关于毒霸的断网问题整理下发个帖

显示全部楼层 · 发表于 2011-5-13 22:50:24

K_Ghost! 发表于 2011-5-13 13:06
回复 51楼 fzq198776 的帖子

过360网购保镖的也在卖钱过360主防的也在卖钱直接从内核跟360抢的更在卖钱

因为有很高的价值。国外黑市，360内核漏洞炒到20W欧了。

显示全部楼层 · 发表于 2011-5-13 22:54:29

本帖最后由 zhang_guo_shuai 于 2011-5-13 22:55 编辑

jefffire 发表于 2011-5-13 22:47
智能算法是体现在特征库的生成上，而不是扫描中。扫描本质上还是对比。
我只知道随着病毒越来越多，传统 ...

学习过程和最终的应用过程用的是同一个网状结构，换句话说学习的最后一个状态就是用来实际应用的那个状态，使用中也不是简单的对比，那样就不智能了。你说的传统特征库变大是事实，所以才要推出云判断。

显示全部楼层 · 发表于 2011-5-13 23:02:00

zhang_guo_shuai 发表于 2011-5-13 22:54
学习过程和最终的应用过程用的是同一个网状结构，换句话说学习的最后一个状态就是用来实际应用的那个状 ...

但是在实际使用过程中，使用智能算法的反而是速度最快的。这个你可以自己去试试。

显示全部楼层 · 发表于 2011-5-13 23:15:33

本帖最后由 zhang_guo_shuai 于 2011-5-13 23:16 编辑

jefffire 发表于 2011-5-13 23:02
但是在实际使用过程中，使用智能算法的反而是速度最快的。这个你可以自己去试试。

那要看它使用了多少个节点，而且速度方面传统的本地引擎可能是因为对比的样本多或者是还要有一些其它方面的判断，云引擎可能是联网时间有影响。我曾经在别人那里用毒霸的云做了一个小测试，全盘扫描的时候CPU的占用量一般在20%-30%，所以他可以一边做全盘扫描一边玩网游，不过这是几个月前的事了，我不知道QVM做全盘扫描的话CPU的用量会是多少呢？

显示全部楼层 · 发表于 2011-5-13 23:45:00

本帖最后由 jefffire 于 2011-5-13 23:46 编辑

zhang_guo_shuai 发表于 2011-5-13 23:15
那要看它使用了多少个节点，而且速度方面传统的本地引擎可能是因为对比的样本多或者是还要有一些其它方 ...

砍掉BD，断网状态。CPU在0~30%波动，内存占用65M左右，虚拟内存55M左右。当然这个因机器而异，最好还是自己测试一下。
传统引擎，由于要脱壳解包，所以不慢也很难。

显示全部楼层 · 发表于 2011-5-14 00:39:18

jefffire 发表于 2011-5-13 23:45
砍掉BD，断网状态。CPU在0~30%波动，内存占用65M左右，虚拟内存55M左右。当然这个因机器而异，最好还 ...

我现在没有条件试验，原本想在虚拟机里观察两分钟结果发现BD的引擎关不掉，直接pass。我那个朋友当时用的1G内存，CPU好像是AMD4000+。
还有你觉得静态启发就不需要脱壳吗？带着壳怎么提取文件特征？

显示全部楼层 · 发表于 2011-5-14 09:21:32

zhang_guo_shuai 发表于 2011-5-14 00:39
我现在没有条件试验，原本想在虚拟机里观察两分钟结果发现BD的引擎关不掉，直接pass。我那个朋友当时用的 ...

删BD的库就行了（那一堆emalwareXXX），设置里面是关不掉的。呵呵，就是不脱壳的。

显示全部楼层 · 发表于 2011-5-14 09:46:13

我只想说
断网和断云是两码事

显示全部楼层 · 发表于 2011-5-14 10:38:21

jefffire 发表于 2011-5-14 09:21
删BD的库就行了（那一堆emalwareXXX），设置里面是关不掉的。呵呵，就是不脱壳的。

那你告诉我不脱壳怎么启发？怎么知道实际运行起来会有哪些病毒特征？

显示全部楼层 · 发表于 2011-5-14 10:41:46

zhang_guo_shuai 发表于 2011-5-14 10:38
那你告诉我不脱壳怎么启发？怎么知道实际运行起来会有哪些病毒特征？

完全的二进制对比不行么？你加密加的越高级越牛，其特征就越偏离白文件。

[金山] 关于毒霸的断网问题 整理下发个帖

[金山] 关于毒霸的断网问题整理下发个帖