关于Symantec最新技术SAPE特征的粗浅体验，真的期待SAPE大爆发啊

驭龙

关于SAPE报法的一点点测试，没想到SAPE报法如此强悍，是特征提取以后的入库识别，不是简单的MD5封锁，这个真的是让我看到了Symantec特征库的希望啊。

首先我们说一下Trojan.Gen报法，这种报法是应急性的紧急入库，好像是简单的MD5或者SHA1的拉黑，之后慢慢创建具体的特征库定义，也就是说Symantec识别一个新威胁，在创建出具体的特征库定义之前，会使用Trojan.Gen和其他应急性的报法先杀样本，等待具体的特征库定义创建完成，替换这种通用检测。
官方原文：

Trojan.Gen is a generic detection for many individual but varied Trojans for which specific definitions have not been created. A generic detection is used because it protects against many Trojans that share similar characteristics.
Trojan horse programs pose as legitimate programs or files that users may recognize and want to use. They rely on this trick to lure a user into inadvertently running the Trojan. Often a Trojan will mimic a well known legitimate file name or pose as a particular type of file, like a .jpg or .doc file to trick a user.

官方链接：
Trojan.Gen
http://www.symantec.com/security ... 2010-022501-5526-99
Trojan.Gen 2
http://www.symantec.com/security ... 2011-082216-3542-99
Trojan.Gen X
http://www.symantec.com/security ... 2013-090514-3612-99

我为啥说Trojan.Gen可能是MD5杀，是因为我昨天的测试，一个被Trojan.Gen报的样本，被我改MD5以后，就不杀了，当然一个测试不代表什么，仅供参考。
测试链接：
http://bbs.kafan.cn/thread-1821138-1-1.html
注：简单测试，仅供参考，不代表完全正确。

好了，言归正传，我们说正文，也就是SAPE报法的简单测试，关于SAPE的其他情况，可以看下面的帖子3楼，我随便找了几个被SAPE报法杀的样本做改MD5的简单测试，其中一个属于SAPE的启发Heur报法，一个是其他SAPE入库报法，还有一个非SAPE报法的Ramnit病毒。
SAPE其他分析见这个帖子：
http://bbs.kafan.cn/forum.php?mo ... 95&pid=33211103

SAPE的Heur.xxxx报法如下：


改MD5以后，这个样本依然被SAPE的Heur杀，报法不变。


SAPE的Delf.xxxx报法如下：


改MD5以后，这个样本依然被SAPE的Delf杀，报法依然没有变化。


我再测试一个完全被Symantec入库的Ramnit样本：


改MD5以后，直接被报Ramnit，可见完全入库以后的样本是特征杀，不再是之前Trojan.Gen的那种简单封杀了。


由以上简单测试可见，SAPE无论是启发Heur报法，还是SAPE其他报法都完全使用特征识别，完全不是简单的MD5或者SHA1杀，这个真的是让人期待SAPE今后的表现，相信SAPE识别能力会更强大。

mtfly91

支持龙大~

天蓝色的忧伤

前排顶贴。期待180的oem版本流出

wudiwusuowei

这个果然是非常值得期待啊，看来诺顿要开始大爆发了，再加上诺顿的流畅度，应该是非常无敌了。。期待诺顿有更好的表现吧。

驭龙

wudiwusuowei 发表于 2015-4-9 12:22
这个果然是非常值得期待啊，看来诺顿要开始大爆发了，再加上诺顿的流畅度，应该是非常无敌了。。期待诺顿有 ...

我彻底晕了，大多数人都说NS 22无比流畅，可在我这里堪比Kaspersky和DrWeb，完全不行，我都准备放弃了，无奈啊

驭龙

mtfly91 发表于 2015-4-9 10:44
支持龙大~

感谢支持

驭龙

天蓝色的忧伤 发表于 2015-4-9 11:39
前排顶贴。期待180的oem版本流出

其实60天的也可以将就一下，只是虚拟机提取一下啦

天蓝色的忧伤

驭龙 发表于 2015-4-9 12:59
其实60天的也可以将就一下，只是虚拟机提取一下啦

我这里NS也是十分的流畅Dr.web在我这里卡到爆。。。布吉岛为啥，我这里诺顿云时好时坏，咖啡已经完全无法连接了，FS每天下午至凌晨0：00都显示无法连接云，只有早上好着。。

驭龙

天蓝色的忧伤 发表于 2015-4-9 13:02
我这里NS也是十分的流畅Dr.web在我这里卡到爆。。。布吉岛为啥，我这里诺顿云时好时坏 ...

我这里以前Insight也有连接问题，不过这次安装没有，连接还算正常

天蓝色的忧伤

驭龙 发表于 2015-4-9 13:05
我这里以前Insight也有连接问题，不过这次安装没有，连接还算正常

郭嘉的墙真是让我好忧桑