关于360杀毒2.0版QVM高启发

显示全部楼层 · 发表于 2011-1-12 17:51:15

本帖最后由 derrick_goi 于 2011-1-12 18:02 编辑

http://forum.darkst.com/thread-70513-1-1.html
QVM人工智能引擎　

　QVM人工智能引擎Qihoo Virtual Machine(即奇虎虚拟机)，是360完全自主研发的第三代引擎（具有中国的自主知识产权的引擎）。于2010年11月12日推出，现在集和在360杀毒2.0测试版中。它采用人工智能算法，具备“自学习、自进化”能力，无需频繁升级特征库，就能免疫90%以上的加壳和变种病毒，不但查杀能力遥遥领先，而且从根本上攻克了前两代杀毒引擎“不升级病毒库就杀不了新病毒”的技术难题，在全球范围内属于首创。　　简单的说--360的人工智能引擎就是在海量病毒样本数据中归纳出一套智能算法，自己来发现和学习病毒变化规律。它无需频繁更新特征库、无需分析病毒静态特征、无需分析病毒行为，但是病毒检出率却远远超过了第一、二代引擎的总和，而且查杀速度比传统引擎至少快一倍。　　“四核”360杀毒的优势在于组合了多种安全技术，包括客户端和云安全的结合、自主创新和国外杀毒技术的‘中西医’结合、特征码识别和人工智能算法的结合、hips（主动防御技术）和四引擎查杀的防杀结合，等等。

在我做DRAT远控的360免杀中，其它三个扫描引擎都可以通过，但是唯独QVM高启发过不去

我查了一下网上关于过QVM高启发扫描的办法
1.加猛壳、生壳、变异壳通过扫描
2.破坏指针（方法并不太好用）
3.添加反启发代码，使之异常等或类似于花指令之类的代码
4.前段在卡饭爆出QVM的一个BUG，在文件末尾最后一个00字节处修改为11，使QVM认为PE损坏的一个办法，现在恐怕也已经失效了

搞得现在有特征码免杀十分困难（对于我等小菜来说）
唯一的出路恐怕就是源码或无特征免杀
（个人意见……我技术很菜）

由于QVM采用了人工智能算法，跟一般杀软所说的启发式扫描有比较大的出入，导致了现在许多免杀的方法都已经失效，普通的杀软它们的启发式扫描无非是某些特定的PE识别算法（如处理过的PE文件头、入口点、API调用等），而对于QVM，如果按照人工智能，那么QVM是处于一个不断积累、不断学习的过程，查杀效果和查杀速度都快于以往的杀软，而且误杀率还很低（一些下载软件的误杀率就比较高，代码可能比较类似）
PS：网上对与360这个QVM是否真的为人工智能保持怀疑，在这里我们先同意360厂商的观点

小菜我阅读了某位牛人写的《谈谈我对QVM引擎的理解》

http://bbs.kafan.cn/thread-867712-1-1.html
关于作者写的
这类技术有明显的优点：
1、只要算法得当，完全可以自我学习，减少的人力成本。
2、对病毒的变形，加密，加壳，具有良好的效果
3、病毒编写者完全不知道你的算法是如何去区分病毒的，定位特征也就无从谈起了
也可以看出，明显的缺点：
1、对算法，数学功底要求高，如果算法不行，效果大打折扣
2、对和正常文件特征较近的流氓软件，不易区分。
3、要求具备海量的病毒和白文件库，以供算法学习。若数量过少，则效果大打折扣。

菜菜的我看完后就一个感觉恐怕以后免杀会更难了，至于免杀成功的例子我是没有了，我写这个是给大家科普一下，而且QVM特征码的定位也让我们头疼，网上有人说没有特征码，（我不知道真假~）但是有时却能定位出来，而且QVM出现后，杀软查杀定位的干扰码也变多了，许多工具都不怎么好使了，而且顺问一句，好像360在本地还自带一个本地云？

以上就是我个人对QVM的理解和资料汇总，第一次写不足之处请大家敬请原谅，如果有大牛愿意指导感激不尽，另外任何愿意讨论免杀的朋友也欢迎留言~

显示全部楼层 · 发表于 2011-1-12 17:57:45

飘过~~~~~貌似不错

显示全部楼层 · 发表于 2011-1-12 17:59:37

本帖最后由 aahhh 于 2011-1-12 18:03 编辑

红字部分，真真假假。
绿字部分，第二条其实最好用。破坏指针后，QVM特征就取飞了。。。

引用帖子地址也搞错了，J大侠内牛满面。。。

显示全部楼层 · 发表于 2011-1-12 18:01:35

回复 3楼 aahhh 的帖子

呵呵，我都还没注意到，我就帮他改下

显示全部楼层 · 发表于 2011-1-12 18:02:48

人工智能了怎么还叫高启发？红伞当初是100%，微点当初是100%，卡巴当初是100%，免杀总是等新技术的产品普及了才出来的，慢慢的等

显示全部楼层 · 发表于 2011-1-12 18:04:05

知微发表于 2011-1-12 18:02
人工智能了怎么还叫高启发？红伞当初是100%，微点当初是100%，卡巴当初是100%，免杀总是等新技术的产品普及 ...

说明百度百科不能全信

显示全部楼层 · 发表于 2011-1-12 18:16:14

回复 4楼 derrick_goi 的帖子

其实也没引用错，那个帖子里有zdolo对qvm的解释

显示全部楼层 · 发表于 2011-1-12 18:16:52

本帖最后由 √×√×√√× 于 2011-1-12 18:19 编辑

derrick_goi 发表于 2011-1-12 18:01
回复 3楼 aahhh 的帖子

呵呵，我都还没注意到，我就帮他改下

不用在意某人，就是来捣乱的。指针破坏后的chart依旧不变，QVM算法根本不会如此脆弱，而且还得保证破坏后它的样本能运行的起来才行~NSIS错误可不等人

显示全部楼层 · 发表于 2011-1-12 18:19:08

本帖最后由 aahhh 于 2011-1-12 18:19 编辑

破坏指针是目前QVM重点需要解决的东西，某人居然大言不惭说没问题。其实我不想揭开太多。

支持工程师确实很闲~~~

显示全部楼层 · 发表于 2011-1-12 18:21:47

启发说到底也是对程序行为的分析，dolo的解释是，qvm的启发算法更加先进，和其他的启发有很大区别

那么到底区别是什么呢？难道qvm的启发分析比其他的更加详细，算法也更加优秀？

我们也只有看效果了

[转帖] 关于360杀毒2.0版QVM高启发