查看: 1977|回复: 3
收起左侧

[分享] 聊聊诺顿的信誉杀

[复制链接]
anthonyqian
发表于 2020-7-15 17:14:32 | 显示全部楼层 |阅读模式
本帖最后由 anthonyqian 于 2020-7-15 17:17 编辑

  • 信誉杀是啥?
    诺顿的信誉杀是一种仅针对下载文件的、基于文件信誉的报法,在2009年推出,用英文表示,就是WS.Reputation.1/WS.Reputation.3(前者较常见)。信誉杀不同于传统的检测方式,它的原理是在云端基于一套算法综合评估一个程序的来源、在诺顿社区中的出现时间、用户量、信任度、获得方式等元数据(metadata)并对其进行评分,达到一定分数的文件会判为信誉不良,报WS.Reputation.1,诺顿会将其隔离,并在空闲时将样本上传到赛门铁克,如果的确存在恶意行为,会即刻入库拉黑。如果信誉未知,诺顿会提醒用户是否要打开。值得一提的是,铁壳似乎会对信誉杀上报的样本优先分析优先入库。通常,报信誉杀的病毒文件在上报几个小时后都会被拉黑入库
  • 信誉杀为何重要?
    相比卡巴、ESET,铁壳入库算慢的,有时人工提交的样本几天都不会入库。但是有了信誉杀,可以大幅增加诺顿针对新病毒的查杀率。
  • 信誉杀的弊端
    信誉杀的高检出率带来了略高的误报率。一些在诺顿社区里从未见过的文件或是“绿化版”应用都有机会被贴上WS.Reputation.1的标签。铁壳也知道误报的问题,因此在最近几年大幅改善信誉杀的敏感度,同时限定信誉杀只有下载时才会报,平时扫描双击都不会触发。比较玄学的是,并非所有信誉未知的新程序都会被报信誉杀,具体细节只有铁壳知道了。
  • 信誉杀的触发方式
    首先要明确,信誉杀是和“智能下载分析”紧密相关的。要实现信誉杀,首先要触发下载智能分析。因此要先打开智能下载分析Insight(默认都是打开的)。
    信誉杀查杀的对象是可执行文件,也就是说,一些doc xls ppt txt之类的文件不在范围内。
    如果你下载的文件不是压缩包,下载完后如果综合评分不良,会直接报信誉杀。
    如果你下载的文件是压缩包,这时候你需要在下载完成后使用包括7-zip在内的解压缩软件立即(放太久没解压可能不会触发信誉杀)解压。如果使用中文版WinRAR、好压、360压缩之类的解压缩软件,诺顿可能无法识别解压后的文件是刚下载的,自然不会触发智能下载分析,也不会报信誉杀。
  • 成功触发下载智能分析的样子

删除威胁时的提醒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
LSPD + 1 版区有你更精彩: )

查看全部评分

岚Azure
发表于 2020-7-15 17:26:51 | 显示全部楼层
一点都不方便,必须是7ZIP,还必须下载就解压。
anthonyqian
 楼主| 发表于 2020-7-15 17:45:38 | 显示全部楼层
岚Azure 发表于 2020-7-15 17:26
一点都不方便,必须是7ZIP,还必须下载就解压。

本土化问题,也不是说下载一定马上要解压,一般不超过1天都可以吧 我测试下来。
Solidt
发表于 2020-7-17 02:16:16 | 显示全部楼层
Symantec和NLL拆分后insight数据两家不知道有什么不同...
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 23:26 , Processed in 0.135182 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表