• :
  • 【KSC集中营】第四辑:网友特制KSC动画-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [交流讨论] 【KSC集中营】第四辑:网友特制KSC动画

      [复制链接]

    该用户从未签到

    发表于 2012-2-13 11:03:26 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
    本帖最后由 weiwen_ijinshan 于 2012-3-29 12:05 编辑

    第四辑:网友特制KSC动画               
    2012.03.29  

    非常感谢网友
    ghost2186285 为KSC精心制作的视频动画,通俗易懂,实在是KSC技术的科普首选!





    视频地址:http://v.youku.com/v_show/id_XMzY2MTYyNTM2.html











    第三辑:漫画KSC               
    2012.03.13


    如果你不懂却很想知道什么是KSC,那么下面的漫画就是为你而准备的;
    如果你已经成为了KSC技术帝或评论帝,那么下面的漫画也能博你一笑。

    不用回复即可看到完整内容
    kscartoon.gif



    有兴趣滴童鞋一起来创作KSC趣味漫画吧 {:soso__4990484093815133487_2:}


    【KSC产品状态】官网正式发布











    第二辑:KSC官方科普               
    2012.02.16

    【KSC科普专题】
    KSC云启发引擎——全新系统级自启发式人工智能引擎

    KSC.png


    【KSC产品状态】
    毒霸体验联盟 内测中



    第一辑:KSC
    之Q&A                 
    2012.02.13

           因为我们的无心之失,KSC要正式发布的消息不胫而走,而这也让我们意外感受到大家对毒霸新引擎的强烈兴趣。虽然KSC正式版科普文还不能发布,但有感于对KSC抱有热情和好奇的网友之多,KSC研发团队某核心成员特撰贴一篇,以解大家的“相思”之苦……



    --------------
    -------------------以上均可无视,以下才是正文----------------------
    ----------

    Q1.不需要文件也能保证系统安全吗?
           传统安全厂商认为,文件识别全了,系统也就安全了,当然这个命题是没有问题的,但是有一个不可避免也一直没有解决的问题就是——文件真的能识别全吗?
           答案是否定的,任何一家安全厂商,哪怕你有再全的文件库,再高的文件判别技术,也永远不可能有100%识别全文件的时候。
           虽然所有安全厂商,包括金山自己,都在努力提高文件的识别能力,但是对于安全而言真的只有“文件安全 = 系统安全”这一条铁律吗? 金山KSC研发团队坚信,只要多维度封死病毒入口,不需要文件也可以保证系统安全。
           而系统中各维度病毒入口已经被金山覆盖完全:
           入口点 —— 金山毒霸下载保护、金山网盾、金山U盘防御
           启动点 —— KSC云启发引擎 + 金山文件云引擎
           入侵点、出口点 —— 金山防黑墙


    Q2.
    不需要文件的KSC和传统杀软的文件引擎相比有何优势?
           我们举一个例子。某病毒作者小李编写了一款盗号木马用于盗取用户的QQ号码,去互联网上传播木马之前,小李已经用杀毒软件扫描了该木马程序,并成功免杀(免杀:指病毒通过某些修改使杀毒软件无法识别出自己的方法)。小李的盗号木马三天内没有被杀毒软件捕获,这期间对于小李的木马而言是有实际盗号价值的。然而第四天,腾讯发布了一个QQ程序的升级,使得小李的木马即便运行了也无法盗取号码了,那么这样的木马病毒对于系统而言,就只能称作垃圾。OK,第五天,杀毒软件捕获了小李的木马。那么作为病毒作者的小李和中了小李盗号木马的用户分别是什么样的反应呢,我们来分析一下。

           用户:Oh yeah~ XXX杀毒软件发现病毒了!清除成功,唉,原来果然是有木马!难怪我号被盗了,这下杀掉了病毒,我的系统总算安全了!
         
           小李:杀毒软件赶紧把我的老病毒都杀光了吧!这样用户就以为安全而放松警惕了,我可以写最新的木马传播继续盗号了!

           我们已经知道,传统杀毒软件是根据文件的黑白,反过来推断系统某项是否安全。采集文件特征,加库,投入云引擎识别,循环往复,周期不可谓不长,响应不可谓不慢。
           而KSC呢?KSC是关联系统提供的各种机制,覆盖全部维度的启动点,凭借不断自我学习累积的系统特征经验,来反推这些点的安全与否。KSC与文件无关,但KSC却能瞬间秒杀最新病毒,随着使用人数的激增,她的秒杀精准度和响应效率将越来越高,就像一个三维智慧雪球越滚越大……
           KSC + 金山文件云引擎 + K+防御,会碰撞出怎样的奇迹?我们拭目以待。


    Q3.KSC
    和文件引擎的检出数量谁高?
           毫无疑问,一定是文件引擎的检出个数多。但是,是不是多就一定更好呢?
           一个中了毒的系统,可能存在1000个病毒,但是这1000个病毒不会全部都可以利用启动点启动,因为1000个目标实在太多,太明显了。病毒的特性之一就是隐藏自己,而且病毒也没必要把自己都放到启动点,它只需要有那么几个或者仅仅1个能够启动,那么剩下的所有病毒就都会被他激活。形象的说,启动点中的病毒就是一个不易被发现的剩烟头,而整片黑暗森林就是那好多的病毒,只要剩烟头起作用了,整片森林就会顺势被引燃,从而使系统陷入危险之中。
           这也就是为什么我们强调要防患于未然。消灭了启动点中的“火种病毒”,整片森林的安全系数就能立即高了不只一个档次。正因为KSC是这样一个封杀系统多维度启动点的高效灭活引擎,所以KSC的检出率必然将不如文件引擎。这是由KSC的设计原理所决定的。


    Q4.
    为什么KSC可以更快?
           传统的文件引擎,每天面对的未知文件是海量的,这其中的白文件(无威胁文件)占了约90%,当文件引擎每天面对这么多文件,处理能力就算再强,也会消耗很多时间。而且这其中有很多文件是损坏的,加密的,自动鉴定程序无法自动判定的……
           再看KSC:
           第一、KSC专注系统启动点(绝非系统启动项),这就使引擎处理的信息狂降了几个数量级,这就大大提高了服务器的处理速度。
           第二、KSC针对的是系统全局高危之所系,只需要将启动点完全灭活,其余的病毒不过就是一堆垃圾文件,毫无作用。所以,KSC有快、准、狠之奇效。
           第三、KSC不需要采取文件特征甚至是上传整个文件,所以减少了云地数据交换,减少了I/O和CPU的工作压力。
           值得注意的是,KSC对系统启动点灭活同时,还同步予以系统修复。这解决了以往文件云引擎杀掉了某系统文件而导致系统各种问题频出的问题。例如开机找不到XX项目、无法加载,或者毒杀了,系统桌面没了等等这类问题。KSC = 灭活启动点 + 恢复默认启动点设置。


    Q5.为什么KSC报毒,但是文件云引擎不报?
           因为KSC和传统文件引擎是两个完全不同的概念,自然文件云引擎就不一定会报毒。再次重申,KSC基于系统而非文件,文件内容已不再那么重要。另外,现在的界面展现方式是,如果后台文件云引擎和KSC都报毒,则显示文件云引擎;因此,大家在界面上看到的标有KSC云启发的威胁项,如果用右键扫描或者云鉴定测试的话,是肯定不报毒的,这点请大家务必注意(关于KSC界面展现策略请详见Q6)。
           KSC团队认为,一个病毒文件,如果不具备主动启动的特征,那么这个病毒=垃圾!
           然而,是不是安全的文件就一定不具备危害性呢?答案是否定的。近年来,随着互联网攻防的不断发展,正常文件被病毒利用已经不再是什么新鲜事,其实很多热爱攻防的朋友可以发现,金山毒霸有一类病毒名字叫做3rdLoader . xbt,这就是金山毒霸的第三方loader特征库在查杀中发挥的效应。
           举个例子,某互联网厂商的 A.exe程序,在启动时会加载一个同目录下的update.dll 文件来更新程序,但是往往只是查找同目录下文件名为update.dll的程序。这时如果没有做严格的校验,病毒又恰好替换了update.dll文件,则当运行A.exe时,病毒就被加载起来了。这也就是为什么安全的文件A.exe也不安全的原因。
           所以,基于系统维度的KSC,当启动点存在威胁时,就会立刻报毒;但是文件云引擎则可能不报。这也就很大程度上杜绝了好人被坏人“利用”的危险。


    Q6.
    为什么部分启动点病毒,文件云引擎能报,但是KSC不报?      
           这还是由当前界面展现策略决定的。事实上,就后台而言,只要是启动点存在病毒,则KSC都会检测,KSC本身就是专注于系统各维度启动点的灭活引擎,其在启动点这块的病毒识别能力远高于文件云引擎。然而,当前界面展现策略是,如果文件云引擎和KSC都报毒,为了不重复展现使用户迷茫,现阶段优先展现文件云引擎,因此这会出现部分启动点病毒文件云引擎能报毒但是KSC不报的假象。这个界面展现策略要到后期才能调整,会改为:只要是KSC报的威胁,则都显示KSC云启发。


    QX.欢迎大家前来提问,我们会尽自己所知来回答!




           最后,真诚感谢大家对KSC长久以来的热情和支持,KSC团队一定会尽力、尽快地为大家奉上这样一件精心准备很久了的礼物,欢迎各种支持、诘问、质疑和批评!借此还要感谢一下网友sxyuqiao为KSC画的插图,毒霸内部都很喜欢,谢谢你 : )

    KSC初稿.jpg

    点评

    重在防御,辅在查杀!当我们的电脑遭遇不可修复的病毒,查杀也只能望眼欲穿!  发表于 2012-5-28 19:46
    很支持以图片形式表达 文字太费劲了  发表于 2012-3-17 22:46
    学习  发表于 2012-3-14 21:05
    支持  发表于 2012-3-12 13:04
    整文无视 求包撸过~  发表于 2012-2-21 22:34
    什么时候可以用上啊?  发表于 2012-2-18 14:13
    KSC的全称是啥?  发表于 2012-2-15 23:29
    1、针对活威胁而非死特征的KSC 问题:针对活威胁,这是否意味着毒霸开始回到了系统底层和病毒对抗?毕竟发现和清除运行着的病毒,尤其是加驱后的,难度不小啊  发表于 2012-2-13 12:18

    评分

    参与人数 1元宝 +1 收起 理由
    Barbarossa + 1 赞一个!

    查看全部评分

    本帖被以下淘专辑推荐:

    使用道具 举报 回复
    本帖最后由 海风007 于 2012-2-13 11:16 编辑

    沙发,稍后编辑
    Q1  威胁入侵系统的途径已经被边界防御完全封死这个不假,可是除却概念之外呢,这些防线其实是依赖于文件识别系统的,比如说IM传输吧,当IM收到一个文件后被边界防御捕获,那么边界防御如何知道是否是威胁呢?还是要依赖于文件识别。所以举边界防御来弱化文件识别的作用,应该是极不恰当的,可能是我的理解片面,期待您的解释

    Q2   这里所谓的启动点,既然不指启动项,应该是指各种加载路径吧,比如说在QQ目录下放一个msimg32.dll,根据加载规则QQ必然会加载自己目录内的这个DLL而不去加载系统的,如果这个DLL是威胁,自然QQ就被盗了而无需添加启动项,KSC查杀这些点显然是很前瞻的做法,可是问题是,不依赖于文件识别,你如何知道这个调用是否是威胁呢?

    点评

    为什么KSC扫描出来的位于c:\program files\common files\system\sys\tcpip中的tcpip.dll经过查杀删除后,电脑会出现蓝屏现象呢?到底能不能查杀?求指教!!  详情 回复 发表于 2012-8-23 23:20
    海风,我来稍微解释一下吧,或许不恰当 其实你提的两个问题,更多的是纠结不识别文件这个角度。 而我想说的是,无论是im 传输,还是白软件dll劫持,这些他们都不是单一文件存在而能起作用的,他们都是文件之间,或  详情 回复 发表于 2012-2-13 11:41

    评分

    参与人数 1威望 +28 收起 理由
    weiwen_ijinshan + 28 高质量的提问理当得到奖励,赞~

    查看全部评分

    使用道具 举报 回复 支持 反对
    本帖最后由 海风007 于 2012-2-13 11:22 编辑

    前排广告位招租…………
    为了防止我的黄金广告位被和谐
    把这个问题放到本层来提
    文中的启动点,我的理解是各种加载入内存的方式,可对?

    点评

    理解很正确  详情 回复 发表于 2012-2-13 11:24
    使用道具 举报 回复 支持 反对
    支持下,顶贴!

    点评

    我的u盘一遇到毒霸就会删了我的重要文件!咋个整?  发表于 2012-7-1 15:30
    使用道具 举报 回复 支持 反对
    前排支持~
    使用道具 举报 回复 支持 反对
    海风007 发表于 2012-2-13 11:07
    前排广告位招租…………
    为了防止我的黄金广告位被和谐
    把这个问题放到 ...

    理解很正确

    点评

    启动点 —— KSC云启发引擎 + 金山文件云引擎 Q5.的例子 某互联网厂商的 A.exe程序,在启动时会加载一个同目录下的update.dll 文件来更新程序,但是往往只是查找同目录下文件名为update.dll的程序。这时如果没有  详情 回复 发表于 2012-6-12 20:25
    那再提一个问题就闪,莫嫌麻烦 乃为什么不让那个卫士的哥们放概念文档,放了的话我就不问了 还是借上文中的那个例子,比如说毒霸的KSC检测到QQ加载自身目录下的MSIMG32.DLL,如果判断这个是否安全  详情 回复 发表于 2012-2-13 11:34
    使用道具 举报 回复 支持 反对
    先看看!
    使用道具 举报 回复 支持 反对
    前排支持
    使用道具 举报 回复 支持 反对
    支持下
    使用道具 举报 回复 支持 反对
    学习了,支持。。。
    使用道具 举报 回复 支持 反对
    ndma 发表于 2012-2-13 11:24
    理解很正确

    那再提一个问题就闪,莫嫌麻烦
    乃为什么不让那个卫士的哥们放概念文档,放了的话我就不问了

    还是借上文中的那个例子,比如说毒霸的KSC检测到QQ加载自身目录下的MSIMG32.DLL,如果判断这个是否安全?(既然乃们都反复说KSC是启发,那我就不说检测到这个行为)
    使用道具 举报 回复 支持 反对
    海风007 发表于 2012-2-13 11:06
    沙发,稍后编辑
    Q1  威胁入侵系统的途径已经被边界防御完全封死这个不假,可是除却概念之外呢,这些防线其 ...

    海风,我来稍微解释一下吧,或许不恰当
    其实你提的两个问题,更多的是纠结不识别文件这个角度。
    而我想说的是,无论是im 传输,还是白软件dll劫持,这些他们都不是单一文件存在而能起作用的,他们都是文件之间,或者文件与系统之间存在着他们的必然关系,那么这个关系就是识别特征。而不是单纯的文件内容层面,不知道,这个解释是否满意

    点评

    我想问,电脑上白程序成千上万,相关dll更是其指数级。可是KSC杀毒速度太快了,给人感觉是,至少忽略了一大半DLL。KSC为什么会快得这么离谱?  详情 回复 发表于 2012-2-27 10:28
    这个解释的话,其实不是新技术,如果我们理解为行为分析,那就是主防,理解为API测序,那就是启发  发表于 2012-2-13 11:42
    使用道具 举报 回复 支持 反对
    明确好多了。
    针对活威胁而非死特征的KSC!
    使用道具 举报 回复 支持 反对
    前排速度围观·····
    使用道具 举报 回复 支持 反对
    原来如此...普及知识啦!
    使用道具 举报 回复 支持 反对
    坐等看效果

    点评

    回复你的点评:和病毒的对抗是毒霸一直以来都在不断完善和更新的,这个由安全行业的特殊性决定,KSC是一个识别检测引擎,而对活体病毒的清除包括底层的对抗是由毒霸查杀子系统完成的。如果不能对活体病毒灭活,病毒将  详情 回复 发表于 2012-2-13 14:21
    使用道具 举报 回复 支持 反对
    支持
    使用道具 举报 回复 支持 反对
    顶。。。。
    使用道具 举报 回复 支持 反对
    支持……
    使用道具 举报 回复 支持 反对
    理念很不错,KSC发布以后,我也来试一试

    点评

    原卡饭MSE区版主Z龙?  发表于 2012-2-13 13:31
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则