★★★我来告诉你金山提取”微特征的方法”完全分析结果公布,大家可以参考.或者启发

qq2008

李白vs苏轼 发表于 2011-3-15 13:39
回复 29楼 qq2008 的帖子

提取特征函数 或者 字符串 分支

意思就是说毒库含有了所有的已知或未知病毒的(特征函数 或者 字符串 分支)?

李白vs苏轼

回复 23楼 fzq198776 的帖子

等sp7 出来你就知道的,
如果你单纯的增加字符
对微特征没影响,具体看更新内容

李白vs苏轼

回复 31楼 qq2008 的帖子

这样就回归了传统方式了,特征码

qq2008

李白vs苏轼 发表于 2011-3-15 13:47
回复 31楼 qq2008 的帖子

这样就回归了传统方式了,特征码

这是肯定还是否定?...有点看不懂了...

提取特征函数 或者 字符串 分支
与毒库进行云匹配

这个有没毒库没有这种微特征的情况?如果有 那该怎么继续  比如200MB的新样本 网络中不存在相同文件  微特征里面又没有匹配记录....那怎么进行鉴定?

或者说是所有已经或者未知的病毒 它的微特征在云的毒库里面都包含了?

李白vs苏轼

回复 34楼 qq2008 的帖子

病毒之所以起作用 关键在于它起作用的函数及关键位置,,所以云库以这些来报毒  ,并不是判断整个文件

qq2008

李白vs苏轼 发表于 2011-3-15 14:03
回复 34楼 qq2008 的帖子

病毒之所以起作用 关键在于它起作用的函数及关键位置,,所以云库以这些来报毒  ,并 ...

那就是说云库包含了病毒的"作用的函数及关键位置",那这个有100%么?

有没有云库还没包含的"作用的函数及关键位置"?

或者说云库也在不断的增加"作用的函数及关键位置"?
又或者说"作用的函数及关键位置" 总得来说就是那么几个 怎么变都在这个范围 数量是固定的?

李白vs苏轼

回复 36楼 qq2008 的帖子

当然没100％，要不怎么有鉴定错误的时候

qwe12301

回复 1楼 李白vs苏轼 的帖子

不错，有点启发

qwe12301

回复 23楼 fzq198776 的帖子

正常的文件鉴定流程比较快，像不正规的那些，比如你说的从不知名小站被恶意捆绑的QQ安装包，网盾这关会先进行未知性校验，然后上传。不过之间的响应度肯定没有小文件快，因为上传一定会费时间。像这种情况，网盾从交互上会提示“未知，谨慎使用之类”。从本地防御机制上看，金山近期加入的 文件行为侦测 和 未知文件拦截并入沙 ，我觉得后者更好一些。毕竟行为防御还不够完善

fzq198776

李白vs苏轼 发表于 2011-3-15 13:42
回复 23楼 fzq198776 的帖子

等sp7 出来你就知道的,

不是单纯增加字符，我说的是文件捆绑~~或者你透露下吧，SP7神马时候公测？？等不及想测试了~~