智能摘要 AI
360近期推出了鲲鹏(KP)引擎,并将其应用于360杀毒和360安全中心,替代原有的小红伞和BD引擎。鲲鹏引擎是国内自主研发的传统特征引擎,旨在实现产品国产化。测试结果显示,在联网状态下,鲲鹏引擎表现正常,但在断网情况下,其杀毒能力显著下降并存在误报问题。相较于小红伞引擎,鲲鹏在某些场景下的查杀能力较弱。尽管如此,鲲鹏引擎的推出符合当前国产化的趋势,未来可能在独立查杀方面发挥作用。总体而言,鲲鹏引擎的引入是360应对国内网络安全环境的重要举措,但仍需改进以提升查杀效率和准确性。
0x00 事件起因
在去年 360新上了鲲鹏(KP)引擎 并且在国内 360杀毒和360安全中心小红伞和BD引擎已经全部更换
目前360国内版 已经完全实现了国内化 并且这个鲲鹏也颇有“中国风”
靠着云多引擎起家的360研发本地引擎啦!而且还是传统特征引擎!
0x01 详情探究
由 Jerry.Lin 在卡饭论坛 2020-3-29 09:09:15 发布了一篇帖子:
简单测试360全新本地自研引擎:鲲鹏
https://bbs.kafan.cn/thread-2177174-1-1.html
其中 楼主做出了以下测试
引擎:鲲鹏
组件:
360KP.dll
360KPBase.dll
kpb.def - 病毒库~93MB特征报法
Backdoor.Win32.Wabot.A
Trojan.Win32.Cosmu.D
Trojan.Win32.Qukart.A
Worm.Win32.Sfone.A
Virus.Win32.CTS.C
Trojan.Ransom.Win32.Crusis.A
Trojan.Win32.Coins.A疑似拉黑报法
G_Trojan.VB.00294c62
G_Rootkit.Generic.000f4dcc
G_Trojan.Generic.00234790
G_Trojan.Generic.000f5562并且在360社区闲逛的时候 也发现了崭新的 360安全大脑沙箱云
0x02 关于鲲鹏与实战
目前,可以明确的是:
在断网情况下,360的杀毒能力与以往相比下降了很多,并且鲲鹏存在误报
比起以往的小红伞杀毒引擎,鲲鹏确实效果低了,但是在联网情况下的话,杀毒效果还是不出错的
我在虚拟机环境(断网)中测试了鲲鹏引擎和小红伞引擎的效果
我对 DHL的下载者木马进行了一些处理 编译后进行杀毒
结果如下图所示
小红伞引擎报毒 TR.Downloader 并且定位在了 WriteFile 和其他三个函数上
而鲲鹏引擎却直接显示 本次扫描未发现任何安全威胁
已经可以很明显的看出杀毒能力的强弱。
0x03 总结
在当今的大趋势下,越来越多的产品开始逐步实现全国产化,360等国内杀毒软件也是紧跟潮流,没有落下。
对于专门搞云查杀的360来说,新增鲲鹏引擎也许是多余的一步棋子,但是从长远来看,手握独家杀毒引擎,在将来也许会发挥很大的作用
替换国内引擎,针对国内网络安全环境实现本土化,可谓是上上签。
但在这其中,也鬼使神差的降低一些Trojan被查杀的概率。
攻防无绝对,攻防永无止境
评论 (0)