诺顿反病毒软件2012高级免杀视频评测（含sonar）

尘梦幽然

jefffire 发表于 2012-1-31 21:17
还是高启发为主。虽然sonar确实有本地主防的成分，但是绝大多数情况下，样本刚载入32k进内存就被杀掉了， ...

前段时间（2~3个月前）回滚样本比较多。诺顿的主防是比较特殊的。您那样说主防主要是启发是不对的。最近不少样本都有回滚。
我想，虽然官方介绍是主防，但是猜过去应该是高启+主防+信誉。（TruScan+SONAR+信誉）
对了，想请教一个问题：平常测360主防的时候貌似也是一运行就杀掉病毒啊？那个也算主防吗？

尘梦幽然

wjhstu-VxG 发表于 2012-1-31 22:49
SONAR源自06年还是07年收购的WholeSecurity，起初可能就是基于启发式的技术，只扫描运行进程(TrustScan)， ...

那么，可以猜测，现在的SONAR4应该是：TruScan+SONAR+信誉
因为，SONAR4版本的开发说明中有提到从SONAR4开始，SONAR就可以检测已经感染系统的的病毒了。而这个特性，应该是需要TruScan技术支持的。

尘梦幽然

wjcharles 发表于 2012-1-31 23:42
见55L，有一些诡异的行为，比如病毒进程会读写norton安装目录

那个病毒本身可能具备破坏诺顿的特性。好了，刚才接收到19.5更新了，诺顿叫我去重启了，待会继续~

jefffire

wjcharles 发表于 2012-1-31 21:51
本地主防虽然少见，但也没有6000分之2这么低吧，感觉现在回滚也时不时可以看到，虽然基本还是没行为就杀 ...

6000个不全是sonar杀的，有部分特征码，有部分被过掉。
我记忆中有印象的就两个，可能还有些没注意到，但是也不会很多。

最后那个不太清楚。

jefffire

5234377 发表于 2012-2-1 08:39
前段时间（2~3个月前）回滚样本比较多。诺顿的主防是比较特殊的。您那样说主防主要是启发是不对的。最近 ...

一运行就杀当然不是主防，360那个一运行就杀是哈希匹配+云QVM

尘梦幽然

jefffire 发表于 2012-2-1 12:22
一运行就杀当然不是主防，360那个一运行就杀是哈希匹配+云QVM

最近2~3个月特别是2012发布后回滚的样本明显增多，可以说明诺顿的主防能力还是有的，而且能力尚可。我也不完全否认SONAR中可能包含高启扫描的TruScan技术、诺顿2012的开发日志提到SONAR4的一些新功能中包含原本的TruScan技术的功能、（比如查杀已经存在于系统的未知病毒）
但是，6000多个样本只有1~2个样本回滚，我表示难以相信。因为样本区的QQ粘虫什么的都是回滚，就我目前测试来看，回滚样本占30%或更高。

wjhstu-VxG

wjcharles 发表于 2012-1-31 23:42
见55L，有一些诡异的行为，比如病毒进程会读写norton安装目录

我碰到的最糟糕的是诺顿杀了感染的系统文件，导致我进不去系统

一般很少会碰到诺顿威胁系统正常运作，在1月测试运行环节竟然碰到两次……

wjcharles

jefffire 发表于 2012-2-1 12:22
一运行就杀当然不是主防，360那个一运行就杀是哈希匹配+云QVM

可能是sonar在改变吧，记得2010回滚是很少

那副图里的情况碰到很多次了，被sonar杀但没有行为记录，但却可以看到病毒进程对NIS安装目录下特定文件的读写
估计搞清楚原因就可以了解sonar的一些原理细节

wjcharles

5234377 发表于 2012-2-1 08:44
那个病毒本身可能具备破坏诺顿的特性。好了，刚才接收到19.5更新了，诺顿叫我去重启了，待会继续~

不可能破坏诺顿，sonar杀的时候是显示没有行为的，有不少没有行为被杀的样本都这样。。。

wjcharles

wjhstu-VxG 发表于 2012-2-1 22:49
我碰到的最糟糕的是诺顿杀了感染的系统文件，导致我进不去系统

一般很少会碰到诺顿威胁系统正常运作， ...

系统安装盘是必备的，可以修复启动，还可以解决MBR这种问题
进了系统再进行升级安装，可以修复360/金山的卫士/急救箱都解决不了的系统问题