“廉颇老矣，尚能饭否”诺顿评测

显示全部楼层 · 发表于 2020-2-26 10:06:25

本帖最后由 LSPD 于 2020-2-26 10:33 编辑

一，前言
几个月前，铁壳被收购的的新闻使我感到惊讶，近年来，随着pc电脑份额的不断下降，安全软件厂商的日子也越来越难过
在胡乱臆断之中，我猜测诺顿药丸（参照被收购的咖啡），铁壳企业业务及部分技术团队被卖身给博通，其余业务被改组为NLL
“少年安得长少年，海波尚变为桑田”没了铁壳雄厚财力的保证，诺顿现在检测路到底怎样呢，我怀着试一试的心情对样本区的样本进行了一定量的测试
二，新增组件介绍
在新360中诺顿新增组件为摄像头防护，VPN防护（国内版残废，不可用）

新增组件Data Protector

以及NAVP版本2GB云存储
N360入门版10GB云存储（其余版本请访问诺顿官网查询）
三，测试环境
Windows7 SP1虚拟机（Hyper-v)，仅打了必要的补丁，漏洞补丁基本未打

主程序Norton 新360 22.20.1.69病毒库随自动更新保持最新
四，近期测试样本及测试情况汇总
样本均取自论坛样本区，仅作测试情况汇总，由于样本测试数量不少，仅统计我自己测试的情况，请各位轻喷原始样本数据
共测试样本753个
扫描检测572个
SONAR拦载75个
ips（疯狂弹窗）5个
防火墙（可疑网络活动，默认拦载）2个
Data Protector（拦载后样本无后续动作）5个
miss 94个
综合检测率87.5%
处理样本数据（去除双击报错及未双击测试的文档类文件）
共测试样本704个
扫描检测572个
SONAR拦载75个
ips（疯狂弹窗）5个
防火墙（可疑网络活动，默认拦载）2个
Data Protector（拦载后样本无后续动作）5个
miss 45个
综合检测率93.6%附目前观测到的SONAR报法：
SONAR.Heuristic.170
SONAR.Dropper
SONAR.SuspDrop!gen7
SONAR.SuspBeh!gen22
SONAR.Cryptlocker!g80
SONAR.Danabot!g3
Trojon.Emotet
SONAR.SuspPE!gen7

五.总结

诺顿作为曾经安全软件的领头羊，安全理念超前，技术先进，但这两年逐渐被其他厂商赶上
SDS组件多年未大改，特征强度堪忧，防勒索能力弱，误杀高，使不少人对这款软件望而却步
测试证明，诺顿加壳被过的几率为15%左右，大多是会被SONAR.Heuristic.170杀掉不必太担心
防勒索能力仍然一般，全新勒索被过率仍在40%左右
防御白加黑，APT以及远控靠SONAR及防火墙的能力仍有待加强
误报问题感觉有所好转，B杀误报比例还比较高
Data Protector补充了多步主防对mbr类病毒不敏感的缺陷
总而言之，诺顿在最近的测试中成绩有所好转，但与BD等强悍的主防仍有差距，
ips（疯狂弹窗）报大量出站威胁，对注入病毒能力弱的问题仍然存在

六.后记
诺顿作为我入站以来时用的第一款安软，给我留下了很深的印象
最后回到诺顿的原因也是它智能，与其他软件冲突较少，算是安软中防御全面又比较安逸的一款了吧
“沉舟侧畔千帆过，病树前头万木春”让我们期待以后诺顿的发展吧
也感谢我入站以来不断帮助我的前辈们
@驭龙 @扬帆起航 @BE_HC @静影沉璧 @温馨小屋 @记录微笑 @huang1111
感谢你们，论坛有你们更精彩
附诺顿误报上报入口：https://submit.symantec.com/false_positive/

显示全部楼层 · 发表于 2020-2-26 10:22:02

最近评测区很热闹啊

诺顿的特征很多都是MBT或Gen.2这类MD5拉黑，加壳背过的几率低是因为诺顿的pack启发杀壳特别厉害，vmp很多也能杀掉，还有就是AdvML，当然误报也感人，AdvML刚出的时候在样本区检测率基本是100%，误报可想而知，现在好了很多了，就怕误报多了以后用户都不知道报毒到底是误报还是真毒

Data Protector应该主要是为了解决部分加密的问题，MBR类病毒SONAR有专门的规则，基本没什么问题，杀新勒索基本是靠不断地SONAR家族入库来解决的，没入库之前也差不多得部分加密

显示全部楼层 · 发表于 2020-2-26 10:22:03

你打错了一个地方吧

应该是APT，高级持续性威胁，不是ATP

显示全部楼层 · 发表于 2020-2-26 10:22:41

我还在看哪里at了我

显示全部楼层 · 发表于 2020-2-26 10:22:48

记录微笑发表于 2020-2-26 10:22
你打错了一个地方吧

应该是APT，高级持续性威胁，不是ATP

打错了，我去修改一下

显示全部楼层 · 发表于 2020-2-26 10:29:50

我一直认为SONAR的报毒和用户量有关系。

比如那个亿寻，SONAR一直杀，但是看详细信息SONAR也说不清哪里有恶意行为。这个文件只有SONAR是主防杀

显示全部楼层 · 发表于 2020-2-26 10:33:23

huang1111 发表于 2020-2-26 10:22
我还在看哪里at了我

本想at一下，保存的时候网卡了

显示全部楼层 · 发表于 2020-2-26 10:38:32

本帖最后由 BE_HC 于 2020-2-26 11:10 编辑

关于SONAR.Heuristic.170我一直觉得是信誉杀

基本上没有到良好级别的信誉，如果触发SONAR大都是这个，具体咋样还是迷中谜

对于智能的问题，我是对Norton不太满意，基本上没有什么设置的空间，但考虑到受众问题，倒还可以接受

显示全部楼层 · 发表于 2020-2-26 10:46:04

温馨小屋发表于 2020-2-26 10:22
最近评测区很热闹啊

哎，糖又没了，能不能用扣分代替

最近诺顿又出来新报法了，可以玩玩
Heur.AdvML.JS.C

显示全部楼层 · 发表于 2020-2-26 11:01:06

写得很好，建议再完善下内容，内容往评测上面靠，然后排版好帖子，这样做出来的话帖子应该比较完美了

PS：我前几年用过一年的诺顿，后来改用卡巴了。算了算，自从我用电脑以来，用过卡巴、360、金山、瑞星、诺顿、小红伞等杀软

，卡巴的杀猪很经典

[杀软评测] “廉颇老矣，尚能饭否”诺顿评测

评分

评分

评分