Win8也能防木马？我好像错怪诺顿了，求Sonar工作原理

小丑鱼ZZW

tanxincool 发表于 2012-6-8 22:20
什么叫"滚回"?和修复有什么区别呢?

个人认为回滚是对病毒造成的影响回到双击之前的系统。至于修复，应该是是对带毒的文件进行修复，试着将毒和正常文件分离，这就要看杀软的引擎如何了？

服装ing

驭龙 发表于 2012-6-8 20:21
诺顿的SONAR 是在程序运行以后，分析程序的行为，如果确认是病毒，会阻止病毒继续运行，并且把病毒对系统的 ...

晕，刚才用学校无线网络的时候，网速非常慢，几K在跳，结果显示我的QQ在别处登录，没人知道我密码，晕，不知道是不是网络的原因，但是诺顿完全没反应，汗
我是NIS2012搭配数字卫士（关闭数字卫士主防）

sogou2004

tanxincool 发表于 2012-6-8 22:20
什么叫"滚回"?和修复有什么区别呢?

这个和诺顿sonar“自动入沙”有关。先在一个虚拟沙盘跑一下，如果有问题就恢复入沙之前的状态，如果没问题的话出沙接着跑。。个人见解
至于修复，修复是对文件而言，回滚是对系统而言

sogou2004

服装ing 发表于 2012-6-8 22:32
晕，刚才用学校无线网络的时候，网速非常慢，几K在跳，结果显示我的QQ在别处登录，没人知道我密码，晕，不 ...

建议你去aq.qq.com去查一下登录记录 应该不是中马，不会那么巧合
如果乃当时没做什么出格的事，诺顿不会有反映的
至于你的无线网，乃可以玩一下拓扑图

sogou2004

小丑鱼ZZW 发表于 2012-6-8 22:28
个人认为回滚是对病毒造成的影响回到双击之前的系统。至于修复，应该是是对带毒的文件进行修复，试着将毒 ...

sonar和诺顿那个“看不见的”沙盘有关，你有兴趣的话可以研究一下

驭龙

服装ing 发表于 2012-6-8 22:32
晕，刚才用学校无线网络的时候，网速非常慢，几K在跳，结果显示我的QQ在别处登录，没人知道我密码，晕，不 ...

如果你关闭QQ，重新链接网络，再登录QQ，若以后QQ不再提示异地登录，那就是QQ识别IP错误的缘故，如果重新连接网络，几天内QQ还是提示异地登录，修改QQ密码，那可能QQ被盗的可能性就很大了。

驭龙

tanxincool 发表于 2012-6-8 22:20
什么叫"滚回"?和修复有什么区别呢?

我太懒了，不说太多了，你想了解具体情况可以看从官方翻译的这个帖子
http://bbs.kafan.cn/forum.php?mo ... &fromuid=335301

智能主动防御SONAR。

防御目标：
-有针对性的攻击，包括高级潜伏型威胁(Advanced Persistent Threats，APT)，木马，间谍软件，键盘记录程序以及常规恶意软件
-社会工程攻击——FakeAV，注册机…和FakeCodecs
-僵尸和僵尸网络(Bots and Botnets)
-无进程注入型威胁(Non-Process and Injected Threats，NPT)
-零日威胁(Zero-day)
-偷渡式下载(drive-by download)
-rootkit

包含组件：

·基于人工智能的识别引擎（Classification Engine Based in Artificial Intelligence）
-通过从参加诺顿社区防卫 （Norton Community Watch）计划的电脑中匿名收集正在运行的应用程序的属性，SONAR已建成世界上最大的程序行为数据库，基于近12亿的应用程序实例；
-实时监控近1400个不同的行为属性，分类引擎很快就能够发现恶意行为，并在恶意软件对电脑造成损害前采取行动，整个过程无人干预。

·行为签名（Behavioral Policy Enforcement (BPE¹ ) Signatures）
这些签名是根据当前安全形势迅速编写、改进和部署的，这种架构增强了SONAR的灵活性和适应性，以应对传统手段难以检测的以及新兴的威胁，并且误报率较低；通过Liveupdate无缝更新。

·行为策略拦截（Behavioral Policy Lockdown）
-偷渡式下载(Drive-by downloads)通常通过有漏洞的浏览器插件入侵，比如Adobe Reader, Oracle Sun Java, 还有Adobe Flash，通过这些漏洞攻击者可以启动包括恶意代码的任何程序。通过一些规则，我们可以很方便的阻止恶意的行为，诸如“Adobe Acrobat不能创建其他可执行文件”或“某些动态链接库(DLL)不允许被注入explorer.exe”，从而保护系统。
-这些规则被称为行为锁定策略(behavioral policy lockdown definition，BPL² )。这些SONAR规则是由STAR团队自动部署和拦截，不需要客户响应，从而自动保护用户。

·自动入沙（Automation Remediation with sandboxing）
-在某些情况下，恶意软件会深度嵌入在各种合法的应用程序或操作系统文件中；在这些情况下，删除它们是有很大风险的。于是SONAR会制造一个虚拟沙箱（virtual sandbox），将感染的合法的应用程序导入其中，消除其可能产生的恶意操作，而不影响使用（该过程是全自动且隐形的，由BPE签名控制）。
-同时，在清除某些威胁的时候，会自动将样本入沙，观察其相关操作，以较彻底的清除病毒痕迹，修复系统。

服装ing

sogou2004 发表于 2012-6-8 23:01
建议你去aq.qq.com去查一下登录记录 应该不是中马，不会那么巧合
如果乃当时没做什么出格的事，诺顿不 ...

平时习惯倒是不错，但是诺顿偶尔报我们班级的科目材料
扩展图我去看过，只是显示有几部电脑在无线里面，因为是学校无线，所以一般都非常多

伊始爱艳

查杀了啊

sogou2004

伊始爱艳 发表于 2012-6-12 21:02
查杀了啊

已右键查杀，因为入库了。
当时sonar可以防住的（如果不是win8）.