shulun743 - 2012-6-13 14:30:00
发现瑞星似乎 只是简单的采用了 md5检测的 云引擎
似乎很是不妥!!!
要是 病毒加壳或加花 等变形 ?
怎么办???
只是单纯的 修改 md5 来逃避 云查杀
怎么办???
请斟酌 ,改进!!!
对于
在扫描文件的时候,首先云引擎会取每一个文件的MD5值,也就是文件的唯一特征码。将这个MD5值发送到服务器进行验证,服务器端有一个数据库,记录了“已知MD5值-病毒名称”的对应,如果检测到了附合的记录,则返回病毒名称,显示这个文件是一个已知的病毒。
对于未检测到附合的记录,也就是这个文件是未知的,是云引擎第一次遇到的,希望瑞星会自动将未知文件的全部内容上传到服务器上进行检测
检测完毕后生成 此文件的 md5记录,供客户端 查询 ,这样 其它的 客户端 就不需要 在上传了!!!
(最最精彩的在这里:在服务器后台,360有一个类似VirusTotal的扫描引擎,这个引擎不只是任何一家的杀毒软件,而是与VirusTotal一样,集成了数十家杀毒软件,使用这些杀毒软件同时对未知文件进行扫描,如果其中几家杀软报毒----会产生一个百分比,那么达到一定的百分数360会毫不犹豫的将这个MD5值加到前面提到的已知病毒数据库中,与MD5值对应的就是杀毒软件报的病毒名称。)
在这里不得不佩服360的创新,把同行的杀毒软件拿来已用,目前已知它的后台引擎收录的杀毒软件就有卡巴斯基、瑞星(连仇家也要拿来用)、NOD32、江民等,非常多。只要同行杀软中有报毒的,达到一定分值360就认为它是病毒,并且就连报的病毒名都一模一样啊,呵呵。真是借别人的力,肥了自己!
数字和金山 都有类似的 云多引擎机制 ,希望瑞星也有!!!
若出现 瑞星 云端 没有的 文件 信息----md5信息 ,建议 将此文件 上传 做 鉴定 ,并生成 md5 值!!!
以供 其它客户 扫描时 调用云端 数据!!!
建议 瑞星在云端 开发一个 多引擎 机制 ,加快 病毒响应速度
用户系统信息:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.802.30 Safari/535.1 SE 2.X MetaSr 1.0
shulun743 - 2012-6-13 14:39:00
shulun743 - 2012-6-13 15:34:00
瑞星工程师12 - 2012-6-13 16:20:00
已将您的建议收集反馈。感谢您参与公测活动!
shulun743 - 2012-6-13 16:26:00
系统:windows xp-sp3
浏览器:ie8 ; 搜狗
操作:自定义扫描文件夹
结果:一个未报!!!
瑞星:24.00.04.50
http://xa.ctfs.ftn.qq.com/ftn_handler/f82bc8272384ce61b5822a4aaea469390cfe58c7b0ac3ee644a609cc21b60134a5cfe4ab0a0e425471d67de3330e55716577c0d053d52cc2efda9c8d3d332be8/?fname=6.8_76291_76291.rar&k=5d34313726a4d0ca305c4c2a10320a185150070105560f534c050556021f0c0f050c1c560257011a0707520e0e0b000551030200363538014f0c1f455740380a&fr=00&&txf_fid=c7661fe5c5e0c4f33c131b43242c4d479a0ba2d1&xffz=35088880
(提取码 a4176287)
要是瑞星在云端 有 多引擎就好了!!!
瑞星云引擎在扫描这个 文件夹 后 ,若发现 云端没有这些文件
将这些文件上传 ,利用多引擎进行 鉴定 ,并打上相应的 md5
这样 ,其它客户端就可以 利用云端调用相应数据了
我这个 文件夹 是 八号 下载测试的
到现在几天了 一个也不报呢????
建议 采用 类似 数字这样的机制!!!
云引擎扫描 ,若发现 云端没有md5信息 ,就将这些文件上传 ,并立即使用云端多引擎 进行鉴定
将 鉴定结果 ,标注 md5
这样 其它 , 客户机 就会调用 云端数据 ,我们上传一次 ,方便千万用户QQQ
何乐而不为???
瑞星工程师12 - 2012-6-13 17:08:00
样本6.8_76291_76291.rar 已收集反馈。
© 2000 - 2026 Rising Corp. Ltd.