CloudRecall——云回响？

刚在为Immunet Protect 3.0.2翻译新增的东西，发现里面有个新名词 CloudRecall，在查询之后发现这是Immunet在3.0之后加入的新功能，具体解释如下：

Cloud Recall

One of the advantages of a Cloud model for hunting and identifying threats is that we are able to retain and analyze vast amounts of data about what our community is seeing at any given time. Unlike traditional Anti-Virus, or even other Cloud Anti-Virus we constantly reconsider all the data we see or have seen in our community. This allows us to evaluate every decision we have made about a file in our community and see if we still agree with that decision as time advances. If we find that our position has changed about the security of a file in our community because of new information on that file we can now seamlessly act on it. To put this in practical terms if you look up a file today and we do not know it's malicious yet and tonight or tomorrow we discover it is malicious we will alert your system to find the file and remove it, all without you needing to download a single definition update. This 'Cloud Recall' ensures that your security is advanced with every new piece of information we become aware of. You will always know as much as we do, when we do.

link:http://blog.immunet.com/



看了解释之后我暂将其译为“云回响”

这个云回响看样子和国内的云鉴定云反馈差不多，只是其中说道“此机制会不停的对库中的新旧文件进行重新扫描鉴定从而即时对文件进行最新评估。”

这个机制相信其他云，甚至传统的库都会有（诸如360的云反馈和金山的99秒云鉴定），而这个云回响的不同之处就是：当一个文件在你的电脑上被扫描过没发现威胁，而后来发现了这个文件是恶意的，这时Immunet会通过CloudRecall Notification 给你警告，并帮你找出这个曾经在你电脑上扫描过的文件并做处理。
（感谢会员skycai截图证实，金山是有类似的云端回扫功能，不过我用360卫士好几天了，没发现类似功能）


这个机制概念相信是比较新的，至少没听说过其他产品有类似功能，并且我觉得这个机制对于那些平常安全习惯不好的人来说是比较好的补偿，很多人基本成年累月不作木马扫描，而这个机制，只要扫描过一次，以后都不再扫描的话也是实时更新的。

不过这个功能有个问题——如何分辨哪些文件是在哪台计算机的哪个路径呢？

也许你说“云上传鉴定的时候可以附带计算机和文件的特征信息，比如文件md5、路径，计算机硬件ID，IP之类的”，那这时肯定就有人跳出来了~“这分明是云盗窃！云偷窥！云流氓！”

========================================================================

我们来看看Immunet是如何“解决”这个问题的：
以下纯个人猜测

也许了解过Immunet Protect的人知道，Immunet的云端社区是需要注册登陆使用的，这就为每个用户提供了“唯一”的身份识别，这样在云回响时就能根据当初哪些用户名下有这个文件，来筛选和进行针对回响。

也许又有人说“一个用户名可以在不同的电脑上登陆，那岂不会在没有当初那个文件的电脑上也进行回响造成误杀？”

这个嘛以我所知道的方法还是只有和计算机硬件ID相比对，每个用户每次登陆时检查和发送硬件ID，如果硬件ID不同，则在用户名下分开一个子目录，这样在每个用户名下的每台计算机都有独立且完整的记录，可供云回响使用。


====================================================================

说了这么多，其实只是自己在对这个“云回响”的思考，不专业是肯定的，不周全也是难免的，不过精神是值得表扬的~嘎嘎
也借此贴希望国内云产商能有所借鉴和启发。

狂妄之龙

拜膜学习一下

skycai

应该叫做“回扫”比较合适。
金山的毒霸也好、99秒鉴定也好，都有此项功能。

skycai 发表于 2011-3-29 15:11
应该叫做“回扫”比较合适。
金山的毒霸也好、99秒鉴定也好，都有此项功能。

回扫是有，但是没有提醒的功能

skycai

回复 4楼 单身熟男 的帖子

有的。鉴定器的更新说明还有写，我找给你。

skycai

【云鉴定器】
1.新增样本转入人工鉴定后，样本有鉴定结果通过弹窗提示


而扫描过程的回扫，这个一直都有的，不过现在没截图而已。

wwdboy

进来学习

skycai 发表于 2011-3-29 15:17
【云鉴定器】
1.新增样本转入人工鉴定后，样本有鉴定结果通过弹窗提示

感谢提供图片，这个提醒我是知道的，每个文件上传鉴定之后最后都会有结果，这是必要也是正常的，而我主楼所说的提醒，虽然我没实际见到，但是从描述中来看，并不是只对每次上传的文件有鉴定，而是所有扫描过的文件都有这个反馈机制，相信这个金山和360是没有的。

换句话说Immunet的回响是对扫描过的每一个文件都有效，儿金山和360的鉴定只是对上传的未知文件才有个“临时性”的鉴定结果，结果出来之后，就算这个结果在库里面已经更改，但是需要再次扫描才能体现反馈效果，而从描述来看Immunet不是这样的

skycai

回复 8楼 单身熟男 的帖子

终于找到截图了。扫描过的文件正常回扫。

skycai 发表于 2011-3-29 15:29
回复 8楼 单身熟男 的帖子

终于找到截图了。扫描过的文件正常回扫。

再次感谢，原来金山有这功能，是我寡闻了~
不过这些文件是否是当初扫描时上传过的呢？还是没有上传？