★★★关于“秒封drweb”，个人的一些说明。以及对于卡饭板块，国内外杀软一些看法。

安仔

zyx9 发表于 2011-12-15 14:40
看完了 从来没有认为现在的国内安全软件比国外安全软件差 相反 国外安软的响应速度和本土化的确有点滞后
目 ...

所以一直都觉得本土化很重要 所以我觉得电脑上有一个国外的杀软再加上一个本地的来辅助 就已经很不错了
恰好国内有两卫士和一管家  弥补舶来品本土化不足之处

wxl249346514

很好，很强大，支持一下，我也觉得国内一些软件现在越做越好了

小林制药

425162926 发表于 2011-12-15 13:58
诺顿现在不也一样  不上传怎么知道是白的呢？ 要么传了行为 要么传了代码
诺顿的sonar不联网也残废一大 ...

如有兴趣请详读我之前回复“各杀软主防和监控的区别”的帖子。里面已经对何谓“主防”有所论述。SONAR不联网残废一大半的结论我不知兄台从何得出。在我日常应用中经常会有断网的状况出现而未见得性能有多大下降，顶多就是不再报信誉了。说诺顿SONAR的那篇帖子我也看了，对那篇帖子不予置评，不知兄台有没有注意到，在那篇帖子中我一个字都没回复。而且我发现一个倾向，有的时候因为汉字博大精深，容易引发许多误会。

有云的软件必然存在上传行为，这是公认的定论。而我自始至终强调的是所谓“云主防”实质上是把机器的控制权交给了服务器，因为每运行一个程序就必然会把与这个程序有关的信息上传出去，而且服务器的反馈直接影响该程序是否可以执行以及执行的后果。换句话说，用户处在完全的被监视的情况下，因为他在电脑上的一举一动都要报给服务器知道。而诺顿的SONAR总不是无论什么时候都在运转吧。这么说吧，所谓“云主防”跟绝大多数的“云”相比，最大的区别就是所谓“云主防”可以直接控制用户机器（或相应客户端软件）的行为，而普通“云”则没有这一能力，区别的要点在这里，而不是上不上传东西。而且我个人认为，要白一起白，说黑大家黑的做法并不科学。让我想起了当年的“光明回奶事件”。

lotnhiro

慢慢 look

425162926

小林制药 发表于 2011-12-15 16:42
如有兴趣请详读我之前回复“各杀软主防和监控的区别”的帖子。里面已经对何谓“主防”有所论述。SONAR不 ...

最好拿样本自己试试  sonar是不是断网后性能下降

诺顿在本地有各种底层驱动 也有云端规则接口  只要改动一下云端规则 也立刻能影响程序运行。举个例子 云端只要拉黑一个哈希 连复杂规则都不需要 特定程序一运行立刻提示发现风险 自动隔离  完全可以做到
sonar和云主防没有太大分别  只是云主防直接从API拦截表现明显  有弹窗  ，sonar更隐蔽 多层联动  自动隔离  罢了

小林制药

425162926 发表于 2011-12-15 18:06
最好拿样本自己试试  sonar是不是断网后性能下降

诺顿在本地有各种底层驱动 也有云端规则接口  只要 ...

杀软于我来说是用的不是拿来测的。如果一个人想搞死一个软件，那我敢说世界上没有一款软件是安全的。能搞死诺顿的样本怕是车载斗量的，不知兄台是否也这样认为。
退一步讲，如果真的去做了实验不巧被云信誉杀掉的样本，不知应不应当算在SONAR的头上。况且我不否认在断网之后SONAR的能力可能有所下降，但是也远远不到“废掉一多半”的程度。
抛开类如“智慧星”一类的山寨货。是个杀软在本地就有各种底层驱动。NDIS算不算？而且我也不知“（诺顿）也有云端规则接口，只要改动一下云端规则 也立刻能影响程序运行。”这样的论述从何而来？这个问题我也不想深入的论证下去，不然很容易成了阴谋论。
而且在下以为兄台似乎视所有带有云安全的软件之运行原理都与“云主防”相一致？都需要所谓的“云端规则”？在下认为不然，国外软件在云安全模块上多采取信誉云的方式，云端是不附带规则的——卡巴斯基也许有点例外，因为它带了一个HIPS。至少从诺顿来说，是不需要匹配什么“云端规则”的。
兄台所举的例子说的对，但是我想到的是兄台所举的例子与绝大多数杀软都具备的的“特征库杀毒”原理不是很像么？杀软查杀病毒在本质上不也是“只要拉黑一个哈希 连复杂规则都不需要 特定程序一运行立刻提示发现风险 自动隔离”么？只不过匹配的不一定是哈希值，也不一定非要从云端匹配罢了。要是按照此理论推演下去，那所有的杀毒软件都是暗藏在电脑中的杀手，这可是很可怕的。

而且有谁论述过SONAR是依赖把行为上传到服务器，然后服务器反馈给SONAR一个指令来“拦截”么？据我所知SONAR的原理并非如此。在技术文档中已经有所指出——“SONAR是基于分类器的，可实现前摄性防护的一类复合式保护模块……”即主要工作还是依靠本地引擎，云端的反馈不过是给本地引擎提供一个参数罢了等等。而且我相信这也是很多人对SONAR的认识和理解。前文我也说过，所谓“云主防”跟绝大多数的“云”相比，最大的区别就是所谓“云主防”可以直接控制用户机器（或相应客户端软件）的行为，而普通“云”则没有这一能力。诺顿从云端得到的是“信息”，而不是“指令”。所以诺顿的SONAR与所谓的“云主防”连半点的关系都没有。
要论述SONAR是一件很麻烦的事。我也就不多说了。
兄台已经先入为主的把“需要云端协助”的SONAR等同了所谓的“云主防”，我想，我也没什么好的办法再太加说明了。

425162926

小林制药 发表于 2011-12-15 18:47
杀软于我来说是用的不是拿来测的。如果一个人想搞死一个软件，那我敢说世界上没有一款软件是安全的。能 ...

主防和HIPS用的技术  都是完全一致的   ssdt ，shadow ssdt 更牛一点的就inline hook  区别就在挂钩数量位置不同  内置规则的不同 参数处理方法有所区别   一些细节处理和所谓的智能程度而已  

据诺顿官方人员和一些高手所说 sonar也没有例外 原理都也是内核挂钩 进一步配合了启发引擎  又要云服务器配合的参数 这不就是云主防+云启发么  如果偷偷上传个什么行为  阻止掉一个什么动作 轻而易举啊

小林制药

425162926 发表于 2011-12-15 18:58
主防和HIPS用的技术  都是完全一致的   ssdt ，shadow ssdt 更牛一点的就inline hook  区别就在挂钩数量位 ...

我认为兄台可能完全没有去理会我在“各杀软主防和监控的区别？”帖子中所述的关于“主防”和“HIPS”的相关内容。要是按照兄台的说法，这个世界上所有的杀软技术就都是一样的了。比如某天冒出来一个“鸭梨”牌杀软，查杀率抄底。但是只要把引擎阈值调低了钩子下齐了那么“鸭梨牌杀软”估计在查杀上比肩GD是一点问题都没有的。但事实证明，这是（关于“鸭梨”牌杀软的）荒谬的结论。

兄台似乎偷换了我前文所述的关于SONAR原理的概念。而简单的把SONAR的工作模式抽象化了，符号化了。在抽象化之后再自己定义出一套同样抽象态的模式再把SONAR套进这个模式去，然后再形象化成一类具体的事物。恕我直言，这不是一个合适的方式，更常见于辩论会中所使用的诡辩术。

记得前很久，跟人辩论“查杀与防御谁重要”一类的问题时，有位朋友跟兄台很像，他先入为主的就认为防御=查杀。于是无论怎样辩都辩不出个结果来。而兄台则认准了“只要有云参与了的主动防御技术就是所谓‘云主防’”而完全忽略了前文我一再提到的“云”和“云主防”的区别那么我也没什么好再讲下去的。因为SONAR与所谓“云主防”的区别翻来覆去就是那一句我一再提出的“核心意义的区别”。而兄台的观点中最后一句话则是充满了阴谋论的味道——按照这个逻辑不管是不是所谓“云主防”凡是能联网的杀软搞不好都是不干不净的。按照这个逻辑再继续推论下去恐怕就会变成口水，所以我不再予以置评，望兄台见谅。

我是这么认为的——诺顿的SONAR也好，还是别人家什么杀软也罢，“云”对于它们的作用就像是一个参谋。而对于另一些喜欢弄“云主防”的厂商来说，“云”更像是个后台老板。

以上文字若有冲撞，还望兄台见谅。

luobinhan23

你們吵什麼吵其實賽門鐵克的SONAR和ESTE的ThreatSense是一樣的如果你打開選項他會傳走一些他不認識的人為修改過的文件以供分析下次再見就OK啦，日誌裡都有，你們這麼理解就好記啦BLOODHOUND相當也ESET的普通啟發，SONAR聯網主要解決誤報不聯網用自帶的四百多種規則行為也能工作的和ESET一樣的也是一種高級啟發吧了只不過編寫方式不同別家公司的哦

425162926

小林制药 发表于 2011-12-15 19:24
我认为兄台可能完全没有去理会我在“各杀软主防和监控的区别？”帖子中所述的关于“主防”和“HIPS”的相 ...

我们不用争论了 因为你无法从技术层面证明云对sonar只是一个“参谋”而没有控制能力   

不知你研究过二战史没有 板垣征四郎 石原莞尔 也只是参谋而已