NIS2010 Sonar断网测试。

jpzy

之前，鉴于NIS09的表现（曾经有一次，我和另外一个朋友测试NIS09后期版本的Sonar，10几个样本，报的寥寥无几，并且每个样本都要上传到社区防卫，等待反馈后才处理），对于Norton的Sonar，我一直持谨慎的态度。

昨天测试NIS2010的整体表现中，Sonar的精彩表演，让我不由得对它多了几分期待。可是另一方面，Sonar拦截后的文件智能分析页面上，赫然存在着社区防卫的信息。不由得让人依然对它有点担心。

今天JP决定再测一次，断网测试一下。

今天的测试环境仍然是：Vbox虚拟机，512M物理内存，安装了联想OEM XP SP3。

首先，开启虚拟机后，先断网。然后进行后续测试。



PS：这其实是JP测试之后截得。不过可以肯定的一点是，病毒库是昨天的。

解压毒包以后，特征码和启发方面居然比昨天少检出一个。出现了13个样本…………囧。



难道是老铁昨晚升级的时候排除了一个？？

昨天的样本测试结果我就不一个一个贴了。Sonar的表现跟昨天完全相同。



能看到社区防护信息。不过应该是昨天测试过程中下载的。



活动里面可以看到样本所做的一些事情。不过貌似这里很少能看到。一般都是运行后直接砍了，只有一个文件行为。

再用09.09的包来测试。解压缩以后，监控干掉了几个。剩下的文件如图：



一共17个。

双击开始运行。



不一个一个的贴了。贴一个出来。社区防护显示未知。断网以后，连接不到社区防护网络。



这里我忽然发现了一个比较囧的地方：“您已选择阻止并删除它”~~~囧囧，话说，这好像不是我选择的吧。这里的表述我觉得应该是，Norton选择阻止并删除它比较好。



从某个样本运行后开始，NIS2010就不再正常了。总是弹出两次Sonar提示。第一次提示终止了样本进程，第二次才是将样本删除。可能是运行过某样本后影响了NIS吧。

剩余的几个样本：



貌似是从A-11开始，NIS2010受到了点影响！



准备对注册机进行Sonar测试，结果特征码先………囧囧囧~~~~

运行了一个我收藏的捆绑了病毒的安装包（uusee），结果特征码报警…………



最后，我忽然想起来，Norton收购了PCT，那么Sonar很有可能吸收了Threatfire的技术，那么有没有可能像Threatfire那样杀父进程呢？尝试一下。

直接在压缩包里面运行样本



运行后，Sonar弹出提示。

之后，隔离完成。winrar正常，压缩包内的样本也正常。可见，Norton不会杀父进程…………哈哈~~~~

测试结束后，重启计算机，系统正常，无病毒进程。

总结：

（刚刚临时有事，没有写总结，现在补上……=.=!）

从目前的联网和断网测试来看，NIS2010版的Sonar是不依赖网络的。即使不联网，也能够正常的发挥作用。据JP的猜测，Sonar的工作流程应该是这样的，检测到有不在信任列表中的新进程启动时，Sonar开始工作，此时通过任务管理器可以看到，NIS2010的服务进程资源占用上升，如果行为分析发现可疑，则NIS2010会终止这个进程，并且会尝试联网获取社区防护信息，如果开启了NCW，则同时会建立一个NCW的上传。（从任务管理器的资源变化可以差不多确认这一点。刚刚运行样本的时候，NIS2010的服务进程也就是其主进程的CPU和内存占用都会飙升。当NIS2010发现样本具有威胁时（有高危动作……？！），样本进程会被终止，当样本进程终止以后，NIS2010的两个进程的资源占用就都恢复到静态水平了。此后的操作都不占用资源。）无论是否联网查询到了社区防护信息，Sonar都会在经过一定时间后（联网的话，应该是获得了查询信息以后，未联网的话，则是联网尝试超时以后）弹出警示框（因为有联网尝试请求查询社区防护信息的时间，所以Sonar的提示框看起来出现的很慢。这里倒是不像09那样，在获取反馈之前的延时内，样本可以为所欲为。这段时间样本已经被结束了。只是Norton进行后续处理的过程。）。如果获取了社区防护信息是高危险或者未获取到，则Sonar会删除样本，并且根据之前分析的结果，还原样本的操作。现在还不知道，如果获取到的社区防护信息是安全，则Sonar是否会放过该程序。

如果社区防护有大量的某一程序的安全反馈，相信Norton会考虑将其加入白名单。

目前的Sonar，就安全方面的表现来看，是无懈可击的。之前JP在NIS2009中反复强调的Sonar上传到反馈这段时间的威胁漏洞，在这个版本里面应该不存在了。不过Sonar现在有个小小的问题，就是，当一个新程序运行的时候，Sonar会进行行为分析，在行为分析的过程中，用户会感觉到系统变慢，所运行的进程变慢的情况。还记得卡巴2009么？当时它被诟病比较多的就是启动新程序很慢。NIS2010虽然给人感觉没有卡巴自动创建规则那么慢，但是仍然是可以感觉到的。比如我刚刚测试了安装搜狗拼音输入法。在刚开始运行，安装结束和配置结束的几个时间点上，都无一例外的卡了。很明显，这种行为分析，肯定会对用户体验带来一定的影响。比如Threatfire就被很多人说卡机。不过，相信后续随着白名单的不断完善和社区防护信息的不断增加，这种现象应该可以获得一定的缓解。

OK，刚才是非完美版。现在完美了。大家开始拍吧！

[ 本帖最后由 jpzy 于 2009-9-10 11:01 编辑 ]

ll123456

支持一下，这样的评测很精彩！

ruibin_yuan

赛门铁克和国内的杀毒软件完全没有可比性。

主动防御

支持，诺顿NIS2010的sonar不错，智能安全

葱葱.Com

墙裂支持JP的测试！

mexth

支持一下JP的测试。

samtogo

支持测试。。期待新一版本的诺顿

jpzy

刚才临时有事，只能把测试过程和图片简单上传了。现在补完了~~~

ll123456

请问你的序列号可以绑定邮箱么？我的怎么不行哦！

asinasina

搞得我又想装norton啦。。