360云扫描可能存在的逻辑问题-----猜测错误

jefffire

     上报小红伞后，确定是误报：

Thank you for your submission. Below you can see the current status of the uploaded files.

A listing of files alongside their results can be found below:

File ID	Filename	Size (Byte)	Result
25858185	websafe.dll	113 KB	FALSE POSITIVE

Please find a detailed report concerning each individual sample below:

Filename	Result
websafe.dll	FALSE POSITIVE

The file 'websafe.dll' has been determined to be 'FALSE POSITIVE'. In particular this means that this file is not malicious but a false alarm.Detection is removed from our virus definition file (VDF) with the version: 7.10.11.1.



=========================分隔线====================================
    今天看到一贴http://bbs.kafan.cn/thread-863649-1-1.html，贴中所述发现有样本360云扫描未查出，这本来并不稀奇。不过，让我感到古怪的是，VT上在2010-04-18就已经第一次出现该样本了，而到目前为止VT各引擎报毒概率已经达到73.8%（31/42）。众所周知，360云端鉴定是具备多引擎的，据我的不完全统计，目前应该包含有卡巴，红伞，nod32，,avast，rising，这几个引擎。而根据VT扫描结果显示，avast是报毒了的，并命名为win32:Malware-gen 。


     这就蹊跷了，为何avast报毒但360云没有报毒呢？？于是我做了一个小小的试验。我把原样本做了些许改动，去掉了程序末尾一些0，这样样本的MD5就发生了变化。得到的改动后的样本，使用360卫士扫描，果然上传后杀出来了，命名和avast一致。
如图：




    如何解释上述现象,我做了如下推测。以该样本为例，在样本第一次收集到云端时，该样本很新，因此多引擎均报告未发现病毒。（至于QVM能否杀出，希望好心人能测试一下，以完善我的推测）这样，在当时杀不出来就不奇怪了。而随着时间推移，病毒库的更新，开始有引擎能够杀出来了。但不幸的是，由于该样本已经被上传过，因此云端不认为这是一个新样本，故而一直漏过至今。可见，360云端缺少回溯扫描机制，即对已经收集过的样本再次判定再次扫描的机制。

蝉鸣时

前排围观，期待改进。

bbs2811125

这个是重大发现

comicwm

回溯问题我以前问过，好像是有的

8可能吧。。。要真没这个工序那第一次上传杀不出来就是永远也杀不出来了，而且我在测试使用的时候发现有些东西就算没有报毒，依然会重复上传

尝微听几

云端用其他的杀软扫描？照你的说法一开始过了云扫描的以后就是永远过云扫描的啊

jefffire

单身熟男 发表于 2010-12-11 12:01
8可能吧。。。要真没这个工序那第一次上传杀不出来就是永远也杀不出来了，而且我在测试使用的时候发现有些东 ...

那这个问题，如何解释呢？？

jefffire

尝微听几 发表于 2010-12-11 12:01
云端用其他的杀软扫描？照你的说法一开始过了云扫描的以后就是永远过云扫描的啊

也有可能是，回溯机制有一个时限，太老的估计就不扫了。

comicwm

回复 8楼 jefffire 的帖子

这个也有可能是误加白了，之前有过这个情况~~~

jefffire

comicwm 发表于 2010-12-11 12:06
回复 8楼 jefffire 的帖子

这个也有可能是误加白了，之前有过这个情况~~~

dolo不在，没法证实。等他来了问问吧