sonar测试

xxxxxxxfc

        首先我承认诺顿的综合防护能力是不错，可在这个帖子中有人说过火了（http://bbs.kafan.cn/thread-934569-2-1.html中的17楼和50楼这位“忧郁的迷糊酱“回贴），sonar不是万能的。不过我也只看别人测试过，拦截率约百分之六七十，并不算高，可毕竟不是自己测试的没有说服力。于是便在虚拟机中安装了NIS，可发现关闭了反病毒sonar就关闭了，sonar无法单开，根本单独测试sonar，我搜集的病毒都是些已经有的以前的病毒，所以反病毒基本都会报毒，不报那基本就是残废了。不知道有没有人知道诺顿病毒库的文件位置，我好删库测试。或有什么单独关闭反病毒的方法，好进一步测试，毕竟一个病毒不能说明什么。
      为了找到查杀不出来的我一个一个解压（并且没更新病毒库）终于发现一个，是卡饭上一个人做的吃硬盘程序，当然从某种意义上说可以不算病毒。反正结果如下：
   

一个病毒并不能说明什么，所以希望有人能告诉我诺顿病毒库的文件位置，我好删库测试。或有什么单独关闭反病毒的方法，好进一步测试。诺顿还是不错的，别惊慌，只是那人的话实在是不能苟同。
        诺顿足够了，我发帖的目的是27楼，以及我所提到的那个贴，我要纠正那种什么“防重要就行了”，实际上防和杀是成正相关的，没其它意思。其实你们也看到了，真正想在大病毒（非什么小恶意软件）里早到一个过主流杀毒软件的实际上是很难的。
     

cmc123

有点乱 没怎么看明白，

xxxxxxxfc

回复 2楼 cmc123 的帖子

结果在图上，病毒原程序是1.exe。在C盘生成大量的300多MB的文件，且生成速度较快，你也看见了前后两张截图相差几乎没多久就又多生成了好几个文件。

忧郁的迷糊酱

一看截图我就大体上猜出是哪个样本了——恶意填充硬盘程序，不做任何评价，你自己对我的话理解偏差我也毫无办法，那是你自己的问题。无意参与任何口水。很负责的说这个程序的填充硬盘行为目前手动HIPS也没有几个能防御的。而且我帖子里面明明非常明确的表示SONAR也不是万能的，并举出例子证明了，你非要断章取义把我说成我是SONAR万能论的人，我也表示很无奈，嘴仗在人身上，我管不了。

如果你想证明你的话是正确的，请拿出大量的盗号、系统破坏等真正对用户安全有高威胁的过SONAR的样本（比如前一阵的鬼影过诺顿，支付宝钓鱼木马过诺顿的）来证明，单独一个样本说明不了任何问题。

自己钻牛角尖认为只有静态扫描才是正经的话，我只能说你自己愿意钻牛角尖那我也没办法。

xxxxxxxfc

回复 2楼 cmc123 的帖子

并且那个病毒运行时机子很卡，诺顿检查出有程序使用较多的cpu。

xxxxxxxfc

回复 4楼 忧郁的迷糊酱 的帖子

那你给出红字上的解决方法，我好测试几个真家伙。

忧郁的迷糊酱

回复 6楼 xxxxxxxfc 的帖子

你可以尝试加壳加花等手段过诺顿的静态检测，诺顿的静态引擎不怎么样，过起来不难，病毒库无法分离。或者尝试旧版本的诺顿。
另外顺便说下，可以用信誉扫描试下，看看有几个能过信誉扫描的。

xxxxxxxfc

回复 7楼 忧郁的迷糊酱 的帖子

哪个版本可以。

忧郁的迷糊酱

回复 8楼 xxxxxxxfc 的帖子

没记错的话，诺顿官网下载的版本已经够老了（去年12月的）。如果去掉病毒库对SONAR是有影响的（SONAR部分依赖于特征&启发，这点我只是道听途说，毕竟我个人只用卡巴，对SONAR只是小有耳闻）。

xxxxxxxfc

回复 9楼 忧郁的迷糊酱 的帖子

那个版本能只开sonar不，给个地址。