Win8也能防木马？我好像错怪诺顿了，求Sonar工作原理

sogou2004

截至目前已入库，右键查杀。
——————————————————————————————————————————————————————

今天在样本区逛了一下，偶遇

【高质量】wSsJ3tJ.exe
http://bbs.kafan.cn/forum.php?mo ... 3960&fromuid=768782


右键安全，解压无反应，请大家帮忙测试一下sonar

本人一激动不慎双击了

双击之后，sonar无反应。。


后来在事件查看里面偶然发现，那个样本杯具了（本人Win8 x64）

————————————————————————————————————
Application Error：

错误应用程序名称: wSsJ3tJ.exe，版本: 0.0.0.0，时间戳: 0x4fd07382
错误模块名称: unknown，版本: 0.0.0.0，时间戳: 0x00000000
异常代码: 0xc0000005
错误偏移量: 0x00000000
错误进程 ID: 0x18a4
错误应用程序启动时间: 0x01cd45558c6e9b70
错误应用程序路径: G:\wSsJ3tJ\wSsJ3tJ.exe
错误模块路径: unknown
报告 ID: cad9e2c9-b148-11e1-9b78-14dae95b487b
错误程序包全名:
错误程序包相对应用程序 ID:

————————————————————————————————————

从上面看来 有可能是由于兼容性问题，这个木马没有跑起来，所以sonar无反应？


sonar 工作的前提是要把样本运行一次，然后再分析其行为么？

ywsuda

可能就是由于win8还是x64的原因

sogou2004

ywsuda 发表于 2012-6-8 18:52
可能就是由于win8还是x64的原因

如果这个样本运行起了，那么sonar就会出手了？

ywsuda

sogou2004 发表于 2012-6-8 18:58
如果这个样本运行起了，那么sonar就会出手了？

我的是win7 32位的。诺顿sonar已经杀了

嵩弦离合

已经杀了

sogou2004

嵩弦离合 发表于 2012-6-8 19:53
已经杀了

谢谢测试 +1

驭龙

诺顿的SONAR 是在程序运行以后，分析程序的行为，如果确认是病毒，会阻止病毒继续运行，并且把病毒对系统的操作滚回，如果不是病毒，SONAR不会拦截和滚回

sogou2004

驭龙 发表于 2012-6-8 20:21
诺顿的SONAR 是在程序运行以后，分析程序的行为，如果确认是病毒，会阻止病毒继续运行，并且把病毒对系统的 ...

谢谢驭龙大哥
“并且把病毒对系统的操作滚回”这个很强大

我的 SONAR没有动静应该就是那个样本没有运行吧

看样子木马跟不上微软的潮牛了啊

驭龙

sogou2004 发表于 2012-6-8 20:38
谢谢驭龙大哥
“并且把病毒对系统的操作滚回”这个很强大

是的，病毒没有正常运行的话，SONAR是不会发挥它真正威力的，呵呵

tanxincool

驭龙 发表于 2012-6-8 20:21
诺顿的SONAR 是在程序运行以后，分析程序的行为，如果确认是病毒，会阻止病毒继续运行，并且把病毒对系统的 ...

什么叫"滚回"?和修复有什么区别呢?