File name: radF2024.tmp.exe Detection ratio: 1 / 55 Neutrino Exploit Kit 挂马

显示全部楼层 · 发表于 2016-1-2 11:53:23

欧阳宣发表于 2016-1-2 11:46
你怎么不说干脆连sonar也关掉只看下载智能分析。。

哪都有你啊
声纳是主控，IPS属于入口防御，有很大程度上遇到新的Zero-day exploit就灭火，最终还是要靠声纳，个人见解，勿喷！而一楼的IPS已经加入漏洞特征了

显示全部楼层 · 发表于 2016-1-2 11:54:40

温馨小屋发表于 2016-1-2 11:52
文档被加密，我怀疑SONAR在11082上有问题，只有IPS在拦截

你这是在勾引双击啊

显示全部楼层 · 发表于 2016-1-2 11:55:38

墨家小子发表于 2016-1-2 11:54
你这是在勾引双击啊

貌似我这里装完系统后从来就没触发过SONAR

显示全部楼层 · 发表于 2016-1-2 11:55:44

墨家小子发表于 2016-1-2 11:53
哪都有你啊
声纳是主控，IPS属于入口防御，有很大程度上遇到新的Zero-day exploit就灭火，最终 ...

所以缺一不可啊。加密勒索是个连串的过程，砍掉一环就行了

显示全部楼层 · 发表于 2016-1-2 11:58:52

欧阳宣发表于 2016-1-2 11:55
所以缺一不可啊。加密勒索是个连串的过程，砍掉一环就行了

不是这么说的，最终的防护才是无特征性的实力守护象征，我觉得声纳才是诺顿的根本，当然IPS也很重要，其他的部件组成多重防御体系

显示全部楼层 · 发表于 2016-1-2 12:03:39

墨家小子发表于 2016-1-2 11:58
不是这么说的，最终的防护才是无特征性的实力守护象征，我觉得声纳才是诺顿的根本，当然IPS也很重要，其 ...

主防是基于程序行为的检测，查杀是基于代码的检测，广义上讲都是根据特征去匹配，所以也没有什么优劣之分

要么去检测，要么去拉黑，就这两条路

显示全部楼层 · 发表于 2016-1-2 12:14:14

欧阳宣发表于 2016-1-2 12:03
主防是基于程序行为的检测，查杀是基于代码的检测，广义上讲都是根据特征去匹配，所以也没有什么优劣之分 ...

你看看这个帖子中招哪位的卡巴，就像你说的“要么去检测，要么去拉黑”在第一时间都没有用，可惜没有看到卡巴主防跟程序应用控制发威。入口防御跟强悍的行为防御才是王道。

显示全部楼层 · 发表于 2016-1-2 12:20:36

墨家小子发表于 2016-1-2 12:14
你看看这个帖子中招哪位的卡巴，就像你说的“要么去检测，要么去拉黑”在第一时间都没有用，可惜没有看到 ...

我是说，不管是特征查杀，行为防护，入口防护，都是根据一定的标准，这个标准可以是一条启发签名，可以是sonar.heuristic.xxx 可以是gen:variant.graftor.xxxxxx,如果符合，则报毒

拉黑是先知道这个文件是黑，再主动去告知各个端点

就看这个文件是厂商先知道还是用户先知道，仅此而已

显示全部楼层 · 发表于 2016-1-2 12:25:21

欧阳宣发表于 2016-1-2 12:20
我是说，不管是特征查杀，行为防护，入口防护，都是根据一定的标准，这个标准可以是一条启发签名，可以是 ...

一般都是用户先.....不过卡巴云挺快的

显示全部楼层 · 发表于 2016-1-2 12:28:19

windows7爱好者发表于 2016-1-2 12:25
一般都是用户先.....不过卡巴云挺快的

对呀，总有用户很不幸先碰到，然后诺顿有免费的清毒服务，清不了还能退款。

http://us.norton.com/nortonlive/information.jsp?type=guarantee

[可疑文件] File name: radF2024.tmp.exe Detection ratio: 1 / 55 Neutrino Exploit Kit 挂马

浏览过的版块