诺顿2011的网页防护怎么样？

wjcharles

ywsuda 发表于 2012-1-31 15:31
uac能自动阻止病毒？

手动阻止的啦，弹了UAC不去点跟自动阻止也差不多，有的毒UAC拒绝sonar也会杀的

yeow5243

wjcharles 发表于 2012-1-31 17:18
日包经常有几个灰色的，比如签名合法，动作就是打开一个网页这种；还有个别情况是文件不支持下载分析；或 ...

不说测试扫描样本，一般病毒都是靠系统或浏览器漏洞执行的，未执行之前，下载分析保护不能100拦截吗？

尘梦幽然

驭龙 发表于 2012-1-31 15:58
百锐是100哦，而且360和gdata也不是0

哇，我们跑题了，改日换个帖子，我们再聊吧，呵呵

其实，李白自己开发的JS引擎和百锐的启发引擎检测率都比等普通杀软（包括诺顿）高不少。但是李白的引擎和百锐的引擎商用成分却并不高。那么优秀的引擎难道卡巴、BD、GD、ESET开发不出来么？！所以我对李白的测试向来不太相信。

尘梦幽然

yeow5243 发表于 2012-1-31 15:46
norton下载智能保护是根据信誉云，为何评测不能达到100%,病毒文件信誉度非常低，理论上不会自动成功执行吧 ...

您真的认为信誉能解决一切问题么？信誉不过是靠与社会工程学有关的某种算法算出的结果，而并没有获得文件本身。就像我写一个全新的小程序，诺顿的信誉根本不会报一样。诺顿信誉只有分析了足够多的可疑迹象才能说明该文件有潜在威胁。任何方法都没有100%。关于uac，部分样本由于修改系统关键部位需要管理员权限时才会触发。

尘梦幽然

yeow5243 发表于 2012-1-31 18:15
不说测试扫描样本，一般病毒都是靠系统或浏览器漏洞执行的，未执行之前，下载分析保护不能100拦截吗？

已经在刚才回复了您的部分疑问。现在来说说绕过所有保护的情况。诺顿也有漏洞。一个成熟的黑客想穿过诺顿的所有防线是比较轻松的。诺顿的程序本身也有漏洞。靠着这个漏洞可以绕过诺顿的IPS等组件甚至绕过本地自动防护。未必诺顿不知道这是一个病毒，而是诺顿自始至终都没有察觉到有威胁进入了电脑。这是很可怕的。这利用的是程序本身的庞大编译量。在庞大的编译任务下，程序不可能做到每一段代码都是严谨的、只为程序本身所执行的。在某些情况下，比如360的某驱动，它不会验证执行者，以至于木马向它发送要求删除某文件的信息它都会照办。。。

迷惘的执著

诺顿的入侵防护~就可以拦截挂马。。。

驭龙

5234377 发表于 2012-1-31 18:39
其实，李白自己开发的JS引擎和百锐的启发引擎检测率都比等普通杀软（包括诺顿）高不少。但是李白的引擎和 ...

我真的无语了，你知道吗，李白的那十个样本是之前黑羽发的540样本，修改的，是把代码分解，然后通过批处理文件合成，这是正常引擎不报的原因，百锐存在的动态启发是发现这种病毒的原因。

另外，好像卡巴和BD也报了吧，不聊了，偶继续潜水去了，呵呵

wjcharles

yeow5243 发表于 2012-1-31 18:15
不说测试扫描样本，一般病毒都是靠系统或浏览器漏洞执行的，未执行之前，下载分析保护不能100拦截吗？

用下载分析支持的浏览器差不多可以全拦截，avc的全动态测试就是测这个的，我试过的毒网也没有能穿的
但用下载分析不支持的遨游时有一个穿了ips，sonar拦下的
http://bbs.kafan.cn/thread-1010719-1-1.html
http://bbs.kafan.cn/thread-1010895-1-1.html

wjcharles

5234377 发表于 2012-1-31 15:55
李白的包全区扫描都是0%。

还以为1月份没测试了，那个包你双击过吗？

驭龙

wjcharles 发表于 2012-1-31 21:36
还以为1月份没测试了，那个包你双击过吗？

这个包现在不能下载，但是我有这个包，有空的话，我试一下，但我见过其他人测试，据李白说SONAR报的不完整，只能报部分