诺顿反病毒软件2012高级免杀视频评测（含sonar）

ZJUER

5234377 发表于 2012-1-30 14:44
貌似赛门铁克曾经有OEM了sana而产生的Norton Anti-Bot产品，后来貌似把学习来的东西用于了SONAR的开发

那个东西直接全套卖给AVG了，就是现在的AVG Identity Protection，SONAR跟那个完全不是一个思路……

尘梦幽然

ZJUER 发表于 2012-1-30 22:15 那个东西直接全套卖给AVG了，就是现在的AVG Identity Protection，SONAR跟那个完全不是一个思路……

我知道。只不过铁壳当时宣布开发SONAR时有提到与这款产品"有类似之处但思路截然不同"

陈泽庶

置顶

jefffire

5234377 发表于 2012-1-30 12:31
诺顿加什么壳能过我不清楚，但是我想纠正你：SONAR从09版开始（09这个才是 SONAR1，08那个貌似没有版本 ...

还是高启发为主。虽然sonar确实有本地主防的成分，但是绝大多数情况下，样本刚载入32k进内存就被杀掉了，什么都没来得及干，怎么可能是主防呢。
在我的诺顿使用生涯中（累计测试至少六千个以上样本），真正分析了木马行为，并进行回滚操作的，我就看过两次，一次是xuetr被误杀的时候，xuetr已经真正运行起来了，还有一次是一个伪装成植物大战僵尸的木马。

wjcharles

jefffire 发表于 2012-1-31 21:17
还是高启发为主。虽然sonar确实有本地主防的成分，但是绝大多数情况下，样本刚载入32k进内存就被杀掉了， ...

本地主防虽然少见，但也没有6000分之2这么低吧，感觉现在回滚也时不时可以看到，虽然基本还是没行为就杀
最近的几个回滚
http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037
http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037
http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037
http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037
http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037
http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037

另外这是什么情况，你以前见过吗？也是没有回滚就杀掉的样本
图看不清楚，大图放到附件里了

wjhstu-VxG

5234377 发表于 2012-1-31 08:58
我知道。只不过铁壳当时宣布开发SONAR时有提到与这款产品"有类似之处但思路截然不同"

SONAR源自06年还是07年收购的WholeSecurity，起初可能就是基于启发式的技术，只扫描运行进程(TrustScan)，只能每隔一段时间运行一次，收集数据（据铁克介绍是有行为的）并对其分级（可疑度），然后貌似必须结合VirusDef再做判断；
然后才升级到即时判断拦截的SONAR，经过数次升级，加入云网络、社区，提高检测率后，才推广到企业及产品上(SEP12.1)

但根据铁壳的官方文档，SONAR一直是有行为分析的，可能是综合高启和行为的技术，没观察到行为，不知道是不是有某些虚拟技术？

wjhstu-VxG

jefffire 发表于 2012-1-31 21:17
还是高启发为主。虽然sonar确实有本地主防的成分，但是绝大多数情况下，样本刚载入32k进内存就被杀掉了， ...

SONAR源自06年还是07年收购的WholeSecurity，起初可能就是基于启发式的技术，只扫描运行进程(TrustScan)，只能每隔一段时间运行一次，收集数据（据铁克介绍是有行为的）并对其分级（可疑度），然后貌似必须结合VirusDef再做判断；
然后才升级到即时判断拦截的SONAR，经过数次升级，加入云网络、社区，提高检测率后，才推广到企业及产品上(SEP12.1)

但根据铁壳的官方文档，SONAR一直是有行为分析的，可能是综合高启和行为的技术，没观察到行为，不知道是不是有某些虚拟技术？

wjhstu-VxG

感谢！+支持！

l10x

此贴学到不少东西。看来对于不会用hips的人用SONAR就行了，可是不免费怎么办？
（给别人装mcafee，组策略，他们嫌限制太多，装不了软件，hips他们不会用，上次全盘感染我花了好长时间解决。可以用智能的SONAR）

wjcharles

wjhstu-VxG 发表于 2012-1-31 22:49
SONAR源自06年还是07年收购的WholeSecurity，起初可能就是基于启发式的技术，只扫描运行进程(TrustScan)， ...

见55L，有一些诡异的行为，比如病毒进程会读写norton安装目录