乱猜毒霸蓝芯II和360的QVM引擎

显示全部楼层 · 发表于 2011-1-30 23:37:04

本帖最后由真诚走天涯于 2011-1-30 23:37 编辑

而如今很多杀毒软件宣传推广中都是以此作为卖点之一，比如今天我们讨论的金山毒霸和360杀毒，它们目前的最新版本是毒霸 2011 sp6 和360杀毒2.0正式版，这两款产品虽然是冤家，不过也有相同之处，比如都采用了流行的云安全，被认为落后的病毒库查杀等等，当然双方不同的卖点就是各自研发的新引擎了，在毒霸中称为蓝芯II，360杀毒则叫做QVM。
虽说名字不同，不过这两个看似截然不同的杀毒引擎都有个共同点：弥补传统杀毒技术不足，更加高效的防杀未知病毒，这个特点对于很多被病毒困扰或者对安全重视的用户来说很有噱头的，而毒霸和360是如何做的呢？

毒霸蓝芯II：
独有的微特征识别（启发式查杀2.0）, 比启发式查杀更加聪明的智能查杀技术。根据金山云安全所收集分析的大量样本，及金山对于病毒产业链的长期追踪了解，使杀毒软件仅用很微小的特征，既可识别大量病毒。

360 QVM：
人工智能引擎，通过海量样本数据库归纳总结出一套智能算法，由人工智能引擎模拟病毒分析师，它所拥有的运算能力又远远超过人力所及。让360杀毒软件可以像病毒分析师一样思考。

从各自的宣传来看都是很强的杀毒技术，它们的出现也是因为传统特征码识别技术的落后，杀毒软件在过去的固定模式是，黑客制作病毒，杀毒厂商捕获样本，病毒分析师提取特征码。然后放入到杀毒软件病毒库中，用户在下载升级病毒库一次查杀更多病毒，否则杀软将是一摆设。特征码技术似乎就是追捕通缉犯，必须有犯人的特征才能去识别，没有烦人相貌特征的就一定是好人。这样就形成了病毒不断变种、杀毒软件紧跟着升级特征码的循环。
而蓝芯II和QVM的诞生目的是不联网、不更新病毒库就能够查杀大多数新病毒。这不由让我想到了主动防御和启发分析技术，以主动防御闻名的微点似乎是截然相反，微点主动防御软件的版本号从很久前就一直是 1.2版本，在众多杀软纷纷推出2010，2011版的时候任然保持不变，我想主要因为微点的技术功能比较单一，主要使用主动防御技术拦截所有恶意行为。这似乎更像是一个私人保镖，如果没人来侵犯做出危害行为那么微点也不会去搭理他。

这么看来，蓝芯II和QVM就和主动防御不太一样，因为它们识别未知病毒并不等待病毒发作再去拦截，而是将其扼杀在摇篮里，这样我又不禁想到了火了很久的启发式分析，启发式分析无需程序启动而直接分析其特征行为，更像是警察，看你身上携带了刀棍枪支而怀疑你，这样是可以避免特征码的那种死板，但是又带来了误杀的烦恼，虽然现在成熟的启发式已经将误报降到最低

不过蓝芯II和QVM的官方宣传里直接号称比启发式更高级，这又让我想到了虚拟机杀毒技术，杀毒软件模拟出一个电脑系统，将程序放进去，如果是病毒则以为进入了正常系统而开始肆意破坏，所以虚拟机技术就相当于钓鱼执法了，挖个陷阱等着你，如果是好人就不会进来，坏人自然就暴露原形
由于引擎技术的查杀方式属于厂商的机密，自然没有公布具体运作原理，所以我们仅仅是从字面意义上猜测了一下，还是觉得蓝芯II和QVM应该是一种虚拟机技术了，或者是更加高级的启发式，因为它们共同点就是无需升级无需联网而识别未知病毒。而目前来说识别未知病毒的最好方法莫过于分析程序的行为特征，看看其是否有恶意行为

按说有这类技术的杀毒软件已经非常多了，平时经常关注一些杀软的测试和样本检测，总的感觉来说毒霸和360的引擎虽然看着很好，在测试中结果也不是最差，但也没有好到让人感觉突出之处。

我想什么人工智能，还是机器智能，蓝芯还是红芯的，其实都是建立在分析程序行为特征基础之上。其实就是启发分析和虚拟机技术的再包装而已，也是厂商的一种推广手段而已

显示全部楼层 · 发表于 2011-1-30 23:41:35

现在有专门对付“云”的病毒···

本地还是很重要的

显示全部楼层 · 发表于 2011-1-30 23:48:36

本地的病毒随机生产一些垃圾数据，达到上百MB甚至上GB呢

显示全部楼层 · 发表于 2011-1-30 23:49:42

貌似说的没啥道理。360的QVM是静态启发，至于传说中的智能学习部分应该是在服务器端的。金山的蓝芯2是微特征扫描，金山本身也做过启发，但是由于高查杀的情况下误报率大于1%，而误报率达到0.2%时查杀率又降到了70%，所以就放弃了。

显示全部楼层 · 发表于 2011-1-30 23:52:37

好一个扯淡贴，说俩玩意一个都没说对，佩服佩服[:26:]

显示全部楼层 · 发表于 2011-1-31 00:00:49

金山的蓝芯似乎没什么作用吧。
理由是以卡饭每日的样本只有一半的成绩、
靠云才金山杀毒的成绩撑上去。如果没云。金山的引擎不知道叫什么了？

显示全部楼层 · 发表于 2011-1-31 00:02:25

本帖最后由 Tron 于 2011-1-31 00:02 编辑

什么蓝芯II，就是个特征描述算法，比MD5强那么一点，自己是没有杀毒能力的，而且极易免杀

QVM自己学习自己杀毒，又很难免杀，两者完全无法相比

显示全部楼层 · 发表于 2011-1-31 00:06:14

看帖时一直以为自己以前对蓝芯II和QVM理解错误。
看到5楼，我才放下心。。。

显示全部楼层 · 发表于 2011-1-31 00:24:10

回复 7楼 Tron 的帖子

您好，不知道QVM是不是模仿人体自动免疫系统所开发的，所过不是，那很可能是你们所说的那样，如果是模仿人体免疫系统，那莫，我也可以明确的告诉你，你也是在为QVM在吹牛（我不是说杀毒能力，而是说方法）因为人体免疫系统不是那么好模仿的，等你们好好的问问免疫学医生就知道了，如果不是模仿人体免疫系统，那就当我是在放P，好了

显示全部楼层 · 发表于 2011-1-31 00:48:51

郑伟用户发表于 2011-1-31 00:24
回复 7楼 Tron 的帖子

您好，不知道QVM是不是模仿人体自动免疫系统所开发的，所过不是，那很可能是你们所说 ...

有一种人工智能算法叫人工免疫算法，中国人工智能学会就有人工免疫系统专业委员会，只不过现在和自然计算专委合并了罢了。人们研究人工免疫、神经网络并不是仿其行，而是要仿其神。免疫应答是很复杂，但不是没有规律可循的。

[分享] 乱猜毒霸蓝芯II和360的QVM引擎

本帖子中包含更多资源

评分