【怎么免杀金山云查杀？讨论】【】

猪头无双

但是云端的处理方式还是未知的，所以大文件做到免杀云还是非常不容易。

样本区的大文件对此句话表示笑而不语，经我自己的手最少就上报金山5个垃圾数据堆积的大文件了，当时的金山卫士一点反应都没有，不是报安全就是报未知如果这几个文件不是因为有本地的其他杀软文件监控发现的话，我电脑早就中招了。

695580825

李白vs苏轼 发表于 2011-1-31 18:27
回复 17楼 ZJUER 的帖子

其实说这么多 他还是虚拟机 只是他存在着另一种说法叫虚拟环境

不管沙箱原理是为何，金山官方已经发言（金山沙箱不是虚拟机）试想官方肯定有他的考虑也可能是产品定位方面的原因吧

这些咱们没必要进行无谓的口水和辩驳了（因为我说的是金山沙箱不是虚拟机，这不是我说的是官方自己说的）

而你呢又非要说微软定义以及相关软件，这些你可以具体的去和金山官方技术员啊 工程师讨论一下

那样才会更了解金山沙箱的定义以及用处等相关信息。相信金山沙箱以后会更强大和完善的。

当然金山不是完美的，需要我们大家提意见发现问题来共同完善（世界上没有100%的安全软件）

让我们大家共同见证并且一起帮助金山提出更好的意见建议以及BUG，来共同完善毒霸，支持国产好软件

我笔记本用的是雨林木风linux操作系统【4.0已经改版不在做ubuntu修改工作】准备独立利用开源代码做系统。

如果雨林木风的linux操作系统集成的软件更全面一些以及更稳定的话，以后我会全面使用linux操作系统

linux操作系统也是很不错的，病毒少，资源占用很低等等，我又不怎么玩游戏...............

3D功能等等win 7有的雨林木风linux操作系统照样有 照样炫。

linux操作系统占用资源是很低的，而且病毒是很少的说。现在使用也不像以前了打命令~都集成了wine 模拟器

并且欢迎你使用评测

官方地址：http://www.ylmf.org/

有问题或建议都可以来论坛交流：http://bbs.ylmf.net

比如：Ylmf OS 学习园地   Ylmf OS 疑难交流   Ylmf OS 软件及应用

那里不是本来就有个【新立德安装管理器】

雨林木风版linux 集成的有【新立德安装管理器】可以直接使用无需命令。

具体可看这个：http://bbs.ylmf.net/forum.php?mod=viewthread&tid=1396121

http://www.360doc.com/content/09/0914/21/301778_5976298.shtml

http://people.ubuntu.com/~happyaron/udc-cn/lucid-html/

并且本身已经集成了诸多全方面的软件以及其他等。

别的方面可以用wine 模拟器（其并无损耗）效果依然，具体你可以使用感受下，并具体测评。

雨林木风linux操作系统集合全方位的软件以及其他以及仿XP操作界面模式是为了用户使用习惯以及快速入手。

雨林木风linux操作系统正在全方位的为用户着想，比如全方位集成以及易用性来方便用户【所以并不需要所谓安装打命令了】

雨林木风linux操作系统从Ubuntu lucid 10.04官方源构建，集成更多的软件 强大的多媒体，办公，娱乐，

网络功能 集成编程，音视频编辑等专业软件，占用的资源也是很小的，同样可以做到很炫，以后会更加全面和完善的。

我们大家共同期待。

695580825

猪头无双 发表于 2011-1-31 19:22
样本区的大文件对此句话表示笑而不语，经我自己的手最少就上报金山5个垃圾数据堆积的大文件了，当时的金 ...

不需要所谓的笑而不语了，你还没测试透金山，金山云是很BT的。

恐怕你以后要深入研究测试了。

我前段时间就测过免杀过一个样本（在样本里加入大量垃圾代码以及增大体积）

当时金山云提示未知，鉴定是安全，但我右键扫描的时候 金山提示病毒（云鉴定）

有的扫描提示安全 云也提示安全，但运行拦截（我在金山论坛就反馈过这个问题）

http://bbs.duba.net/thread-22352651-1-1.html

【17楼官方版主回答】

官方版主的回答：这个通常是压缩包做了一定的处理。通常是用了加密压缩包后通过自解压参数释放，

或者是源程序加了特殊壳等。但是运行时释放出的临时文件就会被拦截。

你也可以看到查杀的文件和压缩包里的文件并不一致。

关于为何会这样我也说不太清楚（但我的测试结论是 改变MD5以及增大体积都无法免杀金山云）但这些可以免杀360云

可见他们的原理是不一样的（不是有云的原理都是一样的）

【这是官方回答】

对于大文件是采用提取特征码上传来实现云查杀的，并不是整文件上传，

这种问题在软件设计初期就会考虑到的。虽然本地特征码的提取方式有可能被突破，

但是云端的处理方式还是未知的，所以大文件做到免杀云还是非常不容易。

毒霸最怕的还是被断网，不过如果用户对所有进入计算机的文件都进行扫描，

未知程序首次运行都是用沙箱，怎么会被断网呢？

当然金山不是完美的，需要我们大家提意见发现问题来共同完善（世界上没有100%的安全软件）

让我们大家共同见证并且一起帮助金山提出更好的意见建议以及BUG，来共同完善毒霸，支持国产好软件

帅就是帅

无语凝噎

zhaokang0564

这个帖子和我看过的叫悟心之道的帖子雷同。如有雷同，纯属巧合。

jefffire

我是来看高手的

yaohaozhe

免杀绝不困难。有一种思路可以过，但是我没试过。对盗号木马可以，但是具有很大的局限性。
众所周知，mac地址是唯一的，我们可以更改木马的输入表，先加入一个.ruser小结，让exe先执行本小节的程序，加入代码，代码的作用就是提取本地的mac地址并作为揭秘密码解出文件原本的地址，jmp回去，就可以在目标机器上正常运行了。然而，在上传到服务器上时，由于服务器的mac地址根本不对，程序自然无法正常运行，报错退出，更没有什么动作，自然是无毒的了。

mac地址也可以更改为windows序列号，cpu序列号，内存spd信息。只要是和服务器不一致的硬件码应该都可以。
沙盘没用过，不好评论，应该是属于重定向一类的。但是沙盘应该不是虚拟机！

筑梦

卫士和毒霸2个云   用云保护云  

李白vs苏轼

回复 32楼 695580825 的帖子

新利德并不是万能的 等你用了你就知道了 那个跟源是有关系的

qq351100394

貌似很难