NIS的SONAR到底是怎么运行的？求求求……

Kevin_Memo

NIS的新用户……刚从小A转战过来……
经常出现我打开一个病毒样本包，解压缩后进入包含病毒样本的文件夹……还没有运行……NIS也没有任何提示……
然后我尝试复制or剪切or删除该文件……他就提示说我没有权限……
我是Administrstor啊喂……
然后我用粘滞键漏洞（竟然还能用……）以SYSTEM用户身份登录……结果还是这样……囧
然后在没有权限之后大概半分钟不到……这个文件不见了……什么都没有了……
这是怎么回事？和SONAR有关系么……
NIS2011……

dopod2009

这个和sonar无关，当sonar开始工作的时候，会有提示的

Kevin_Memo

dopod2009 发表于 2011-8-27 21:37
这个和sonar无关，当sonar开始工作的时候，会有提示的

I.那么是什么导致这种情况的呢
II.SONAR是在什么时候开始工作的呢？
访问文件所在目录？下载时？解压时？运行时？

cmc123

穿越了。

dopod2009

Kevin_Memo 发表于 2011-8-27 21:45
I.那么是什么导致这种情况的呢
II.SONAR是在什么时候开始工作的呢？
访问文件所在目录？下载时？解压时 ...

1、对于你第一个问题，我可以帮你转到官方论坛看看是不是NIS导致的
2、一般来说，当你双击触发样本的时候才开始工作。
下载时一般由智能分析负责，解压时是启发，运行时是sonar。

dopod2009

等官方团队有回复之后，第一时间回复你。到时可能需要你提供一些操作上的截图

Kevin_Memo

谢谢

小林制药

推测一下:
1，诺顿已经识别出了病毒，且正在处理。提示没有权限说明文件被杀软锁定了。至于没有提示，因为没见过没提示的时候所以不了解，建议比对一下日志。
2，SONAR几乎没有规律可循，一般来说绝大多数情况下是文件运行时，有迹象表示文件可疑且特征码未识别出文件的时候会被调用。但是我见过因为触发了防火墙然后调用SONAR的，也见过因为触发了IPS后调用SONAR的，还见过文件还没运行呢SONAR直接就蹦出来杀掉了……很诡异

wjcharles

LZ的情况是样本有点多，诺顿的自动防护正在处理而已，跟sonar肯定没关系
sonar的原理网上基本没有稍具体的说明，感觉是铁壳有意保密的，说出来就不灵了

liangzaiye123

小林制药 发表于 2011-8-28 00:45
推测一下:
1，诺顿已经识别出了病毒，且正在处理。提示没有权限说明文件被杀软锁定了。至于没有提示，因为 ...

这就是诺顿的牛X之处 各个组件都协调运行