转自:http://blog.xunleihd.com/360.html
本文只用了比较浅显的实验方法解释为什么破解版会被报风险,不深入讨论杀毒原理,我也并没有对360真实原理做过深入分析,感谢kpdd的指正。
做一个实验
1、下载官方原版迅雷7.9.6.4502安装
2、下载一个ResHacker(http://www.angusj.com/resourcehacker/reshack_cn_3.6.0.exe,有过汉化破解相关经验的应该知道这是一个资源修改器)
3、用ResHacker打开迅雷主程序Thunder.exe,修改文件版本为4500,并保存(如图)
4、开启迅雷下载一个文件试试,看360提示什么(如图)
这个实验很容易做,大家都可以试试,只修改了版本号,其他什么都没做,为什么会有这种情况,这需要从360的原理说起。
360用了一种很过激的方法来做安全软件,其他杀软都是黑名单+行为分析来杀毒,360则是用白名单+行为分析。就是说不在360白名单内的软件,都报风险。
这个机制好处是,木马完全没办法避过360了,因为只要360不认识的都认为危险(从这个角度讲360确实让木马越来越少了)。
坏处就是误报率非常高,比如刚才的实验,假设原版Thunder.exe的md5保存在白名单内,用reshacker修改版本后md5一定会发生变化,导致修改后的文件360不认识。360的行为分析又异常敏感,任何有可能被木马使用的方法,哪怕是正常程序使用都会被报风险。因此出现了前面的情况。
