SEP12.1.5与诺顿21对比测试【11.13更新】

bbszy

注：卡饭论坛ID：bbszy在卡饭论坛Symantec版区首发，转载需注明出处及原文地址。

本测试主要测试SEP12.1.5与诺顿21 SONAR、启发之间的差别

注：因为测试诺顿的和我今天测试SEP中间有些间隔，所以有几个当初诺顿没入库的样本在我今天测试的时候已经入库了。

样本来源：http://bbs.kafan.cn/thread-1786335-1-1.html，下载地址：http://pan.baidu.com/s/1jG43GFk

样本内容：




诺顿测试结果： http://bbs.kafan.cn/thread-1786336-1-1.html   （样本包里也有截图）
注：样本包里所有诺顿能防住的样本，诺顿只有两个报法：SONAR.Heuristic.120和SONAR.SelfHijack!gen1，且均是报的母体。

SEP测试结果：

测试环境：win8.1 with update x64 虚拟机，.netFreamwork库3.5、4 均有，SEP12.1.5（云连接正常）

测试时SEP已更新到最新：


插个题外话，SEP更新的时候会有一瞬间占用巨大，当然更新完了之后就回归正常水平了，占用又比较小了。



下面开始测试：

1.先测诺顿SONAR都能防住的样本，且关闭SEP bloodhood启发式：

SEP SONAR设置已开最高：



2.先解压，有部分样本已经入库：


3.对于剩下样本逐个运行：

01adfa0aaddfa8ffc0f22e885eaf4170.EXE 运行后本体消失，未见SEP提示，隔离区没有对应文件。系统未见明显异常（蓝屏、重启、很卡顿之类的），未见异常进程，未见异常启动项和驱动文件。

4E28BAEDCF7B9EDD910CA0A42507C5FE.EXE - SEP有提示 - 2.png - 报法与诺顿有差别，报释放物。母体被隔离，释放物被删除。未见异常进程，未见异常启动项和驱动文件


5F3979BBEEE7A9BB4F190EB922C38828.EXE - 运行错误 - 3.png


9F4519A26CAE99FE9B2C41CA5115D622.EXE - SEP无反应，系统未见明显异常（蓝屏、重启、很卡顿之类的），未检查是否有异常文件。

18BB31282288C8A18BB0E987E4ABD2D3.EXE - SEP无反应，系统未见明显异常（蓝屏、重启、很卡顿之类的），有异常启动项。

43CF64094B7E0E7A7A0496BF6CDF6B67.EXE - SEP无反应，系统未见明显异常（蓝屏、重启、很卡顿之类的），未检查是否有异常文件。

48A68D2ED91CF18021457A0F3C5E74F0.EXE - SEP无反应，系统未见明显异常（蓝屏、重启、很卡顿之类的），未检查是否有异常文件。

217C37A9830FD04892A495561D3A7F72.EXE - SEP有提示 - 4.png - 报母体，报法与诺顿有差别。母体被直接隔离，未报释放物，但也没发现有释放物。未见异常进程，未见异常启动项和驱动文件。


5368C7D49B525F47B8A3BB762BDBD517.EXE - SEP无反应，系统未见明显异常（蓝屏、重启、很卡顿之类的），未检查是否有异常文件。

7129AA949A7B4CD1FB037390BC5EE5E9.EXE - SEP无反应，释放的pdf被打开，系统未见明显异常（蓝屏、重启、很卡顿之类的），未检查是否有异常文件。

43610B1BF7E89F3CA27EB6A810D77768.EXE - SEP有提示 - 5.png - 报法与诺顿有差别，报释放物。母体被隔离，释放物被删除。未见异常进程，未见异常启动项和驱动文件。


A7BAF73F484026240875EDE1AD20922B.EXE - SEP无反应，系统未见明显异常（蓝屏、重启、很卡顿之类的），未检查是否有异常文件。

BC0B52C83532035908A3E1E3DF27DFC0.EXE - SEP有提示 - 6.png - 报母体，报法与诺顿有差别。母体被隔离，释放物被删除。未见异常进程，未见异常启动项和驱动文件。


C65A5DF5FE54A7D9B89A2BA85C9F224A.EXE - SEP无反应，系统未见明显异常（蓝屏、重启、很卡顿之类的），未检查是否有异常文件。

FF94BACF4350497075D5D41E361BC1A7.EXE - SEP有提示 - 7.png - 报法与诺顿有差别，报释放物。母体被隔离，释放物被删除。未见异常进程，未见异常启动项和驱动文件


运行后解锁密码随便输入什么SONAR才报.exe - SEP无反应，被锁屏，虚拟机被关闭。

超级关机.exe - SEP无反应，软件运行后，随便点了个普通关机，就关机了。

4.开启bloodhood启发并设为主动：


多杀两个，云启发报：注入svchost.EXE，01adfa0aaddfa8ffc0f22e885eaf4170.EXE - 8.png


A7BAF73F484026240875EDE1AD20922B.EXESEP有提示 - 9.png - 报母体，报法与诺顿有差别。母体被直接隔离，未报释放物，但也没发现有释放物。未见异常进程，未见异常启动项和驱动文件


5.对于诺顿防不住的样本，除了入库了的以外，SEP照样防不住。


我的看法：
1.SEP和诺顿的SONAR定义是不一样的，SEP在检测率和敏感度上明显弱于诺顿，可能是为了降低误报吧。SEP貌似没有诺顿的SONAR.Heuristic.120和SONAR.SelfHijack!gen1这两个定义。SEP有SONAR.Heuristic.121这个定义，见FF94BACF4350497075D5D41E361BC1A7.EXE这个样本，但显然跟SONAR.Heuristic.120不是一回事。

2.诺顿SONAR检测出的样本会反馈给铁壳，并且有一部分会立马入库，比如zbot类的样本。

3.我猜测诺顿有为SEP收集样本的作用，铁壳并没有把SONAR作为主要检测手段。

4.SEP和诺顿的差别主要在SONAR上，ips没发现区别；病毒库的话暂未发现差别，估计有差别也就是入库时间差一两天以及云启发稍弱一点，但随着时间的推移，同一个样本的检测结果两者应该是一样的。


@胖福 @驭龙


11月13日新的测试：
http://pan.baidu.com/s/1eQgp0OU
这个样本，诺顿会报SPAE.Heur.XXXX（见 http://bbs.kafan.cn/forum.php?mo ... 95&pid=33225568）
SEP监控下，扫描、运行这个样本均无反应

胖福

感谢楼主测试，这么看的话，就效果来说，SEP的SONAR最多也就个人版2011的水平！

驭龙

看我说的没错吧，Norton的SONAR完爆SEP吧，毕竟企业版需要的是稳定，无奈啊

bbszy

胖福 发表于 2014-11-12 13:01
感谢楼主测试，这么看的话，就效果来说，SEP的SONAR最多也就个人版2011的水平！

对于注入SEP貌似不太管

橡果公爵

驭龙 发表于 2014-11-12 13:03
看我说的没错吧，Norton的SONAR完爆SEP吧，毕竟企业版需要的是稳定，无奈啊

我很好奇，在这种情况下，驭龙大人的新贴最后第四章如何转折。

驭龙

橡果公爵 发表于 2014-11-12 14:30
我很好奇，在这种情况下，驭龙大人的新贴最后第四章如何转折。

好的，我马上去更新，SEP 12.1.5绝地反击开始了

EnZhSTReLniKoVa

橡果公爵 发表于 2014-11-12 14:30
我很好奇，在这种情况下，驭龙大人的新贴最后第四章如何转折。

SEP 好像有秘密武器，比较我们单位就是安装的SEP。今早诺顿售后才来维护。发现了某些东西。

柚子and蜂蜜

胖福 发表于 2014-11-12 13:01
感谢楼主测试，这么看的话，就效果来说，SEP的SONAR最多也就个人版2011的水平！

       你去试试微点能拦住几个样本？

胖福

bbszy 发表于 2014-11-12 13:15
对于注入SEP貌似不太管

不只是SEP，诺顿也是，以前对于svchost的注入，诺顿是直接结束进程，现在对于被注入进程则是暂不采取操作，以前对注入行为管得很严！

胖福

柚子and蜂蜜 发表于 2014-11-12 14:58
你去试试微点能拦住几个样本？

就我发的这些样本来说，基本没啥问题，毕竟我存的样本都是针对诺顿的！