【转帖】为什么360安全卫士会报键盘记录

ryans233

转自：[科普]为什么360安全卫士会报键盘记录 - 独木成林 http://www.guofs.com/archives/4211

Ayu发了一篇为什么360会报键盘记录的科普贴，拿来分享给大家：
做一个实验：
1、下载官方原版迅雷7.9.6.4502安装
2、下载一个ResHacker，有过汉化破解相关经验的应该知道这是一个资源修改器。
3、用ResHacker打开迅雷主程序Thunder.exe，修改文件版本为4500，并保存

4、开启迅雷下载一个文件试试，看360提示什么（如图）


这个实验很容易做，大家都可以试试，只修改了版本号，其他什么都没做，为什么会有这种情况，这需要从360的原理说起。
360用了一种很过激的方法来做安全软件，其他杀软都是黑名单+行为分析来杀毒，360则是用白名单+行为分析。就是说不在360白名单内的软件，都报风险。
这个机制好处是，木马完全没办法避过360了，因为只要360不认识的都认为危险（从这个角度讲360确实让木马越来越少了）。
坏处就是误报率非常高，比如刚才的实验，假设原版Thunder.exe的md5保存在白名单内，用reshacker修改版本后md5一定会发生变化，导致修改后的文件360不认识。360的行为分析又异常敏感，任何有可能被木马使用的方法，哪怕是正常程序使用都会被报风险。因此出现了前面的情况。

================================================================================================
360这战斗力……智慧星的节奏！

joyseer

流氓圈那个软件管家，塞钱就给你加入白名单并做推荐喔。

phillo

省省吧 数字粉马上会跳出来IDC

----发送自 alps ZTE U956,Android 4.1.2

godzillaqqq

周红衣：想你软件在小白间流行么，交钱啊，傻B

adrftgyh

数字其实很聪明，人家不报毒不报木马，报风险，风险这东西包含的东西就多了

----发送自 HTC PG86100,Android 4.0.3

Realplayer

引用第3楼白左于2013-07-17 12:39发表的  :
槽点在于, 不认识的程序不是像nod32那样提示“具有潜在威胁的应用程序“, 而是信誓旦旦地宣称“这厮在记录键盘输入快干掉它！“

客官，这个人我不认识(没交我地头钱)，所以他一定正在强奸民妇，甚至你媳妇！

ryans233

引用第8楼Realplayer于2013-07-17 17:27发表的  :

客官，这个人我不认识(没交我地头钱)，所以他一定正在强奸民妇，甚至你媳妇！

之前传闻自己的软件要想过360就得交钱我还半信半疑，这次嘛只能呵呵了。

i.c.

引用第9楼ryans233于2013-07-17 17:34发表的  :


之前传闻自己的软件要想过360就得交钱我还半信半疑，这次嘛只能呵呵了。

星际管家曾经被360和金山各误报过一次，你觉得哪种理由更容易接受呢
http://www.sc2manager.net/post/62.html
http://www.sc2manager.net/post/94.html



顺便这是QVM的工作原理啊，这都几年了这引擎怎么还这么没长进……

Stuka

引用第9楼ryans233于2013-07-17 17:34发表的  :


之前传闻自己的软件要想过360就得交钱我还半信半疑，这次嘛只能呵呵了。

360白名单已经好几年了怎么还有人不知道？

鐵

  在CB上找到这个……http://www.cnbeta.com/articles/14580.htm

智慧星还有网站！
http://www.starsoft.com.cn/index.aspx