永发信息网

金山 vs. 360 ,我该听谁的?

答案:7  悬赏:50  手机版
解决时间 2021-07-28 21:17

公说公有理,婆说婆有理。金山、360互相指责对方挑事,孰是孰非我该听谁的?郁闷~

最佳答案
两个都不是很好的杀软,但是不管怎么说只看杀毒水平金山明显强于360毋庸置疑。金山是专业的杀软,360则全面发展优点在于维护系统稳定,因此各有各的优点。不能笼统的一概而论。
全部回答
金山

建议还是金山虽然收点钱,但是效果绝对比360杀软好。不过360卫生可以装

2个都不听,

自己决定

360好

免费的还是套餐(安全卫士,杀毒,保险箱)

360 要好点

从技术角度来看360和金山之战

要了解防挂马软件的工作原理,

先要了解网页挂马漏洞执行的流程: 网页挂马漏洞执行的流程,以最常用的利用溢出漏洞执行shellcode这个类型的漏洞利用为例,大概可以总结为如下: (1)浏览器访问网页,得到源文件(在缓存文件中)。 (2)载入源文件,对代码进行解析。 (3)执行代码,构建漏洞触发环境,做触发漏洞前的准备,如使用heap spray方法将shellcode填充到堆栈等。 (4)执行有漏洞的代码,进入有漏洞的函数(比如ActiveX函数)。 (5)有漏洞的函数产生了溢出,或者内存破坏或者其他不应有的行径。 (6)这些行径导致读写了不应该读写的区域,直接或间接地修改了程序的流程,造成了进入shellcode的机会。 (7)顺利进入shellcode,从而使shellcode中的恶意代码得到执行的机会。 (8)恶意代码成功完成其所有动作,比如下载病毒到本机并运行。 (9)下载下来的病毒运行,最终给系统造成真正的破坏。 以下是对以上9条的一个分类: (1)属于网络和本地的数据交换。 (2)属于浏览器的脚本解析引擎阶段(解释式程序语言的特点)。 (3)开始从解释式程序语言的脚本引擎过渡到真正的编译型程序的二进制代码执行,即实际功能实现。 (4)、(5)、(6)、(7)是一个漏洞利用的核心,如果说(4)还是由前面的脚本引擎发起的话,(5)、(6)、(7)通俗地来讲已经属于汇编级调试分析的范畴。 一旦进入(8),跟浏览器脚本引擎真正相关的部分已经结束了,主角成了被称为shellcode的二进制可执行代码,对它的分析跟对一般病毒的分析没有什么两样。而只有当(8)顺利完成了,对于攻击者来说漏洞利用才算真正成功了。而一般来说也至少要到(8),才能说这个漏洞利用过程真正对系统造成了远程执行恶意代码级别的危害。 而现实情况是真正的危害往往是在(9)才造成。 看看金山网盾是在什么步骤拦截的挂马: 通过金山网盾的这几个结果,我们很容易鉴别出这是它在阶段(2)介入的结果。 金山网盾通过注入浏览器进程(这里的注入一词并不包含贬义,只是一个技术称谓,显然360有故意渲染其贬义之嫌),在浏览器解析网页的过程中进行处理,在这个过程中对加密的恶意网页进行自动解密,然后对其进行特征判断。这个特征判断与杀软对病毒的特征判断是类似的(当然有很多智能程度准确程度等等的细节要完成,这是厂商要做的),也就是说在这个脚本被执行之前,就已经被报警并清除了其中的恶意代码。 这个结果意味着什么呢,由于是在(2)阶段拦截掉了,那么后面的部分没有进行。从而我们实际上也不知道,如果在这里网盾不进行拦截而放行源文件,后面的阶段是否能完成。实际上,这个源文件并不一定就会对系统产生危害(比如说如果网页用的漏洞是很久以前的,系统上已经没有这个漏洞了,那么其实根本不会触发)。也就是说存在这样的可能,即在这个阶段,拦与不拦不一定真正对结果起至关重要的作用。 看看360安全浏览器是在什么地方拦截的挂马: 进一步来讲,如果在这一个阶段没有拦住,或者干脆就不拦(如果防挂马软件介入的侧重点不是在这里),那么到了下面还有机会拦。现在就要说到360浏览器了,众所周知它当年的其中一个重要技术标识就是采用sandbox。如果单独是sandbox(即假设360浏览器没有其他的措施,实际上当然还是有的,但不一定是它防护的侧重点),实际上是在哪个阶段对网页防挂马产生的作用呢?sandbox跟脚本解析引擎没有什么关系,它跟HIPS的技术实现是类似(不要跟我提规则不规则的问题,我提的是它拦截动作的实现原理,就是Hook,而且是Hook的函数的相似性),它是对病毒行为进行拦截的。因此我们可以粗略地认为它恰恰是着重于漏洞利用过程的后半部分,即至少是在(5)以后的,重点是在(7)以后。 那么如果采用这种在后半部分拦截的方法,又会怎么样的?前面说了,有些漏洞利用过程失败了,它其实走不到后面这几个环节(比如当前系统压根没这个漏洞)就夭折了,那么在这种情况下,防挂马软件可能什么都没有拦截到也不需要拦截到(因为本来就没有实现)。 所以你会看到以下情况: 几个网页都进入了(2)阶段,它们的特征根本逃不脱金山网盾的解密和查找,全部落网,所以金山网盾全部做出了报警提示。 360浏览器的反应:在(2)阶段没有拦截,本来360在后面守着呢,结果它们根本走不到后面(IE7 0DAY这个由于heap spray动作过大,导致浏览器内存耗尽并崩溃,这个崩溃的效果不算漏洞利用的成功,而其他的触发不成功),所以360也就什么也没有拦截到,自然没有反应了。 360和金山的技术之争中最为关键的评语: 这个新IE7 0DAY出来的时候,为什么金山网盾声明他们早可以拦截,正是因为他们在(2)阶段根据相应恶意网页中典型的shellcode声明和heap spray语句这个明显的特征来实现拦截,只要你的POC是写成那个模式,加密后又可以被金山网盾正确解密,那么一样被拦截,这跟你用哪个漏洞没有关系。也就是说金山网盾在这里拦到的不是这个网页的漏洞利用动作,而是它的网页内容特征。对于这一点,不同的人就有不同的观感了,用户更多地认为这是好事,因为这更通用,而误报也不多(正常网页基本不可能写成那样),实际上这也是瑞星等其他厂商多数采用的方法之一。而360则认为这是“欺骗”(因为你拦截的时候不是针对的漏洞而是针对的网页文件特征,如果用户不了解就难免有“误导”让人以为这是金山网盾能够预先进行漏洞分析,这是360不可容忍的)。

我要举报
如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
晏子见了楚王.楚王瞅了一眼,冷笑一声,说:难道
QQ飞车酷币有什么用呢?(有图吗?)
今天肚子有点微痛,还吃了中药,拉肚子,而且
三年级班干部竞选演,四年级竞选班干部300字.
相性是什么意思,光为什么比声音快
一项工程,甲独做a天完成,乙独做b天完成,则
除什么之外,除了什么以外用英语怎么说
孩子练习题是这样的:仿写词:绿如蓝 ()如
剑桥商务英语中级b1证书去哪领取
一个人喝酒、是傻子德表现么?
“今子欲以子之梁国而吓我邪?”中的“吓”读x
我女朋友的姥爷去世了,我也很替她伤心,但是
我的DNF帐号怎么老是出现掉线提示啊,已经排
devoted to the cause of education,he is re
N字开头的有哪些名牌鞋?
推荐资讯
求教英语中译英 我承诺爱护花草(树木).I prom
亲情和爱情你会选什么呢?
我儿子今天半个月了,不知道为什么他吃奶时总
there is a bird in the tree.【对为复数句】
谁知道哪个音乐网站的音乐地址是后缀MP3格式
黑执事第一季第22集
登陆QQ时、QQ提醒有盗号木马、用金山查杀的时
脸上两边皮肤红又烫还痒是什么原因
没有云的天空还是天空,没有天空的云已不再是
黄钻怎么会突然就停了?
绿色植物直接参与碳循环的生物膜系统组成有A
我上个月6号来的月经,上个月26号同房了,这
正方形一边上任一点到这个正方形两条对角线的
阴历怎么看 ?