关于360的云查杀，小白的疑问

猪头无双

回复 10楼 绿茵守望者 的帖子

不止，如果仅仅是判断是否上传数据，那不是单纯的云端文件的收发装置了么按你自己的帖子所说，假设360在本地有一个类似comodo的东东存在，却又单纯的只负责判断何时上传数据，对本地的文件做出反应要全靠云端的话，那这玩意和那个来自看雪的某首席自己搞出来的小工具有什么区别?进一步说，comodo的HIPS做的也未免太简单了些，而实际中comodo的本地防护却做得相对全面，所以，按你的帖子得出的假设是不成立的，换句话说，你认为的360本地主防和实际中的360主防是不一样的。

绿茵守望者

回复 11楼 猪头无双 的帖子

360木马防火墙的基本工作原理
　　360木马防火墙的拦截机制采用的是单步拦截法，即对某一程序的单步行为进行分析和判断，对于那些可能影响系统安全的行为，同时触发该行为的程序又不在可信名单之列，便会弹窗提示用户程序的行为，并由用户进行判断做出选择。
　　单步拦截能够对恶意程序的每一个危害动作进行有效的拦截，最大的保证安全性，但是同时如果黑白名单不是足够大的话，弹窗提示就会比较多，用户需要进行频繁的选择，不方便用户操作，不够人性化。这就限定要求了单步拦截法要足够人性化就要有足够庞大的黑白名单库。
　　对于拥有3亿用户的360而言，收集足够庞大的黑白名单，并不是难事。但是如果把如此庞大的黑白名单库放在本地，那么会大大地加大本地用户的负担。因此360把海量的黑白名单库放在云端，由云端进行分析，即云结合主防的形式。
    具体的工作流程是这样的：如果某一程序的动作触发了主防规则，360木马防火墙则会进行云端查询，在黑名单的直接报毒，在白名单的直接放行，不在黑白名单的未知程序，则转由云端的行为分析器（其中就包括云端QVM人工智能引擎）来判断此程序的动作是否有危害。


这是360论坛的对主防的解释。
可以说就是MD加个黑白名单库，外加多引擎。

猪头无双

回复 12楼 绿茵守望者 的帖子


回复 9楼 梦想起航 的帖子

本地是有规则，本地规则是用来判断什么时候上传数据对照。
回复 11楼 猪头无双 的帖子

360木马防火墙的基本工作原理
　　360木马防火墙的拦截机制采用的是单步拦截法，即对某一程序的单步行为进行分析和判断，对于那些可能影响系统安全的行为，同时触发该行为的程序又不在可信名单之列，便会弹窗提示用户程序的行为，并由用户进行判断做出选择。
　　单步拦截能够对恶意程序的每一个危害动作进行有效的拦截，最大的保证安全性，但是同时如果黑白名单不是足够大的话，弹窗提示就会比较多，用户需要进行频繁的选择，不方便用户操作，不够人性化。这就限定要求了单步拦截法要足够人性化就要有足够庞大的黑白名单库。
　　对于拥有3亿用户的360而言，收集足够庞大的黑白名单，并不是难事。但是如果把如此庞大的黑白名单库放在本地，那么会大大地加大本地用户的负担。因此360把海量的黑白名单库放在云端，由云端进行分析，即云结合主防的形式。
    具体的工作流程是这样的：如果某一程序的动作触发了主防规则，360木马防火墙则会进行云端查询，在黑名单的直接报毒，在白名单的直接放行，不在黑白名单的未知程序，则转由云端的行为分析器（其中就包括云端QVM人工智能引擎）来判断此程序的动作是否有危害。


这是360论坛的对主防的解释。
可以说就是MD加个黑白名单库，外加多引擎。





原来MD只是个判断神马时候上传数据的鉴定器啊，你这话让S大看了情何以堪啊

绿茵守望者

回复 13楼 猪头无双 的帖子

MD不只是个鉴定器，还有监控拦截的作用。

绿茵守望者

回复 13楼 猪头无双 的帖子

对于MD之类的软件来说，其核心就是那几个拦截点。

猪头无双

回复 14楼 绿茵守望者 的帖子

同理可知，360的木马防火墙也不会那么简单的

绿茵守望者

回复 16楼 猪头无双 的帖子

原理就那么简单，难点就在要把那几个拦截点做好和云端文件库的收集。做那几个拦截点确实比较难，而要收集较为完整的黑白文件库也非常难。

webuncle

回复 17楼 绿茵守望者 的帖子

“你是一树一树的花开
。。。。
你是人间的四月天！”
喜欢你签名的那个人

绿茵守望者

回复 18楼 webuncle 的帖子

你的签名也不错，我一直想知道哪个是国足哪个是法国队。
同时默默地祝福中超首轮就严重受伤的张弛。

z13667152750

回复 12楼 绿茵守望者 的帖子

是360论坛,但是并非官方

官方从来没有详细介绍过360主防的具体云验证逻辑