诺顿有像卡巴斯基那样的回滚操作吗

Xironeko

用了很久诺顿 发现诺顿清除病毒需要很久很久 并且隔离区里面这些运行过的病毒都会有其他文件也一起在隔离区放着 这是类似于卡巴斯基那样的回滚操作？*卡巴曾经在2019版之前用过一年多 然后送人了

cwl12315

有回滚

温馨小屋

诺顿没有卡巴那样的回滚，只有类似ATD那样的删除衍生物，已经加密的文件无法恢复

bbszy

有回滚。会在虚拟机里先跑一边，记录病毒的操作，然后恢复所有操作。楼上的说法不准确，诺顿的回滚比BD好多了，不说业界最好，也是前几的了。

satellite288

有回滚的，LZ的截图里不是已经能看到项目入口了嘛，那个“还原”，点进去，就可以把进隔离的再拉出来，不过唯一问题是，要么顺手点特征排除项目，要么事先加白，不过还原后第一时间还得再进小黑屋

kim545

昨天装蓝叠愣是让卡巴触发了回滚，诺顿的sonar也有回滚，但是我没触发过

蓝泽祈

我记得有。你点击详细信息，会有恶意软件对系统的操作和杀毒对这些操作的删除。

温馨小屋

bbszy 发表于 2019-4-21 17:25
有回滚。会在虚拟机里先跑一边，记录病毒的操作，然后恢复所有操作。楼上的说法不准确，诺顿的回滚比BD好多 ...

诺顿只会删除衍生物，卡巴的回滚可以把被加密文件滚回去，诺顿的不行，只能删除文件而不可以恢复文件，样本区我测了快半个月诺顿了，每次出新勒索双击都会加密一部分文件然后SONAR杀，然而桌面文件已经恢复不了了，勒索信什么的倒都删了，ATD拦截点靠前，不会留下很多衍生物，诺顿双击之后先查云，拦截点还靠后，等病毒干了好多事了才开始SONAR杀，要是没有机器学习杀的话云还不好用的情况下直接就漏毒了。

bbszy

温馨小屋 发表于 2019-4-23 19:57
诺顿只会删除衍生物，卡巴的回滚可以把被加密文件滚回去，诺顿的不行，只能删除文件而不可以恢复文件，样 ...

首先，不需要对于回滚进行精确定义，可以姑且认为是删除威胁并恢复文件或系统至病毒感染前的一种手段。


SONAR对于勒索病毒确实存在短板，这从有勒索病毒那天起就存在拦截滞后的问题，但也不是所有勒索都病毒都是这个结果，要不SONAR里那么多的勒索病毒防护定义都白搞了，也不能因此全面否定诺顿的回滚机制。卡巴只是对勒索文件有针对性的防御，对某些操作直接备份了文件而已，当初没有这个备份机制的时候照样文件被加密，而且由于备份存在时间差，并不能保证恢复的文件就是加密前最后那个版本。

诺顿不会漏毒。机器学习应用在自动防护中，不用等运行，可以在写入硬盘、访问或运行前拦截。SONAR集合了行为分析、信誉分析等多种指标综合判断，没有云也能识别威胁，当然效果会差一些。如果只删衍生物那不叫回滚，直接就是实时监控了，显然诺顿并不是这样处理，诺顿发现的每一个威胁是跑了虚拟机的，根据虚拟机的运行结果，不仅删除相关文件，还恢复注册表信息，是业界非常优秀的回滚。还有一种清除机制是咖啡那种，直接把清除列表写入病毒库，优点是性能表现好，但是也相对死板。

虽然SONAR对于恢复被加密的文件这方面差了一些，但是诺顿的综合防御体系是非常优秀的。
例如对于wannacry，几乎诺顿的每个组件都能对其防护，从病毒定义到机器学习（自动防护和扫描组件），到SONAR的行为防护，到ips，我觉得中毒概率或者说成功下载加密主体程序的概率已经很低了。

Ransom.Wannacry
Discovered: May 12, 2017
Updated: May 24, 2017 1:46:26 PM
Type: Trojan, Worm
Infection Length: Varies
Systems Affected: Windows

Ransom.Wannacry is a worm that spreads by exploiting vulnerabilities in the Windows operating system. Once installed, it encrypts files and demands a payment to decrypt them.

Ransom.Wannacry is a worm that delivers a ransomware payload. It has two primary components. A worm module used for self-propagation and a ransom module used for handling the ransom extortion activities.

Protection                                
                                
Antivirus                                 

• Ransom.Wannacry
• Ransom.CryptXXX
• Trojan.Gen.8!Cloud
• Trojan.Gen.2
• Ransom.Wannacry!gen1
• Ransom.Wannacry!gen2
• Ransom.Wannacry!gen3
  

                                
SONAR behavior detection technology                                

• SONAR.AM.E.!g18
• SONAR.AM.E!g11
• SONAR.Cryptlk!g1
• SONAR.Cryptlocker!g59
• SONAR.Cryptlocker!g60
• SONAR.Cryptlocker!g80
• SONAR.Heuristic.159
• SONAR.Heur.Dropper
• SONAR.Heur.RGC!g151
• SONAR.Heur.RGC.CM!g13
• SONAR.Heuristic.158
• SONAR.Heuristic.161
• SONAR.SuspDataRun
• SONAR.SuspLaunch!g11
• SONAR.SuspLaunch!gen4
• SONAR.TCP!gen1
  

                                                           
Advanced machine learning                                

• Heur.AdvML.A
• Heur.AdvML.B
• Heur.AdvML.D
  

                                
Network-based protection                                

• OS Attack: Microsoft SMB MS17-010 Disclosure Attempt
• Attack: Shellcode Download Activity
• System Infected: Ransom.Ransom32 Activity
  

https://www.symantec.com/securit ... 2017-051310-3522-99

huang1111

bbszy 发表于 2019-4-23 22:32
首先，不需要对于回滚进行精确定义，可以姑且认为是删除威胁并恢复文件或系统至病毒感染前的一种手段。
...

卡巴很早以前就有回滚这个机制，只是因为当时用起来实在是太卡，所以默认不开启，后来也忘记什么时候默认开启这个功能了，在勒索病毒爆发的时候卡巴斯基在锁库情况下，通过系统监控（加密一些，成功回滚）的方式成功防御勒索病毒，至于“而且由于备份存在时间差，并不能保证恢复的文件就是加密前的。”我只能说，由于是监控到有异常行为才开始备份，不排除有漏滚的可能性，但是目前来看，漏滚的概率也是很小的。还有你说的：诺顿不会漏毒。。。你是指你开启了万物杀模式么？那我承认不会漏毒，但是如果开启卡巴斯基受信任模式，你觉得会漏毒么请还是以常规模式为默认标准进行讨论，没有人说任何杀软不好，有比较才有进步