转自太平洋电脑网：奇虎360杀毒首度参加AV-C即获得标准认证，附AV-C测试报告原文！！

tokthoo

回复 89楼 zhang_guo_shuai 的帖子

一起来看看金山误报的东东。看来如果不是语言不一样的问题的话，那么想必金山一定都在误报这些文件》

zhang_guo_shuai

tokthoo 发表于 2011-4-19 18:01
回复 89楼 zhang_guo_shuai 的帖子

无论什么原因导致，结果都是一样：误报。

呵呵，你无非就是想说金山和360一样甚至还不如360吧？别说，这个问题还真不好说，至少我没资格去评价。当然，这里我也只是这么猜一下，猜错了这些话我收回，猜对了也没什么。其实你和我曾经遇到过的两个人很像，无论别人在说什么一定要先把金山扯上，然后就是无论别人怎么解释都要死扛到底。既然这样我就再稍微解释一下，不过这里我只解释这一次，你再不明白我就不管了。

首先我不知道你所谓的过滤是不是指白名单。如果启发引擎要依靠白名单分辨病毒那还能叫启发引擎吗？（你别告诉因为白名单改善了启发效率就算作启发引擎了=.=|||）同样特征引擎也不是简单的排除某个文件，偶尔一两个还可能，同样的问题出现次数太多就要修改特征码了，否则就变成仅凭整个文件的MD5查毒了。而且就算不是白名单而是修改启发规则，也不可能把判断文本字符作为首要标准，更不会仅凭文字改变就认定为病毒。恕我愚昧，无论是你给出的金山AVC报告截图还是前几天那个人给出的360AVC报告截图，我都没有看到什么所谓的小众语言版本，我不知道你是怎么看出来的？而且你如何确定那些被报的文件一定是特征入库的版本？有人也说了，对于误报的软件AVC只记录一次，你怎么就能肯定一定只报了一次？要想变成病毒除非是参数什么的确实改变了，否则仅仅改变可见字符是没用的。
你不是还说样本收集很重要吗？这一点我不否认，但把特征引擎和启发引擎对于样本同等比较是肯定不对的。如果启发引擎和特征引擎对样本的依赖度是一样的，那还要启发干什么？难不成是因为现在的CPU太强，不多搞几次运算不过瘾？对于依靠精准扫描的特征码，样本当然是多多益善；而对于模糊性判断的启发式，样本过少当然不行，但样本过多同样没有效率，即便是所谓的智能学习海量样本也是要有限度的。
其实说到现在基本上都是在讲你提的问题，而我最初说的是“仅凭语言版本不同就认定为病毒的启发引擎是不完善的”，而我并不知道360的启发具体是根据什么判断的，也没有指名道姓的说360的启发一定是怎样的，更没有提及与我的问题风马牛不相干的那个金山的特征引擎，而你却一再的把与我一开始不相干的话题拧在一起，而且我越解释你拧的越紧，你想做什么？

橡果公爵

回复 92楼 zhang_guo_shuai 的帖子

楼主不必和360洗脑党争论。
收钱发贴的人，你永远吵不过他们的

zhang_guo_shuai

橡果公爵 发表于 2011-4-19 20:19
回复 92楼 zhang_guo_shuai 的帖子

楼主不必和360洗脑党争论。

呵呵，我决定此贴不再回复那样无聊的问题了

z13667152750

回复 92楼 zhang_guo_shuai 的帖子

金山令人难以理解的是,启发不怎么样,特征码也能误报这么多
误报主要来自启发/基因码这些前涉性扫描方式

不过对于国外样本似乎又要多一个来源:误判正常文件病毒,至少从360误报的东西来看,有许多是360直接特征码入库的,非启发,相比而言,其他国外厂商基本没有传统特征码的误报

zhang_guo_shuai

z13667152750 发表于 2011-4-19 20:25
回复 92楼 zhang_guo_shuai 的帖子

金山令人难以理解的是,启发不怎么样,特征码也能误报这么多

我曾经遇到过这样一种情况：同样的一个插件，有些病毒会捆绑，有些正常软件也会捆绑、甚至只是选择性安装，但这个时候那个正常软件就会被报毒，我想如果只遇到了捆绑插件的病毒，那这个插件的某些特征可能也会被连带的写进去，当然这只是一种简单的情况，实际肯定还有更复杂的原因。360本地的特征码不就是BD的吗？我不知道它那个云引擎是什么，你知道吗？

z13667152750

回复 96楼 zhang_guo_shuai 的帖子

你提到的也很有可能,同理也可以解释曾经大量国外安全软件误报易语言

360的云引擎目前看来是以BD启发与MD5扫描为基础的本地引擎,云端有360服务器完整版的qvm和完整版BD,其他的无法确定

360杀毒的BD引擎没有BD的虚拟机启发,只有普通的启发,而且360应该还自己修改了BD的启发级别,类似与高级启发的设置,提高查杀的同时也会提高误报,但是360的云一定程度上可以减少误报,不过又仅限与国内,所以造成在pcsl的中国样本误报测试中,360误报成绩虽然稍高与BD,但是还是非常不错

zhang_guo_shuai

z13667152750 发表于 2011-4-19 20:46
回复 96楼 zhang_guo_shuai 的帖子

你提到的也很有可能,同理也可以解释曾经大量国外安全软件误报易语言

整个文件的MD5吗？不会吧？那样的话1G以上的大文件怎么办？好比高清电影，扫起来岂不是很慢？

z13667152750

回复 98楼 zhang_guo_shuai 的帖子

还要看文件格式的

非pe应该都是跳过吧

360的官人也说过,金山的微特征比MD5稍好,主要是因为可以减少扫描对硬盘的压力
360也一直没有否认不是MD5

zhang_guo_shuai

z13667152750 发表于 2011-4-19 20:55
回复 98楼 zhang_guo_shuai 的帖子

还要看文件格式的

不会真的是MD5吧？哪天应该弄几个大的可执行程序试试