查看: 21673|回复: 19
收起左侧

[原创] SEP12.1.5与诺顿21对比测试【11.13更新】

[复制链接]
bbszy
发表于 2014-11-12 12:21:57 | 显示全部楼层 |阅读模式
本帖最后由 bbszy 于 2014-11-16 11:07 编辑

注:卡饭论坛ID:bbszy在卡饭论坛Symantec版区首发,转载需注明出处及原文地址。

本测试主要测试SEP12.1.5与诺顿21 SONAR、启发之间的差别

注:因为测试诺顿的和我今天测试SEP中间有些间隔,所以有几个当初诺顿没入库的样本在我今天测试的时候已经入库了。

样本来源:http://bbs.kafan.cn/thread-1786335-1-1.html,下载地址:http://pan.baidu.com/s/1jG43GFk

样本内容:




诺顿测试结果: http://bbs.kafan.cn/thread-1786336-1-1.html   (样本包里也有截图)
注:样本包里所有诺顿能防住的样本,诺顿只有两个报法:SONAR.Heuristic.120和SONAR.SelfHijack!gen1,且均是报的母体。

SEP测试结果:

测试环境:win8.1 with update x64 虚拟机,.netFreamwork库3.5、4 均有,SEP12.1.5(云连接正常)

测试时SEP已更新到最新:



插个题外话,SEP更新的时候会有一瞬间占用巨大,当然更新完了之后就回归正常水平了,占用又比较小了。



下面开始测试:

1.先测诺顿SONAR都能防住的样本,且关闭SEP bloodhood启发式:

SEP SONAR设置已开最高:



2.先解压,有部分样本已经入库:


3.对于剩下样本逐个运行:

01adfa0aaddfa8ffc0f22e885eaf4170.EXE 运行后本体消失,未见SEP提示,隔离区没有对应文件。系统未见明显异常(蓝屏、重启、很卡顿之类的),未见异常进程,未见异常启动项和驱动文件。

4E28BAEDCF7B9EDD910CA0A42507C5FE.EXE - SEP有提示 - 2.png - 报法与诺顿有差别,报释放物。母体被隔离,释放物被删除。未见异常进程,未见异常启动项和驱动文件


5F3979BBEEE7A9BB4F190EB922C38828.EXE - 运行错误 - 3.png


9F4519A26CAE99FE9B2C41CA5115D622.EXE - SEP无反应,系统未见明显异常(蓝屏、重启、很卡顿之类的),未检查是否有异常文件。

18BB31282288C8A18BB0E987E4ABD2D3.EXE - SEP无反应,系统未见明显异常(蓝屏、重启、很卡顿之类的),有异常启动项。

43CF64094B7E0E7A7A0496BF6CDF6B67.EXE - SEP无反应,系统未见明显异常(蓝屏、重启、很卡顿之类的),未检查是否有异常文件。

48A68D2ED91CF18021457A0F3C5E74F0.EXE - SEP无反应,系统未见明显异常(蓝屏、重启、很卡顿之类的),未检查是否有异常文件。

217C37A9830FD04892A495561D3A7F72.EXE - SEP有提示 - 4.png - 报母体,报法与诺顿有差别。母体被直接隔离,未报释放物,但也没发现有释放物。未见异常进程,未见异常启动项和驱动文件。


5368C7D49B525F47B8A3BB762BDBD517.EXE - SEP无反应,系统未见明显异常(蓝屏、重启、很卡顿之类的),未检查是否有异常文件。

7129AA949A7B4CD1FB037390BC5EE5E9.EXE - SEP无反应,释放的pdf被打开,系统未见明显异常(蓝屏、重启、很卡顿之类的),未检查是否有异常文件。

43610B1BF7E89F3CA27EB6A810D77768.EXE - SEP有提示 - 5.png - 报法与诺顿有差别,报释放物。母体被隔离,释放物被删除。未见异常进程,未见异常启动项和驱动文件。


A7BAF73F484026240875EDE1AD20922B.EXE - SEP无反应,系统未见明显异常(蓝屏、重启、很卡顿之类的),未检查是否有异常文件。

BC0B52C83532035908A3E1E3DF27DFC0.EXE - SEP有提示 - 6.png - 报母体,报法与诺顿有差别。母体被隔离,释放物被删除。未见异常进程,未见异常启动项和驱动文件。


C65A5DF5FE54A7D9B89A2BA85C9F224A.EXE - SEP无反应,系统未见明显异常(蓝屏、重启、很卡顿之类的),未检查是否有异常文件。

FF94BACF4350497075D5D41E361BC1A7.EXE - SEP有提示 - 7.png - 报法与诺顿有差别,报释放物。母体被隔离,释放物被删除。未见异常进程,未见异常启动项和驱动文件


运行后解锁密码随便输入什么SONAR才报.exe - SEP无反应,被锁屏,虚拟机被关闭。

超级关机.exe - SEP无反应,软件运行后,随便点了个普通关机,就关机了。

4.开启bloodhood启发并设为主动:


多杀两个,云启发报:注入svchost.EXE,01adfa0aaddfa8ffc0f22e885eaf4170.EXE - 8.png


A7BAF73F484026240875EDE1AD20922B.EXESEP有提示 - 9.png - 报母体,报法与诺顿有差别。母体被直接隔离,未报释放物,但也没发现有释放物。未见异常进程,未见异常启动项和驱动文件


5.对于诺顿防不住的样本,除了入库了的以外,SEP照样防不住。


我的看法:
1.SEP和诺顿的SONAR定义是不一样的,SEP在检测率和敏感度上明显弱于诺顿,可能是为了降低误报吧。SEP貌似没有诺顿的SONAR.Heuristic.120和SONAR.SelfHijack!gen1这两个定义。SEP有SONAR.Heuristic.121这个定义,见FF94BACF4350497075D5D41E361BC1A7.EXE这个样本,但显然跟SONAR.Heuristic.120不是一回事。

2.诺顿SONAR检测出的样本会反馈给铁壳,并且有一部分会立马入库,比如zbot类的样本。

3.我猜测诺顿有为SEP收集样本的作用,铁壳并没有把SONAR作为主要检测手段。

4.SEP和诺顿的差别主要在SONAR上,ips没发现区别;病毒库的话暂未发现差别,估计有差别也就是入库时间差一两天以及云启发稍弱一点,但随着时间的推移,同一个样本的检测结果两者应该是一样的。


@胖福 @驭龙


11月13日新的测试:
http://pan.baidu.com/s/1eQgp0OU
这个样本,诺顿会报SPAE.Heur.XXXX(见 http://bbs.kafan.cn/forum.php?mo ... 95&pid=33225568
SEP监控下,扫描、运行这个样本均无反应

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3分享 +2 人气 +2 收起 理由
屁颠屁颠 + 2 版区有你更精彩: )
vocation1985 + 1 原创内容
黑鹰99 + 1 原创内容

查看全部评分

胖福
发表于 2014-11-12 13:01:45 | 显示全部楼层
感谢楼主测试,这么看的话,就效果来说,SEP的SONAR最多也就个人版2011的水平!
驭龙
发表于 2014-11-12 13:03:38 | 显示全部楼层
看我说的没错吧,Norton的SONAR完爆SEP吧,毕竟企业版需要的是稳定,无奈啊
bbszy
 楼主| 发表于 2014-11-12 13:15:26 | 显示全部楼层
胖福 发表于 2014-11-12 13:01
感谢楼主测试,这么看的话,就效果来说,SEP的SONAR最多也就个人版2011的水平!

对于注入SEP貌似不太管
橡果公爵
发表于 2014-11-12 14:30:38 | 显示全部楼层
驭龙 发表于 2014-11-12 13:03
看我说的没错吧,Norton的SONAR完爆SEP吧,毕竟企业版需要的是稳定,无奈啊

我很好奇,在这种情况下,驭龙大人的新贴最后第四章如何转折。
驭龙
发表于 2014-11-12 14:43:38 | 显示全部楼层
橡果公爵 发表于 2014-11-12 14:30
我很好奇,在这种情况下,驭龙大人的新贴最后第四章如何转折。

好的,我马上去更新,SEP 12.1.5绝地反击开始了
EnZhSTReLniKoVa
发表于 2014-11-12 14:50:16 | 显示全部楼层
本帖最后由 君陌潇 于 2014-11-12 14:57 编辑
橡果公爵 发表于 2014-11-12 14:30
我很好奇,在这种情况下,驭龙大人的新贴最后第四章如何转折。


SEP 好像有秘密武器,比较我们单位就是安装的SEP。今早诺顿售后才来维护。发现了某些东西。
柚子and蜂蜜
头像被屏蔽
发表于 2014-11-12 14:58:49 | 显示全部楼层
胖福 发表于 2014-11-12 13:01
感谢楼主测试,这么看的话,就效果来说,SEP的SONAR最多也就个人版2011的水平!

       你去试试微点能拦住几个样本?
胖福
发表于 2014-11-12 17:30:08 | 显示全部楼层
bbszy 发表于 2014-11-12 13:15
对于注入SEP貌似不太管

不只是SEP,诺顿也是,以前对于svchost的注入,诺顿是直接结束进程,现在对于被注入进程则是暂不采取操作,以前对注入行为管得很严!
胖福
发表于 2014-11-12 17:30:59 | 显示全部楼层
柚子and蜂蜜 发表于 2014-11-12 14:58
你去试试微点能拦住几个样本?

就我发的这些样本来说,基本没啥问题,毕竟我存的样本都是针对诺顿的!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 23:48 , Processed in 0.137234 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表