关于杀软的文件监控

bbszy

尘梦幽然 发表于 2013-11-10 18:57
诺顿的SONAR也是全程监控，全程打分，不过应该来说优化比卡巴好很多吧。

卡巴是他不分析完就不放行，除非超过默认的30s时间限制。

诺顿是会入沙的吧？所以边运行边分析？

尘梦幽然

bbszy 发表于 2013-11-10 19:38
卡巴是他不分析完就不放行，除非超过默认的30s时间限制。

诺顿是会入沙的吧？所以边运行边分析？

不知道。你自己可以参考官方提供的以下内容：

行为检测SONAR（Behavior-Based Protection）

接下来，让我们来了解一下Symantec的另一个防护利器，全自动的智能主动防御SONAR。

防御目标：
-有针对性的攻击，包括高级潜伏型威胁(Advanced Persistent Threats，APT)，木马，间谍软件，键盘记录程序以及常规恶意软件
-社会工程攻击——FakeAV，注册机…和FakeCodecs
-僵尸和僵尸网络(Bots and Botnets)
-无进程注入型威胁(Non-Process and Injected Threats，NPT)
-零日威胁(Zero-day)
-偷渡式下载(drive-by download)
-rootkit

包含组件：

·基于人工智能的识别引擎（Classification Engine Based in Artificial Intelligence）
-通过从参加诺顿社区防卫 （Norton Community Watch）计划的电脑中匿名收集正在运行的应用程序的属性，SONAR已建成世界上最大的程序行为数据库，基于近12亿的应用程序实例；
-实时监控近1400个不同的行为属性，分类引擎很快就能够发现恶意行为，并在恶意软件对电脑造成损害前采取行动，整个过程无人干预。

·行为签名（Behavioral Policy Enforcement (BPE1 ) Signatures）
这些签名是根据当前安全形势迅速编写、改进和部署的，这种架构增强了SONAR的灵活性和适应性，以应对传统手段难以检测的以及新兴的威胁，并且误报率较低；通过Liveupdate无缝更新。

·行为策略拦截（Behavioral Policy Lockdown）
-偷渡式下载(Drive-by downloads)通常通过有漏洞的浏览器插件入侵，比如Adobe Reader, Oracle Sun Java, 还有Adobe Flash，通过这些漏洞攻击者可以启动包括恶意代码的任何程序。通过一些规则，我们可以很方便的阻止恶意的行为，诸如“Adobe Acrobat不能创建其他可执行文件”或“某些动态链接库(DLL)不允许被注入explorer.exe”，从而保护系统。
-这些规则被称为行为锁定策略(behavioral policy lockdown definition，BPL2 )。这些SONAR规则是由STAR团队自动部署和拦截，不需要客户响应，从而自动保护用户。

·自动入沙（Automation Remediation with sandboxing）
-在某些情况下，恶意软件会深度嵌入在各种合法的应用程序或操作系统文件中；在这些情况下，删除它们是有很大风险的。于是SONAR会制造一个虚拟沙箱（virtual sandbox），将感染的合法的应用程序导入其中，消除其可能产生的恶意操作，而不影响使用（该过程是全自动且隐形的，由BPE签名控制）。
-同时，在清除某些威胁的时候，会自动将样本入沙，观察其相关操作，以较彻底的清除病毒痕迹，修复系统。

·STAR Intelligence Communication Bus（STAR人工智能通讯总线）
SONAR技术并不单独工作。行为引擎与其他防护技术共享数据，通过STAR智能通信协议(Intelligence Communication Protocol，STAR ICB)。SONAR与IPS，防病毒和Insight™信誉引擎协同工作，提供其他厂商难以匹敌的安全防护！

注1,2，请注意BPE和BPL两种策略的区别，一种是行为检测规则，另一种是行为遵从策略；

bbszy

尘梦幽然 发表于 2013-11-10 20:00
不知道。你自己可以参考官方提供的以下内容：

SONAR还针对fake AV啊，现在真是一点效果都没有。。。

还有杀注册机，我觉得有点。。。

尘梦幽然

bbszy 发表于 2013-11-10 21:41
SONAR还针对fake AV啊，现在真是一点效果都没有。。。

还有杀注册机，我觉得有点。。。

我不会告诉你原来SONAR对付FakeAV是100%的。
最近的话，嘛，原因比较复杂

bbszy

尘梦幽然 发表于 2013-11-10 22:01
我不会告诉你原来SONAR对付FakeAV是100%的。
最近的话，嘛，原因比较复杂

我很能理解为了降低误杀而降低查杀能力或主防灵敏度，尤其对于诺顿这种全球销售的杀软来说。我虽然用诺顿两年没有中过毒（中过一次utorrent捆绑的流氓软件），但近期以来，喷诺顿的人多了（安全方面的），也不知道是不是真不如从前了（安全性方面）。

wzx3250259

尘梦幽然 发表于 2013-11-10 20:00
不知道。你自己可以参考官方提供的以下内容：

看了确实很心动，但实际的防护效果如何，为什么病毒区有那么多病毒过了诺顿呢？诺顿区用户抱怨冲天。

尘梦幽然

wzx3250259 发表于 2013-11-12 20:31
看了确实很心动，但实际的防护效果如何，为什么病毒区有那么多病毒过了诺顿呢？诺顿区用户抱怨冲天。

说实话，没有什么杀软是万能的。
就算你看到毒区360那宇宙第一的成绩，但你时间长了就会发现那其实也是假象。首先你看看，最近过数字的样本还是不少的，说明数字的QVM和云主防发布时间长了以后还是一定程度上被黑客团伙掌握了过掉的技巧。其次，管家论坛的样本放在那360几天没有反应，一上传到卡饭没几分钟就拉黑了，说明这成绩有水份，360前瞻检测也不是那么神乎其神，很多情况还是要靠拉黑。最后，360参加国际评测，尤其在AV-C的某些项目中，根本就不开自主引擎，完全让BD引擎打头阵。。= =当然我不否认360的技术还是不错的。毕竟客户端那么多，收集的样本也全。
最重要的还是要自己养成良好习惯。
目前我看到在毒区基本不失手的，也就费尔了。。不过听说误报略高。
反正主流杀软再牛，牛一阵子也总有冷下来的一天
你自己考虑

yt5567

尘梦幽然 发表于 2013-11-12 21:04
说实话，没有什么杀软是万能的。
就算你看到毒区360那宇宙第一的成绩，但你时间长了就会发现那其实也是假 ...

赞一个，到处砸病毒的场子早晚有失手的时候，我前几天就不幸中招了，还好我自己能搞定，远离样本区。

gold2007

尘梦幽然 发表于 2013-11-12 21:04
说实话，没有什么杀软是万能的。
就算你看到毒区360那宇宙第一的成绩，但你时间长了就会发现那其实也是假 ...

费尔是因为太小众，很少针对去过它。

whatseed

一直感觉诺顿被神化，卡巴妖魔化