诺顿有像卡巴斯基那样的回滚操作吗

温馨小屋

bbszy 发表于 2019-4-23 22:32
首先，不需要对于回滚进行精确定义，可以姑且认为是删除威胁并恢复文件或系统至病毒感染前的一种手段。
...

第一句话我认同，抠定义没有意义

然后来说一说诺顿的防御体系。

首先说扫描，根据我这段时间的测试，诺顿入库速度很慢，看卡巴入库了有时诺顿还需要半天到一天才可以扫描杀，这段时间空档基本都是把重担交给SONAR和IPS了。曾经的机器学习大杀四方，基本样本区病毒可以100%不入库就能杀，但是误报感人，甚至曾经有人把它归类到万物杀里了，连helloworld都可以杀，现在的机器学习杀有所收敛，误报率大幅降低，但是似乎只对流行度高的病毒比较管用，比如样本区发的bootkit的那个病毒家族，基本全可以B杀，但是似乎GandCarb做过针对处理，不能每次都机器学习杀，很大成度上都靠SONAR，所以出现了SONAR.GandCrab!gen3这个定义，对于较小众的病毒基本没有用，所以给了我大量机会测试SONAR。诺顿云化严重，所以基本每次扫描都要查云端定义，所以扫描引擎这块第一波双击都是AdvML在抵挡，所以看右下角提示基本大多数都会报AdvML，等他分析完了进历史记录看一眼就能看到两条记录，一条是机器学习杀报法，另一条是定义报法，对于没有触发第一道防线AdvML的病毒，就会先让他运行，然后再去查云端定义，这时候就产生漏毒的可能了，如果云延迟低一点的话双击直接就杀了，如果云恰好不太好用，那相当于扫描miss了，就得等SONAR出手了，然后就会发现扫描引擎会和SONAR一起报毒，然后回滚，如果有修改文件行为的话基本就漏了，SONAR.Dropper!gen2这个定义似乎就是扫描的本地补救措施。我觉得诺顿库里应该也有一部分清除列表，有一次我光扫描没有双击就触发了清除还把我壁纸换掉了，当然仅对有明确定义的毒才会触发类似操作，对于SONAR来说我觉得他应该是记录了应用程序所有操作才回滚得。

对于SONAR，断了网基本就是垃圾，和扫描一样，大部分毒都会miss，似乎只有SONAR.Heuristic.170这一个定义是本地定义，其他都需要联网触发，一旦断网就全miss，然后死翘翘。SONAR很多地方的反应跟扫描差不多，因为云端有延迟，所以本地定义SONAR.Heuristic.170先报毒，然后过一会历史记录里会有两条记录，就比如上面的SONAR.GandCrab!gen3，断网是没有这个报法的，众多GandCrab版本里有的能触发SONAR.Heuristic.170，这样基本不会被加密，有的版本不会触发170，等SONAR.GandCrab!gen3定义响应过来桌面已经全被加密了，有时回滚还删不干净，好几个地方勒索信还有残留。对于勒索来说我觉得部分加密的后果已经相当严重了，勒索流行了这么长时间基本各大厂商都针对性加强主防或者加入单独的勒索保护模块，要不就像BD那样刚开始加密就杀，要不像卡巴一样弄个数据库及时回滚加密文件，都可以避免用户文件损失，然而诺顿就是无动于衷，光加几条定义有个啥用，出了新毒不还被加密吗，SONAR像卡巴一样拦截点靠后而且还没有数据库用来回滚，我觉得这是相当危险的。

对于防火墙，对于后门木马基本没啥防御能力，SONAR也是大概率哑火，然后就会出现那个熟悉的弹框：“在您的系统上检测到大量可疑出站通讯，建议使用NPE”。。。然后IPS不停地报System Infected，但始终也解决不了木马本体，任务管理器一看一大堆病毒进程，最后诺顿还很容易被弄坏，动不动就出AutoFix，两三年前我测诺顿就这样，现在还是这样，对于这种远控木马基本还是靠扫描定义。

IPS这个东西我倒是很喜欢，还有漏洞缓解，看着就爽

对于WannaCry，看当时的病毒贴其他的杀软都报明确的名字了然鹅Symantec还是拉黑状态，SONAR定义也是可以实时变的，所以它贴出来的有可能是后加的，看断网测试也是并没有触发SONAR，不过IPS确实可以杀，直接阻断最主要传输途径了。

温馨小屋

STCn1000 发表于 2019-4-24 10:45
没有恢复文件就不叫回滚，这还不叫以偏概全？而且就算按你这说法那也只是你认为的定义。
你不能以你的定 ...

你也在用自己的定义要求别人，难道你的定义就是对的？每一家都可以有自己的说法，讨论定义没有意义。难道卡巴的实时备份+恢复没有记录操作没有反向解除吗？强抠概念有啥意思？

卡巴当然不会玩这种回滚，明显会漏东西导致用户文件被加密，卡巴的回滚已经解决了这种问题，不知道诺顿咋想的

Miostartos

温馨小屋 发表于 2019-4-24 11:07
你也在用自己的定义要求别人，难道你的定义就是对的？每一家都可以有自己的说法，讨论定义没有意义。难道 ...

讨论定义没意义？自说自话很好玩？这种东西不明确定义讨论什么？
对于美系三大，他们的定义就是恢复恶意软件操作就行。然后你拿你的定义去否了别人的定义，还不准讨论定义？你算老几？

卡巴没用诺顿式主防？
你可看清楚卡巴自己的解释
卡巴可是说的清清楚楚一样记录行为回滚。
我再贴一遍，你自己看看4是什么。

卡巴斯基系统监控组件包含以下技术：
1. 自动防御技术可防范和拦截漏洞利用行为。
2. 在检测到应用程序的可疑行为时，应用权限控制将执行组件设置中指定的操作。
3. 防御锁屏木马，只需按下键盘上设定的组合键即可检测和删除锁屏软件。
<b>4. 恶意软件行为回滚。为当前线程以及先前的线程收集系统中的可疑行为，从而对应用程序执行的所有操作进行回滚（如该应用程序之后被判定为恶意）。</b>
<b>5. 防范密码病毒。密码病毒是一种加密文件并以此索要赎金的恶意软件。当密码病毒尝试对文件进行加密时，卡巴斯基产品会在文件遭受感染前，自动创建文件备份。如文件已被加密，卡巴斯基产品则会将文件恢复至备份副本。</b>
卡巴斯基系统监控组件在阻止勒索攻击的过程中至关重要。当恶意程序绕过其它防护时，系统监控组件可以回滚恶意程序操作。该功能对于防止勒索程序绕过其它防护加密硬盘上的数据十分有效。

我看你也别回复了，懒得和自说自话的人解释。

温馨小屋

STCn1000 发表于 2019-4-24 10:47
我加起来用了4年多诺顿了，办公那台电脑就没见过这个报毒，也就家里电脑爱折腾才经常误报。普通用户也根 ...

就是Shadow Defender，官方安装包，首先安装包就给我删了一次，装完主程序还给我删了一次，不仅SD，还有好几个其他软件，下载智能分析还有时候后犯劲，安装完之后全给回滚了，不知道什么逻辑，很是诡异，小众软件我都是放到单独的一个文件夹里排除的，桌面上放的都是比较流行的软件了，照杀不误。软件自己都是会提示更新的，除非完全的办公电脑安装完之后从不更新，难道软件更新不正常吗？有的软件还会自动更新呢，那岂不是更惨？Windows市场份额这么大的原因之一就是软件生态丰富，这样把很多第三方软件都干掉恐怕只有政府和办公室能用

温馨小屋

STCn1000 发表于 2019-4-24 11:11
讨论定义没意义？自说自话很好玩？这种东西不明确定义讨论什么？
对于美系三大，他们的定义就是恢复恶意 ...

你的理解能力堪忧啊。。。

一说回滚大家都知道怎么回事了，你这里强抠定义秀优越感吗？我已经说了多次讨论定义没有意义了，前面的bbszy也说了不需要精确定义，知道是哪个东西就行了。我说的卡巴没用诺顿那种回滚是指卡巴没有像诺顿那样导致部分加密发生，卡巴用备份防止了这个问题发生，我已经说的很明白了吧，好像是你自己说的卡巴的实时备份+恢复和诺顿的记录操作然后反向解除完全不是一回事。你自己说的卡巴那个准确来说不叫回滚，然后又贴出卡巴的回滚定义，然后又算回滚了，你这是想干啥。。。
你前面说：“你要让卡巴玩诺顿这种回滚，照样被加密救不了。”，后面又来“卡巴没用诺顿式主防？你可看清楚卡巴自己的解释”，你的表达能力有待提高啊

讨论出问题了就开始自己下定义然后让人家闭嘴，这里不是贴吧吧。。。

Miostartos

温馨小屋 发表于 2019-4-24 11:25
你的理解能力堪忧啊。。。

一说回滚大家都知道怎么回事了，你这里强抠定义秀优越感吗？我已经说了多次 ...

全程就你在那不符合你的定义就不配讨论。
到底谁贴吧风气。
而且也不知道谁理解能力不行。卡巴把恶意软件行为回滚和文件备份恢复分开列，还不明显？
诺顿确实缺失恢复功能，但这可不是你嘴里的“不配叫回滚”。

另外有本事别改前几天的回复啊？

温馨小屋

STCn1000 发表于 2019-4-24 11:30
全程就你在那不符合你的定义就不配讨论。
到底谁贴吧风气。
而且也不知道谁理解能力不行。卡巴把恶意软 ...

除了最早那个贴，我哪里说过不符合定义就不要讨论？该讨论讨论，但是扣定义就没意思了，一直都是你在一直强调定义，好不好看疗效，抠定义有个啥用，从第一个贴出问题之后我一直都在纠正，避免抠字面定义多讨论一下实际功能，结果就你一直抓住定义不放，然后还前后矛盾。你看卡巴那个定义最后是不是也说了一句回滚恶意操作？现在勒索病毒正流行，在宣传上强调一句“我的系统监控可以完美防御勒索病毒”有啥问题？卡巴那个定义里完全就是说防御勒索软件靠回滚恶意操作，不知道你为啥非要把文件备份和回滚分开。我看到bbszy的回复我就发现那句话有问题了，我的本意是区别诺顿的回滚和卡巴的回滚，结果随口一说出问题了，我为啥不能删，咋就成不要脸了？你没改恢复吗？你这人身攻击是不是可以举报一波了。我非得留着那句话等你来毫无意义的杠吗？

灵果

两位的讨论很精彩，比那些“卡巴比360好”“感谢分享”这类水贴有意义，论坛就需要两位这样的讨论才会更加精彩。对事物的认知不同、理解不同、甚至站的角度不同有争议是必然的，不要生气，大气谦和，大气谦和。

Miostartos

温馨小屋 发表于 2019-4-24 11:46
除了最早那个贴，我哪里说过不符合定义就不要讨论？该讨论讨论，但是扣定义就没意思了，一直都是你在一直 ...

你也知道你那说法有问题哦。
那下次口嗨之前考虑清楚措辞咯。

l10x

STCn1000 发表于 2019-4-23 23:26
对于绝大部分普通用户来说。这个东西是有效的。
没有几个普通用户会成天捣鼓那些发布就一两天的无数签个 ...

信誉报法WS.Reputation.1 万物杀 sep上如何关闭？我就是被这个劝退