懂装不懂，为反而反，甚至能说出RP杀毒论来，或者将厂商间的口水选择性的只抨击360，哪怕是别家先挑起的，甚至以10倍于厂商的口水反所谓的口水，所以即便再详细的科普还是不符合“道德家”的口味。

aimt

学习了、、、

wlx81702

针对性的回答了焦点的问题，支持一个。。。。。。
等待QVM的成熟与正式推出。。。。

fzq198776

找不到新用户名 发表于 2010-11-25 13:27
是真相，标题写错字了

汗了，我最近刚刚试用QQ拼音，他的第一个候选结果就是“真像”。。。

nxc

分析的不错，赞一个！
最后云主防那个，上传动作和文件信息是单步的吧？因为卫士都是单步拦截嘛。我也是猜的！

leisong

回复 9楼 nxc 的帖子

正是如此，最后一段略有歧义，卫士是单步拦截的，这样能保证每个有危害的动作都能够有效拦截。只要触发本地主防的动作一律云查询，在黑名单直接报毒，在白名单直接放行，未知的直接挂起弹框
这样虽然拦截弹框有时候较别的智能拦截方式略多（现在已经经过改进好多了，最初的主防弹框那个恐怖），但保证了有危害的动作都能有效拦截。