360云扫描可能存在的逻辑问题-----猜测错误

悟心之道

原则上支持楼主看法

a389005105

360云端还有其它引擎？这真是头一次听说啊，不知道其它厂商听到了做何感想

tonylee

360目前这种方式不错，只要白名单能跟上。

jefffire

a389005105 发表于 2010-12-13 16:19
360云端还有其它引擎？这真是头一次听说啊，不知道其它厂商听到了做何感想

呵呵~~~目前各大云端都有多引擎作为鉴定步骤

猪头大队

果然，和我的猜想一致，姐夫辛苦了

whthkf_707

jefffire 发表于 2010-12-11 11:50
上报小红伞后，确定是误报：
Thank you for your submission. Below you can see the current status ...

我认为是这样的，刚开始有部分杀毒引擎报，部分不报，经过360人工分析之后，发现无毒，所以就入白名单了，入了白名单之后就不会再云端扫描了。你修改MD5之后，云端发现不在MD5白名单里，然后扫描，就再次报毒了。
==============================
我有一个疑问，把一个病毒的MD5修改成白名单MD5,这样可以欺骗到360的云端时期跳过扫描吗？

jefffire

whthkf_707 发表于 2010-12-13 17:33
我认为是这样的，刚开始有部分杀毒引擎报，部分不报，经过360人工分析之后，发现无毒，所以就入白名单了， ...

      如果MD5是这么容易伪造的，那就天下大乱了。
      MD5是把一个任意长度的字节串加密成一个固定长度的大整数，也就是说从无限集合向有限集合的映射，其中必然要丢失信息，因此想通过逆运算从MD5值得知原文是不可能的。

      然后我说说，MD5破解。假如，你已经知道了一串MD5值，比如：字符串“123456”计算得出的MD5值“e10adc3949ba59abbe56e057f20f883e” 。 那么你如何知道原字符串“123456”呢？？因为MD5算法是不可逆的，你只能用暴力法(穷举法)来破解，就是列举所有可能的字母和数字的排列组合，然后一一进行MD5运算来验证运算结果是否为“e10adc3949ba59abbe56e057f20f883e”。这样的排列组合的数量无穷多，你永远也看不到结果了。因此，有效的办法就是猜解法，即对可能的常见的密码组合进行尝试，比如“123456”这种弱口令，瞬间就可以被猜解到。

   最后说说MD5的“碰撞”。根据密码学上定义，如果内容不同的明文，通过散列算法得出的结果（密码学称为信息摘要）相同，就称为发生了“碰撞”。因为MD5值可以由任意长度的字符计算出来，所以可以把一篇文章或者一个软件的所有字节进行MD5运算得出一个数值，如果这篇文章或软件的数据改动了，那么再计算出的MD5值也会产生变化，这种方法常常用作数字签名校验。因为明文的长度可以大于MD5值的长度，所以可能会有多个明文具有相同的MD5值，如果你找到了两个相同MD5值的明文，那么你就是找到了MD5的“碰撞”。


     散列算法的碰撞分为两种，强无碰撞和弱无碰撞。还是以前面那个密码为例：假如你已知“e10adc3949ba59abbe56e057f20f883e”这个MD5值，然后找出了一个单词碰巧也能计算出和“123456”相同的MD5值，那么你就找到了MD5的“弱无碰撞”，其实这就意味着你已经破解了MD5。 如果不给你指定的MD5值，让你随便去找任意两个相同MD5值的明文，即找“强无碰撞”，显然要相对容易些了，但对于好的散列算法来说，做到这一点也很不容易了。


     强无碰撞已经被中国的王小云老师给搞定了，她提出的算法可以在短时间内找到碰撞，在世界上引起了轰动，现在的电脑大约一两个小时就可以找到一对碰撞。遗憾的是，找到强无碰撞在实际破解中没有什么真正的用途，所以现在MD5仍然是很安全的。

     以上内容部分引用自豆瓣

whthkf_707

jefffire 发表于 2010-12-13 17:52
如果MD5是这么容易伪造的，那就天下大乱了。
      MD5是把一个任意长度的字节串加密成一个固定长 ...

谢谢科普。那MD5修改工具是什么原理？

sasgzt

难道360没有人工分析一下么？
多引擎说没毒就报安全？

jefffire

sasgzt 发表于 2010-12-13 20:34
难道360没有人工分析一下么？
多引擎说没毒就报安全？

也不是这样的，还有QVM呢。只有这两个都过了才不报。人工分析是不可能的，每天收集到的各类文件数目数千万。只有通过手工上报的，还有被机器分析为可疑度比较高的才会人工分析。