经测试某些情况下金山毒霸的云鉴定器无法提取“微特征”，且快速鉴定存在着“小问题”

z13667152750

回复 64楼 langsileaa 的帖子

这样的话，实际使用时就和md5的查杀没什么不同，只是对大文件提取特征时可以对磁盘的压力小一点

zhang_guo_shuai

fzq198776 发表于 2011-3-16 15:13
老大，大带宽很贵的好吧，哥哥没那么有钱，只能搞  2 M

4M也行啊不过光纤应该比普通的电话线贵吧

沙姜

要不把那病毒也分享给大家一起测试一下[:26:]

kmelon

回复 5楼 superkill 的帖子

md5是判断黑白名单的第一步吧，如果未知就上传行为

qwe12301

回复 71楼 z13667152750 的帖子

个人简单总结下

1.计算量少，扫描速度、系统占用资源小

2.便于黑特征积累，具有文件相关性

z13667152750

回复 75楼 qwe12301 的帖子

如果只是文件分块的话，也没什么相关性了

qwe12301

回复 76楼 z13667152750 的帖子

呵呵，其实有。看了白羊的话，又印证了说法。
某些地方含有某类文件的特征。就好像某些相册EXE格式，其实只要分析一下，里面不少代码包含这类文件特征

langsileaa

z13667152750 发表于 2011-3-16 15:17
回复 64楼 langsileaa 的帖子

这样的话，实际使用时就和md5的查杀没什么不同，只是对大文件提取特征时可以 ...

使用上和MD5是差不多，但是相对于免杀来说，微特征要比MD5困难一点。最起码可以杜绝很大一部分小白针对金山的免杀。呵呵

xiaofeizei

byxxdrls 发表于 2011-3-16 10:07
回复 21楼 xiaofeizei 的帖子

你楼上的回复应该算是答案了。

谢谢告知，我再爬楼看看

qwe12301

回复 1楼 fzq198776 的帖子

你那个捆绑的方法试过了
我特地制作了一个免杀的未知病毒，捆绑了毒霸安装包
结果上传上去很快就给我鉴定出来是病毒。

另外，我也咨询过金山官方，他们说对于压缩包、安装包里面的未知PE文件他们也采取了脱壳、解压等方法提取文件上传，更进一步的减少了上传的体积和加快响应速度。不过那个由于触发条件不同所以会采取不同的上传方法。上传策略太多了。其实我个人觉得，金山在云安全方面确实有非常多独特的想法，不错的。