关于SONAR是否就是特征码检测的问题

kfwsadhjkl

告诉你一个玄机，昨天我运行了一个样本，诺顿静态扫描没扫描出来，一运行sonar就报毒了。问题在于这个样本一上来就提权的，我UAC还没允许呢，sonar就干掉了。这说明了。。。。。

这不是权限不权限的问题，UAC的拦截能够保证程序完全还没运行，也就是完全无动作。sonar如果是判断恶意行为，那么动作都没有怎么判断的？？还有不知道你注意没有，在沙盘测试样本时，sonar如果拦截，沙盘里就会显示unknown execution image ，换句话说，样本在载入内存时就被拦截掉了。如果是行为判断，比如微点这种，肯定不可能载入内存的时候就动手，而是要运行起来才能判定，所以微点还有回滚的功能来处理残余项。

所以我现在有8成把握，sonar就是特征码。以前有人做过实验，把诺顿的病毒库删了，sonar也完全不起作用了。

jefffire 发表于 2010-6-10 19:53

在测试区看到了这样一段对话，然后老佳去诺顿的官网发了咨询的帖子，而且这帖子没下文了？

如果SONAR就是特征码识别的话，SONAR的特征码和扫描的特征码识别有什么差别呢？SONAR能识别出来，为什么用扫描就不行呢？

hello8888

SONAR貌似是基于特征码的。。。。但是。。病毒要是绕过了UAC也保不齐。。毕竟UAC的防御功力有限啊。。更何况UAC并不是全部都管用的呢。。病毒也不用不着提权呢。。（个人猜测。。LX继续。。。）

bbs2811125

这个就不清楚了……

jefffire

SONAR貌似是基于特征码的。。。。但是。。病毒要是绕过了UAC也保不齐。。毕竟UAC的防御功力有限啊。。更何况 ...
hello8888 发表于 2010-6-15 16:18

UAC就是防提权的，如果你有样本能够提权而且UAC不报，这绝对是个严重0Day。目前我至少还没发现提权的样本能过UAC的

嘁。不稀罕~

所以我现在有8成把握，sonar就是特征码。以前有人做过实验，把诺顿的病毒库删了，sonar也完全不起作用了。

。。。诺顿的“病毒库”就只是“反病毒引擎用来比对的特征码”么？不能是可疑行为黑白名单？

TF\微点也是有库的，HIPS也是有规则的，这都算是“特征码”。

hello8888

回复 6# jefffire 的帖子


    我也是猜测哈。。。

jefffire

。。。诺顿的“病毒库”就只是“反病毒引擎用来比对的特征码”么？不能是可疑行为黑白名单？

TF\微点 ...
嘁。不稀罕~ 发表于 2010-6-15 16:24

仔细看上面几句，sonar起作用都是在样本实际运行前，我测试到现在还没发现有样本运行后sonar起作用的。可见sonar和微点，TF之类的“规则特征码”明显是不一样的

rfrftt

猜测，求解

kfwsadhjkl

。。。诺顿的“病毒库”就只是“反病毒引擎用来比对的特征码”么？不能是可疑行为黑白名单？

TF\微点 ...
嘁。不稀罕~ 发表于 2010-6-15 16:24

我看了一下测试区别人杀软成绩不好扫描不出样本的时候，诺顿的SONAR表现也一样糟糕。

kfwsadhjkl

但是微点的主防成绩就明显不一样。