99秒云鑒定撕碎病毒的偽裝

現在大部分殺毒軟件都自帶了下載后自動查殺病毒的功能，可是即使殺毒軟件沒有報警，也不一定就是百分之百的安全，因為有些盜號木馬的新變種會通過各種免殺技術繞過殺毒軟件的追捕，等殺毒軟件可以識別這些病毒后自己的賬號早已飛入他人的囊中了。所以最新版本的金山毒霸中就增加了一個“云鑒定”的功能，當發現某個文件在試圖更改系統設定，自己不能確定是運行程序的正常步驟還是文件被捆綁上了病毒木馬，而且殺毒軟件反復查殺都不能看出端倪的話，可以讓服務器來鑒定一下它的安全性。

鑒定方法

雙擊金山毒霸的托盤圖標，在彈出的主界面中依次點擊“安全百寶箱/云鑒定器”。這時軟件會彈出云鑒定器的操作界面，點擊窗口中的“我要鑒定”按鈕，在彈出的窗口選擇要進行鑒定的文件（如圖1）。接下來云鑒定器首先會通過金山云安全系統，對這個文件的安全性進行判斷，如果云端服務器已經存在這個文件的資料，那么就會馬上給出該文件的鑒定結果（如圖2）。

云鑒定的結果絕大多數都是瞬間完成的，但如果云端服務器沒有立即給出這個文件的鑒定結果，也并不能說明該文件是絕對安全的，云鑒定會認為這是一個“安全性未知”的文件。這樣云鑒定器就會自動將這個文件上傳到云端服務器。上傳完成后就可以看到軟件99秒的倒計時。而在這段99秒的時間里，云端服務器會通過自身的分析鑒定技術對這個文件進行安全屬性的判斷（如圖3），一旦云端服務器判斷這個文件為病毒，就會馬上在云鑒定器的界面給出“病毒”的提示，并提示用戶刪除。

雖然“云鑒定”號稱99秒搞定文件的安全性，不過當程序在99秒內也無法判定文件是否安全時，云鑒定器就會將文件自動轉入人工分析的步驟。傳給金山公司的工程師，對文件代碼進行分析，很快就可以給出準確的判斷結果，并通過在系統右下角彈窗的方式反饋給用戶。通過人工鑒定的相關文件，會在鑒定結果后顯示一個綠色的頭像。如果上傳的文件的確是病毒文件自動對這個病毒文件進行刪除操作。

體驗感受

經過筆者實際測試后，發現即使99秒的云鑒定不能識別文件的安全性，通過人工分析消耗的時間大約也只有5-10分鐘時間，即使筆者對測試用的木馬程序選用了脫殼等網上流行的免查殺手段，也依舊沒有逃脫人工分析的法眼。

另外，云鑒定的出現也可以讓大家在下載了某個不知是否安全的程序后第一時間判斷其是否存在木馬病毒，而不是去手動檢查自己殺毒軟件的病毒數據庫是否更新（特別是以前金山衛士頻繁的更新速度總會給筆者一種漏掉病毒數據的感覺）。

不過這項新技術還是有兩點不足：目前云鑒定每次只能對單一的文件進行檢查，而沒辦法對整個系統進行掃描；而且和其他云技術一樣，一旦病毒切斷了用戶的網絡或在系統中屏蔽了金山服務器的地址，云鑒定就完全失去作用了。

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文