18号更新：360SD2.0在客户端有云库，360SD2.0有4套杀毒方案。

显示全部楼层 · 发表于 2010-12-14 19:35:40

本帖最后由 hudeg632 于 2010-12-18 22:58 编辑

在断网测试样本时，有时会出现云报样本有病毒。当时就奇了怪了，断网了还有云，云是在天上的，怎么跑地下来了。经过这几天的实验，的的确确360SD在本地有一小片云存在。

下面我用三个图来说明：（注意红线部分）
图一，去掉了BD和QVM并且断网，这时云报10号样本包23号为“行为和木马比较相似的程序”。
图二，去掉BD和QVM，但联网，这时云报10样本号包23号为“木马(Win32/Malwar.gen)”。
图三，去掉云(钩)和QVM断网，这时BD报10号样本包的23号为“可疑木马（ Trojan.Generic.4478692）”
三个图说明360杀毒对同一个文件有三种报法，说明有三套杀毒机制，光是云就有两种。充分说明360杀毒在本地有一小片云。
16号更新
经过努力的寻找，在jeff大大的帮助下，最终确定这片云就是libspyerp.dat
图四：去掉libspyerp.dat，去掉BD库，断网，也就是说在纯QVM下，这时纯QVM报12号样本包的23号为"恶意程序（Malware.QVM07.Gen）",与上面三个图对这个样本报法又不同了。
从图四进一步说明360SD2.0在本地有云库（不同于BD库的本地引擎），就是那几个libxxxx.dat文件。

另，从这四个图中，你可以看出360SD2.0在正常情况下杀毒的使用顺序：服务端云-->客户端云--> BD库-->QVM.
从中你可以看出测试QVM查杀率的正确方法。
这个问题10号发现断网云开始，一直困惑着我，历时一周多，现在终于有了答案。心理很高兴。

17号更新，leisong大大在测试VC52样本包时也发现了此现象，并得到他的进一步证实。感谢。

18号更新，做了个GIF，反映了删与不删libspyerp.dat这个文件，360SD报毒的两种不同情况。

最后，感谢所有关心这个问题的朋友们。
图一

图二

图三

图四

显示全部楼层 · 发表于 2010-12-14 19:38:45

云缓存

显示全部楼层 · 发表于 2010-12-14 19:43:46

414447992 发表于 2010-12-14 19:38
云缓存

云缓存有具体的文件吗？谢谢

显示全部楼层 · 发表于 2010-12-14 19:49:00

对于图一，估计是360自己的启发报的，360自己有个小启发

显示全部楼层 · 发表于 2010-12-14 19:55:40

有这个现象，但很多样本才能碰到一个

13号精睿样本包，总数100个，精简安装包，无BD库，断网QVM查杀83个，断网有一个不是QVM，显示为云：行为和木马比较相似的程序
也不像是启发报的

因为不是普遍的，不想深究

日志如下
扫描结果
======================
病毒扫描结果
----------------------
D:\New_2010-12-13\20101213(100).vc52 行为和木马比较相似的程序已删除
D:\New_2010-12-13\20101213(10).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(11).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(12).vc52 恶意程序(Malware.QVM19.Gen) 已删除
D:\New_2010-12-13\20101213(13).vc52 恶意程序(Malware.QVM19.Gen) 已删除
D:\New_2010-12-13\20101213(14).vc52 恶意程序(Malware.QVM19.Gen) 已删除
D:\New_2010-12-13\20101213(15).vc52 恶意程序(Malware.QVM07.Gen) 已删除
D:\New_2010-12-13\20101213(16).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(17).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(18).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(19).vc52 恶意程序(Malware.QVM08.Gen) 已删除
D:\New_2010-12-13\20101213(2).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(20).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(21).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(22).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(23).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(24).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(25).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(26).vc52 恶意程序(Malware.QVM08.Gen) 已删除
D:\New_2010-12-13\20101213(27).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(28).vc52 恶意程序(Malware.QVM08.Gen) 已删除
D:\New_2010-12-13\20101213(3).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(33).vc52 恶意程序(Malware.QVM11.Gen) 已删除
D:\New_2010-12-13\20101213(34).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(35).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(36).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(37).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(38).vc52 恶意程序(Malware.QVM11.Gen) 已删除
D:\New_2010-12-13\20101213(4).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(40).vc52 恶意程序(Malware.QVM11.Gen) 已删除
D:\New_2010-12-13\20101213(43).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(44).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(46).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(47).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(49).vc52 恶意程序(Malware.QVM05.Gen) 已删除
D:\New_2010-12-13\20101213(5).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(50).vc52 恶意程序(Malware.QVM08.Gen) 已删除
D:\New_2010-12-13\20101213(52).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(54).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(55).vc52 恶意程序(Malware.QVM11.Gen) 已删除
D:\New_2010-12-13\20101213(56).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(57).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(58).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(59).vc52 恶意程序(Malware.QVM08.Gen) 已删除
D:\New_2010-12-13\20101213(6).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(60).vc52 恶意程序(Malware.QVM11.Gen) 已删除
D:\New_2010-12-13\20101213(61).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(63).vc52 恶意程序(Malware.QVM07.Gen) 已删除
D:\New_2010-12-13\20101213(64).vc52 恶意程序(Malware.QVM11.Gen) 已删除
D:\New_2010-12-13\20101213(65).vc52 恶意程序(Malware.QVM11.Gen) 已删除
D:\New_2010-12-13\20101213(66).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(67).vc52 恶意程序(Malware.QVM19.Gen) 已删除
D:\New_2010-12-13\20101213(68).vc52 恶意程序(Malware.QVM19.Gen) 已删除
D:\New_2010-12-13\20101213(69).vc52 恶意程序(Malware.QVM19.Gen) 已删除
D:\New_2010-12-13\20101213(70).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(71).vc52 恶意程序(Malware.QVM11.Gen) 已删除
D:\New_2010-12-13\20101213(72).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(73).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(74).vc52 恶意程序(Malware.QVM08.Gen) 已删除
D:\New_2010-12-13\20101213(75).vc52 恶意程序(Malware.QVM06.Gen) 已删除
D:\New_2010-12-13\20101213(76).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(77).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(78).vc52 恶意程序(Malware.QVM11.Gen) 已删除
D:\New_2010-12-13\20101213(79).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(8).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(80).vc52 恶意程序(Malware.QVM13.Gen) 已删除
D:\New_2010-12-13\20101213(81).vc52 恶意程序(Malware.QVM08.Gen) 已删除
D:\New_2010-12-13\20101213(82).vc52 恶意程序(Malware.QVM08.Gen) 已删除
D:\New_2010-12-13\20101213(85).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(86).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(87).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(88).vc52 恶意程序(Malware.QVM19.Gen) 已删除
D:\New_2010-12-13\20101213(89).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(9).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(90).vc52 恶意程序(Malware.QVM19.Gen) 已删除
D:\New_2010-12-13\20101213(91).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(92).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(93).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(94).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(95).vc52 恶意程序(Malware.QVM19.Gen) 已删除
D:\New_2010-12-13\20101213(96).vc52 恶意程序(Malware.QVM11.Gen) 已删除
D:\New_2010-12-13\20101213(97).vc52 恶意程序(Malware.QVM13.Gen) 已删除
D:\New_2010-12-13\20101213(98).vc52 恶意程序(Malware.QVM20.Gen) 已删除
D:\New_2010-12-13\20101213(99).vc52 恶意程序(Malware.QVM11.Gen) 已删

显示全部楼层 · 发表于 2010-12-14 20:01:39

leisong 大大也发现了这种情况，到现在我也只发现了2个，不过感觉最好是把这两种区分开来，不能都用云来表示。

显示全部楼层 · 发表于 2010-12-14 20:06:35

本帖最后由 hudeg632 于 2010-12-14 20:07 编辑

KFaint 发表于 2010-12-14 19:49
对于图一，估计是360自己的启发报的，360自己有个小启发

“360自己有个小启发”，这样说算起来360SD就的5个引擎了。4+1＝5

显示全部楼层 · 发表于 2010-12-14 20:11:38

回复 7楼 hudeg632 的帖子

应该不至于，也许是类似云缓存，由云定时发送到客户端…

显示全部楼层 · 发表于 2010-12-14 20:45:57

不懂的人来学习了。。。

显示全部楼层 · 发表于 2010-12-14 20:58:49

今天的卡饭包的48号就断网云出来了，卸载迷你杀毒，重启，重新安装，扫描，还是云48号，重启后一直没联网。

由于一直装有360卫士，于是卸载卫士和杀毒，重启，再装迷你杀毒，扫描，终于48号不云了

确实有云在本地，而且可能是和卫士共用？？

[分享] 18号更新：360SD2.0在客户端有云库，360SD2.0有4套杀毒方案。

本帖子中包含更多资源

评分