楼主: B100D1E55
收起左侧

[分享] 从简单案例看多层防御的重要性

  [复制链接]
驭龙
发表于 2017-11-25 11:28:01 | 显示全部楼层
B100D1E55 发表于 2017-11-25 11:23
hmm,现在SONAR误杀还严重吗?我用2的那时候基本上除了大众软件外的都杀了个遍

现在的话,SONAR本身好像误杀很少,除非是破解或者D软件容易误杀,但并不多,不过赛门铁克的信誉杀和机器学习启发的误杀倒是多一些,SONAR报的话,绝大部分都是威胁,误杀少
cloud01
头像被屏蔽
发表于 2017-11-25 11:28:52 | 显示全部楼层
欧阳宣 发表于 2017-11-25 11:21
你知道哪个是高危?你不知道的话开智能模式吧。你的人脑比eset的内置规则还全还聪明?

哈哈哈那是个ex ...

我现在只想很可观的问你那个帮助文件是干净文件调用还是本身已经被注入了呢?我不知道哪个是高位所以需要软件内置啊,我发现你为了嘴上赢我已经招法全无,自己都前后矛盾了。
B100D1E55
 楼主| 发表于 2017-11-25 11:37:05 | 显示全部楼层
驭龙 发表于 2017-11-25 11:28
现在的话,SONAR本身好像误杀很少,除非是破解或者D软件容易误杀,但并不多,不过赛门铁克的信誉杀和机器 ...

有意思,不过看第三方评测赛铁的误杀还是相当恐怖。机器学习和信誉杀都是运行时才触发的么?
驭龙
发表于 2017-11-25 11:40:42 | 显示全部楼层
B100D1E55 发表于 2017-11-25 11:37
有意思,不过看第三方评测赛铁的误杀还是相当恐怖。机器学习和信誉杀都是运行时才触发的么?
下载和扫描会触发的,因为是实时监控
应该是信誉杀和机器学习吧,SONAR本身误杀不大,但也有别的问题,例如对付JS威胁就不给力,而且勒索也容易过,即使是SONAR后期拦截,加密的文件也无法回滚,这是一年前的情况,我现在是ESET+DG你懂得,所以现在不玩NS了
wangkaka
发表于 2017-11-25 14:46:15 来自手机 | 显示全部楼层
驭龙 发表于 2017-11-25 11:40
下载和扫描会触发的,因为是实时监控
应该是信誉杀和机器学习吧,SONAR本身误杀不大,但也有别的问题,例 ...

我之前测过一下勒索,好像最近几个勒索家族没发现sonar背过
欧阳宣
头像被屏蔽
发表于 2017-11-25 14:59:57 | 显示全部楼层
cloud01 发表于 2017-11-25 11:28
我现在只想很可观的问你那个帮助文件是干净文件调用还是本身已经被注入了呢?我不知道哪个是高位所以需要 ...

你又觉得自己不懂哪个是高危,别人帮你判断;又觉得自己知道哪个是高危,要自己搞规则,喜欢矛盾的是你。

我觉得我表达得很清楚了。脚本调用干净的系统帮助程序执行恶意行为,想搅浑水的话你自己玩去吧。

你事实都摆不出来,连诡辩的层面都上升不了。
驭龙
发表于 2017-11-25 15:11:53 | 显示全部楼层
wangkaka 发表于 2017-11-25 14:46
我之前测过一下勒索,好像最近几个勒索家族没发现sonar背过
之前也有过的,而且有的加密无法回滚,现在不清楚,你测试的时候文档有被加密吗?加密的有回滚成功吗?好久没测试了,不清楚现在的情况
cemiko 该用户已被删除
发表于 2017-11-25 15:43:43 | 显示全部楼层
B100D1E55 发表于 2017-11-25 11:20
说实话这基本靠近图灵机的能力边界了。杀软很大程度上只能知道程序大致想干什么,却没法知道具体想做什么 ...

所以更有效的安全思路是环境隔离?不同安全需要的程序,运行在完全隔离的环境下,隔离的环境设置不同安全级别,增加防御纵深。
wangkaka
发表于 2017-11-25 15:44:36 | 显示全部楼层
驭龙 发表于 2017-11-25 15:11
之前也有过的,而且有的加密无法回滚,现在不清楚,你测试的时候文档有被加密吗?加密的有回滚成功吗?好久 ...

除了那个俄罗斯的勒索BadRabbit和另一个会部分加密(但加密的也不多,就10几个文件),其他完美防御了。。不过我用的是几天前毒库而且断网,联网情况下会好不少。现在sonar应该加强过防勒索,效果还不错,不能要求全部完美防御啊,谁也做不到啊。。
cemiko 该用户已被删除
发表于 2017-11-25 15:45:59 | 显示全部楼层
wangkaka 发表于 2017-11-25 15:44
除了那个俄罗斯的勒索BadRabbit和另一个会部分加密(但加密的也不多,就10几个文件),其他完美防御了。 ...

SONAR现在还有离线规则,不是早就云化了吗?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:49 , Processed in 0.091587 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表