赛门铁克企业版产品的主防SONAR整体基于云端(非诺顿系列个人版产品的SONAR)

dopod2009

5234377 发表于 2011-12-14 17:53
呃，但是它的脱壳技术（这个一般是虚拟机技术）也太烂了点。。。就像瑞星说它有虚拟脱壳技术，可以脱多 ...

最近考试月，上论坛多数是手机UC论坛模式，所以对于你的信息回复迟了。
查杀个人认为是杀软对可疑样本进行甄别和确认之后清除。其中包括回滚操作。而回滚操作是杀软清除样本在系统内修改的一些参数和恢复一些默认数据，假如修改注册表键值，创建文件夹，产生衍生物等等。
看了你和帖子中一位坛友的争辩，我说点建议。卡饭这里提出质疑是需要提供一些直接或者间接的数据来支持你的论点。你贴出了官方人员的回答最好是附上一些虚拟机中对同一批病毒进行断网和联网下双击截图和日志的分享。第二，关于sonar回滚操作，你可以到诺顿中国论坛翻查一些wj兄弟的sonar帖子，回滚少了，一方面说明拦截提前了。而且之前在我写的关于sonar那个讨论的帖子有提及到sonar也无法保证完全回滚，个别样本衍生物会残留。现在回滚减少甚至没有，也有可能是sonar算法修改或者增加了其他一些技术，至于这个推测，你可以对样本行为用MD监测然后对照诺顿日志进行对比。大概说的就这么多

尘梦幽然

dopod2009 发表于 2011-12-15 21:31
最近考试月，上论坛多数是手机UC论坛模式，所以对于你的信息回复迟了。
查杀个人认为是杀软对可疑样本进 ...

学校电脑256M的内存运行个SEP就已经很乏力了，更何况还要再运行那么多的未灭活病毒样本，很难进行截图和摄像。若您想证实，您可以进行测试。我相信，只有进行过测试的人才有发言权。若你需要完整的与官人聊天记录可以PM我索要、因为官人表示不希望透露身份

尘梦幽然

wjcharles 发表于 2011-12-15 20:49
查杀就是统称，双击后把病毒解决重启无异常就可以认为查杀
回滚是指日志里记录的，sonar把病毒对系统产生 ...

回滚还是存在查杀的、回滚是查杀的一部分。只不过说查杀是在触发时立即报毒，回滚是已经触发并且染毒后了。。。明白了。不过话说2012的SONAR测试成绩据xbjxx童鞋说“很不好”。具体请咨询他

bbs2811125

这样的话有点窘啊

guobao13

这个确实要，一旦断网的时候，你安装新软件的时候会提示有风险的

IOOOOI

看来诺顿退步了，
对比这个老帖：http://bbs.kafan.cn/forum.php?mod=viewthread&tid=554890

sbjgkxz

sep的测试在哪？

尘梦幽然

释然的心 发表于 2011-12-13 23:40 断网就惨了

主要是企业里这样做很不好。因为企业内网很多都和外网隔绝来着

wjcharles

5234377 发表于 2011-12-16 18:56
回滚还是存在查杀的、回滚是查杀的一部分。只不过说查杀是在触发时立即报毒，回滚是已经触发并且染毒后了 ...

他的双击测试也是有好有坏，开始几天还不错，有90+，后来就不行了，其实还是样本的关系
所谓“很不好”应该是指ZeroAccess系列的，我也每个都测了,样本一直在更新，都能废掉nis
后来sonar入库也可能是样本的原因sonar能杀了，从那以后到现在样本区的ZeroAccess sonar都能杀

dopod2009

5234377 发表于 2011-12-16 18:51
学校电脑256M的内存运行个SEP就已经很乏力了，更何况还要再运行那么多的未灭活病毒样本，很难进行截图和摄 ...

大学考试月，没什么时间搞这个了
之前版区的那位兄弟测试的样本可以说明部分问题，但不是绝对的。
我想看看聊天记录，站内PM我吧