本帖最后由 尘梦幽然 于 2012-11-15 19:12 编辑
本文大量引用了驭龙的作品::http://bbs.kafan.cn/thread-1284602-1-1.html,在此鸣谢!但愿我的狗血级续章不会被喷...大家不要喂我人参公鸡啊,我最近火气有点大。。。
由于一些特殊原因,某些引擎的升级只有在Beta版的时候看得到,所以本处将使用Beta版进行讲解。(在诺顿2013系列发布后,诺顿2012系列的扫描引擎和IPS引擎也进行了升级。)
之前很多人认为诺顿对I/O读写超大,有些朋友因此放弃诺顿,现在大家不必担心这个问题,今后可以放心使用诺顿,如图所示:
开机一个小时
开机六个小时
很多人不建议老爷机用户使用诺顿,诸如后台任务等等会卡系统,现在这个版本虽然是Beta一版,性能已经超越当年流畅性最受好评的2009版,老爷机再也不必纠结,是否使用诺顿或关闭空闲时扫描等等的问题。
如果你认为Norton 2013系列,仅仅是一个增强版,那你真的是错了,因为Symantec的反病毒引擎是一年一更新的,而不是几个月一更新,随着2013 Beta版本的发布,已经一年没有更新的反病毒引擎,现在已经更新,大家等待着Norton 2013系列正式版以后,给我们带来的新查杀体验吧。
2012版引擎相关文件与2013版引擎相关文件,版本对比图
上方文件为2012特征库引擎相关文件,下方文件为2013特征库引擎相关文件
当时Norton 2012版的IPS引擎版本是4.9.0.6,驱动版本是10.1.1.8版本
而Norton 2013 Beta版的IPS引擎版本已经大提升为大版本5.0.0.103,驱动版本也是大版本升级为11.0.0.210。
因此Norton 2013会给我们带来更强大的IPS功能,毕竟引擎版本从4升级到5,驱动版本从10升级到11,这必然是一次大飞跃,让我们拥有更强大的入侵保护系统 IPS。
另外值得一提的是,误报卡饭的Malicious DNS Domain功能,就是这个IPS新版本的新功能之一。
我来说一说SONAR的版本变化,以及文件版本和定义的位置。
以Windows 7 系统和Norton 2013为例,SONAR和启发的行为定义在C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.0.0.106\Definitions\BASHDefs\20120512.999
Definitions文件夹下包含诺顿的全部本地特征库,其中BASHDefs文件夹就是诺顿的启发式和SONAR的特征定义,特征定义真正名称为Proactive Threat Protection,中文名为“主动式威胁保护”。
而文件夹的名称是:
BASH(Behavioral Analysis and Security Heuristics)Defs(Definitions)即“行为分析和安全启发式定义”
在2012版本中的该文件夹内,文件版本是6.6版本,也就是我们说是SONAR 4版本,举例如BHEngine文件版本就是6.6的
而在2013 Beta 版本中BHEngine文件已经是7.0的大版本,SEP 12.1官方说它的SONAR是三代,文件BHEngine版本为6.2,NIS 2012 是SONAR的四代,文件BHEngine版本为6.6,因此2013版的SONAR 5一定会有很大的变化。
在BASHDefs文件夹下,2013版多出了一个SONAR的引擎文件UMEngx86.dll,以及多个定义文件。
昨天跟大家介绍了SONAR的特征库定义和引擎版本,今天来介绍一下SONAR的真正核心文件。
在诺顿的主程序文件夹下存在这BHClient.dll和BHSvcPlg.dll,这两个文件才是SONAR的重要组成部分,通过它们来确定SONAR的代数,现在2013 Beta版,那两个文件是7.0,也就是SONAR 五代。
在BASHDefs文件夹下,2013版多出了一个SONAR的引擎文件UMEngx86.dll,以及多个定义文件,而其中 这个SONAR 引擎会注入系统的进程当中,具体作用,尚未分析。
因此,当2013驾临的时候,必然会给我们带来全新一代的SONAR,大家一起期待吧。
虽然不能确定诺顿的架构究竟改变多少,但现在可以确定的是,2013版是使用Microsoft VS 10和 Microsoft VS 11Beta平台编写的,因为诺顿运行时需要的VS运行时库版本是VS 10和VS 11Beta版本,当然双版本应该是过渡,相信以后的版本必然是VS 11最新的软件开发平台。
因此,2013版必然绝非等闲之辈,采用全新软件开发平台编写的它,不仅仅会在性能上提升,在Windows 8上会更加稳定,当然采用新开发平台开发的诺顿,好处不仅仅只有这些,只因我不是学编程的具体情况,自然无法完全展示给大家,但我依然相信诺顿的2013正式版,一定会给我们不一样的全新体验。
然后我说一些最近SONAR的变化吧:以前诺顿的SONAR经常只是报文件有威胁,现在每一个威胁的检测都做到规范化,都有根据SONAR检测的分类报毒,比如:
完整路径: 不可用
威胁: SONAR.ProcHijack!gen3
____________________________
____________________________
在电脑上的创建时间 2012-10-19 ( 22:35:03 )
上次使用时间 2012-10-19 ( 22:35:03 )
启动项目 是
已启动 是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
源文件:
winrar.exe
创建的文件:
z2u.exe
____________________________
文件操作
文件: c:\documents and settings\administrator\桌面\z2u.exe
已删除
文件: c:\documents and settings\administrator\application data\izone\wozyh.exe
已删除
____________________________
注册表操作
注册表更改: HKEY_USERS\S-1-5-21-1177238915-1383384898-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run->{B66E545F-FA9F-AD41-8C5F-8E25938AAD37}
已删除
____________________________
系统设置操作
事件: 进程启动 (执行者 c:\documents and settings\administrator\桌面\z2u.exe, PID:3684)
未采取操作
事件: PE 文件创建: c:\documents and settings\administrator\application data\izone\wozyh.exe (执行者 c:\documents and settings\administrator\桌面\z2u.exe, PID:3684)
未采取操作
事件: 进程启动: c:\documents and settings\administrator\application data\izone\wozyh.exe, PID:4056 (执行者 c:\documents and settings\administrator\桌面\z2u.exe, PID:3684)
未采取操作
事件: 进程启动: c:\WINDOWS\system32\cmd.exe, PID:2764 (执行者 c:\documents and settings\administrator\桌面\z2u.exe, PID:3684)
未采取操作
事件: 进程启动: c:\documents and settings\administrator\桌面\z2u.exe, PID:3684 (执行者 c:\documents and settings\administrator\桌面\z2u.exe, PID:3684)
未采取操作
事件: 进程启动 (执行者 c:\documents and settings\administrator\application data\izone\wozyh.exe, PID:4056)
未采取操作
____________________________
可疑操作
事件: 尝试在进程地址空间内启动远程线程 (执行者 c:\documents and settings\administrator\application data\izone\wozyh.exe, PID:4056)
未采取操作
平均资源使用率:低平均CPU 使用率:低平均内存使用率:低
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________
--------------------------------------------------------------------------------------------------------
该病毒的另一个变种则被检测为:
完整路径: 不可用
威胁: SONAR.Heuristic
____________________________
____________________________
在电脑上的创建时间
2012/10/19 ( 0:56:17 )
上次使用时间
2012/10/19 ( 0:56:17 )
启动项目
否
已启动
是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________
file origin tree
winrar.exe
z2u.exe
meij.exe
____________________________
文件操作
meij.exe
已删除
z2u.exe
不需要操作
____________________________
系统设置操作
未采取操作
meij.exe
未采取操作
未采取操作
meij.exe
未采取操作
meij.exe
未采取操作
cmd.exe
未采取操作
z2u.exe
未采取操作
____________________________
可疑操作
未采取操作
平均资源使用率:低 平均CPU 使用率:低 平均内存使用率:低
____________________________
文件指纹 - SHA:
不可用
____________________________
文件指纹 - MD5:
不可用
____________________________
这样有利于在加特征例外时更加方便。以前由于没有报名称,还原并自动加例外后例外列表竟然是空的并且还无法删除例外!现在可以轻松删除例外恢复对文件的检测了。
前面提到了诺顿的扫描引擎升级,现在看来效果显著啊:
诺顿2013版今年9月在卡饭日包查杀的平均查杀率:81.20%
诺顿2013版在今年9月的卡饭月包查杀率:98.24%,远超以高查杀著称的360杀毒(93.61%),位列第一。
今年的诺顿引擎似乎在光子引擎和启发式引擎方面有不小的提升,下面举一个例子:
20121015
下载分析全杀,其中信誉杀7个
类别: 已解决的安全风险
日期和时间,风险,活动,状态,推荐的操作,路径 - 文件名
2012/10/16 3:28:55,中,检测到 47.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\47.exe
2012/10/16 3:28:53,中,检测到 39.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\39.exe
2012/10/16 3:28:51,中,检测到 37.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\37.exe
2012/10/16 3:28:49,中,检测到 5.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\5.exe
2012/10/16 3:28:47,中,检测到 46.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\46.exe
2012/10/16 3:28:45,高,检测到 38.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\38.exe
2012/10/16 3:28:43,高,检测到 36.exe (Downloader) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\36.exe
2012/10/16 3:28:41,高,检测到 35.exe (Trojan.ADH) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\35.exe
2012/10/16 3:28:40,高,检测到 34.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\34.exe
2012/10/16 3:28:38,高,检测到 33.exe (Suspicious.Epi) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\33.exe
2012/10/16 3:28:36,高,检测到 45.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\45.exe
2012/10/16 3:28:34,高,检测到 40.exe (Trojan.Usuge!gen3) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\40.exe
2012/10/16 3:28:33,高,检测到 32.exe (Suspicious.Epi) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\32.exe
2012/10/16 3:28:31,高,检测到 8.exe (Suspicious.Epi) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\8.exe
2012/10/16 3:28:29,高,检测到 31.exe (Downloader) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\31.exe
2012/10/16 3:28:27,中,检测到 27.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\27.exe
2012/10/16 3:28:25,低,检测到 25.exe (Trackware.MegaSearch) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\25.exe
2012/10/16 3:22:59,高,检测到 3.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\3.exe
2012/10/16 3:22:57,高,检测到 44.exe (Trojan.Gen.2) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\44.exe
2012/10/16 3:22:56,高,检测到 24.exe (Trojan.Zbot) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\24.exe
2012/10/16 3:22:53,低,检测到 7.exe (Adware.CPush) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\7.exe
2012/10/16 3:22:45,高,检测到 41.exe (Trojan.ADH.2) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\41.exe
2012/10/16 3:22:44,高,检测到 4.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\4.exe
2012/10/16 3:22:42,中,检测到 23.exe (WS.Reputation.1) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\23.exe
2012/10/16 3:22:40,高,检测到 17.exe (W32.Pilleuz) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\17.exe
2012/10/16 3:22:36,高,检测到 19.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\19.exe
2012/10/16 3:22:35,高,检测到 9.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\9.exe
2012/10/16 3:22:33,高,检测到 15.exe (Trojan.StartPage) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\15.exe
2012/10/16 3:22:29,高,检测到 14.exe (Downloader) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\14.exe
2012/10/16 3:22:27,高,检测到 13.exe (Infostealer.Gampass) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\13.exe
2012/10/16 3:22:25,高,检测到 16.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\16.exe
2012/10/16 3:22:23,高,检测到 18.exe (Trojan.ADH.2) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\18.exe
2012/10/16 3:22:22,高,检测到 22.exe (Trojan.ADH) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\22.exe
2012/10/16 3:22:20,高,检测到 21.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\21.exe
2012/10/16 3:22:18,高,检测到 30.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\30.exe
2012/10/16 3:22:16,高,检测到 20.exe (Trojan.ADH.2) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\20.exe
2012/10/16 3:22:14,高,检测到 48.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\48.exe
2012/10/16 3:22:13,高,检测到 50.exe (Downloader) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\50.exe
2012/10/16 3:22:11,高,检测到 50.exe (W32.Virut.W) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\50.exe
2012/10/16 3:22:07,高,检测到 29.exe (Trojan.ADH) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\29.exe
2012/10/16 3:22:05,高,检测到 26.exe (Backdoor.Trojan) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\26.exe
2012/10/16 3:22:03,高,检测到 28.exe (Suspicious.Zlob) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\28.exe
2012/10/16 3:10:05,高,检测到 12.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\12.exe
2012/10/16 3:10:03,高,检测到 49.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\49.exe
2012/10/16 3:10:01,高,检测到 43.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\43.exe
2012/10/16 3:09:59,高,检测到 11.exe (Trojan.ADH) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\11.exe
2012/10/16 3:09:57,高,检测到 10.exe (Trojan.ADH.2) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\10.exe
2012/10/16 3:09:55,高,检测到 6.exe (Trojan.Gampass.E) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\6.exe
2012/10/16 3:09:53,高,检测到 2.exe (Trojan.Gen) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\2.exe
2012/10/16 3:09:52,高,检测到 42.exe (Infostealer.Banker.C) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\42.exe
2012/10/16 3:09:49,高,检测到 1.exe (Suspicious.Zlob) (检测方: 下载智能分析),已隔离,已解决 - 不需要操作,c:\users\sshss\downloads\1015-1111\1015-1111\1\1\1.exe
其中Trojan.Usuge!gen3应为光子引擎检测的结果。是Trojan.Usuge 病毒
光子引擎(Photon Engine)
-使用模糊(广谱)签名(fuzzy signatures),对新的未知的变种恶意软件家族(malware strains)提供出色的检出率;
-数以万计的模糊签名同时使用,扫描性能大幅提高;
而Suspicious.Zlob可能是Malheur或者高级启发式引擎检测的结果。
启发式引擎(Malheur),基于文件的启发式扫描技术,可以根据文件属性,检测常规的未知恶意软件。
高级启发式引擎(Advanced Heuristic Engines),使用本地/云端启发式签名及声誉数据,更好的检测服务端多态恶意软件家族(server-side polymorphed strains)。
-不断完善的恶意软件特征与启发式研究/签名库;
-可疑文件都与Symantec的声誉云/数字签名数据库关联;
-引擎根据情景调整灵敏度,比如启发式对新下载的文件比已安装的应用程序灵敏的多
虽然选的样本包并不是很具备代表性(这个样本包当中因入库而被检测的文件占多数)但在最近一些各大安软检测率不良的高质量样本包中诺顿的启发引擎和光子引擎大放异彩,取得优异的检测率,有时超过50%的病毒检测能力都由这些先进的引擎创造。
还有,诺顿产品还包含了反多态引擎(Anti-Polymorphic Engine),包括先进的CPU仿真技术,检测隐形的多态恶意软件。其检测名称为Trojan.ADH等,详见各病毒的赛门铁克病毒百科资料。
总之,诺顿2013(20.x)产品给我们带来了全新的、轻巧的安全防护体验,是一款值得托付的产品!
|
[复制链接]
发表于 2012-11-15 19:06:09
楼主
想纯表。。。
写的确实不错。。。。。。。。
