从简单案例看多层防御的重要性

驭龙

B100D1E55 发表于 2017-11-25 11:23
hmm，现在SONAR误杀还严重吗？我用2的那时候基本上除了大众软件外的都杀了个遍

现在的话，SONAR本身好像误杀很少，除非是破解或者D软件容易误杀，但并不多，不过赛门铁克的信誉杀和机器学习启发的误杀倒是多一些，SONAR报的话，绝大部分都是威胁，误杀少

cloud01

欧阳宣 发表于 2017-11-25 11:21
你知道哪个是高危？你不知道的话开智能模式吧。你的人脑比eset的内置规则还全还聪明？

哈哈哈那是个ex ...

我现在只想很可观的问你那个帮助文件是干净文件调用还是本身已经被注入了呢？我不知道哪个是高位所以需要软件内置啊，我发现你为了嘴上赢我已经招法全无，自己都前后矛盾了。

B100D1E55

驭龙 发表于 2017-11-25 11:28
现在的话，SONAR本身好像误杀很少，除非是破解或者D软件容易误杀，但并不多，不过赛门铁克的信誉杀和机器 ...

有意思，不过看第三方评测赛铁的误杀还是相当恐怖。机器学习和信誉杀都是运行时才触发的么？

驭龙

B100D1E55 发表于 2017-11-25 11:37
有意思，不过看第三方评测赛铁的误杀还是相当恐怖。机器学习和信誉杀都是运行时才触发的么？

下载和扫描会触发的，因为是实时监控
应该是信誉杀和机器学习吧，SONAR本身误杀不大，但也有别的问题，例如对付JS威胁就不给力，而且勒索也容易过，即使是SONAR后期拦截，加密的文件也无法回滚，这是一年前的情况，我现在是ESET＋DG你懂得，所以现在不玩NS了

wangkaka

驭龙 发表于 2017-11-25 11:40
下载和扫描会触发的，因为是实时监控
应该是信誉杀和机器学习吧，SONAR本身误杀不大，但也有别的问题，例 ...

我之前测过一下勒索，好像最近几个勒索家族没发现sonar背过

欧阳宣

cloud01 发表于 2017-11-25 11:28
我现在只想很可观的问你那个帮助文件是干净文件调用还是本身已经被注入了呢？我不知道哪个是高位所以需要 ...

你又觉得自己不懂哪个是高危，别人帮你判断；又觉得自己知道哪个是高危，要自己搞规则，喜欢矛盾的是你。

我觉得我表达得很清楚了。脚本调用干净的系统帮助程序执行恶意行为，想搅浑水的话你自己玩去吧。

你事实都摆不出来，连诡辩的层面都上升不了。

驭龙

wangkaka 发表于 2017-11-25 14:46
我之前测过一下勒索，好像最近几个勒索家族没发现sonar背过

之前也有过的，而且有的加密无法回滚，现在不清楚，你测试的时候文档有被加密吗？加密的有回滚成功吗？好久没测试了，不清楚现在的情况

B100D1E55 发表于 2017-11-25 11:20
说实话这基本靠近图灵机的能力边界了。杀软很大程度上只能知道程序大致想干什么，却没法知道具体想做什么 ...

所以更有效的安全思路是环境隔离？不同安全需要的程序，运行在完全隔离的环境下，隔离的环境设置不同安全级别，增加防御纵深。

wangkaka

驭龙 发表于 2017-11-25 15:11
之前也有过的，而且有的加密无法回滚，现在不清楚，你测试的时候文档有被加密吗？加密的有回滚成功吗？好久 ...

除了那个俄罗斯的勒索BadRabbit和另一个会部分加密（但加密的也不多，就10几个文件），其他完美防御了。。不过我用的是几天前毒库而且断网，联网情况下会好不少。现在sonar应该加强过防勒索，效果还不错，不能要求全部完美防御啊，谁也做不到啊。。

wangkaka 发表于 2017-11-25 15:44
除了那个俄罗斯的勒索BadRabbit和另一个会部分加密（但加密的也不多，就10几个文件），其他完美防御了。 ...

SONAR现在还有离线规则，不是早就云化了吗？