聊聊诺顿的信誉杀

anthonyqian

• 信誉杀是啥？
  诺顿的信誉杀是一种仅针对下载文件的、基于文件信誉的报法，在2009年推出，用英文表示，就是WS.Reputation.1/WS.Reputation.3（前者较常见）。信誉杀不同于传统的检测方式，它的原理是在云端基于一套算法综合评估一个程序的来源、在诺顿社区中的出现时间、用户量、信任度、获得方式等元数据（metadata）并对其进行评分，达到一定分数的文件会判为信誉不良，报WS.Reputation.1，诺顿会将其隔离，并在空闲时将样本上传到赛门铁克，如果的确存在恶意行为，会即刻入库拉黑。如果信誉未知，诺顿会提醒用户是否要打开。值得一提的是，铁壳似乎会对信誉杀上报的样本优先分析优先入库。通常，报信誉杀的病毒文件在上报几个小时后都会被拉黑入库。
• 信誉杀为何重要？
  相比卡巴、ESET，铁壳入库算慢的，有时人工提交的样本几天都不会入库。但是有了信誉杀，可以大幅增加诺顿针对新病毒的查杀率。
• 信誉杀的弊端
  信誉杀的高检出率带来了略高的误报率。一些在诺顿社区里从未见过的文件或是“绿化版”应用都有机会被贴上WS.Reputation.1的标签。铁壳也知道误报的问题，因此在最近几年大幅改善信誉杀的敏感度，同时限定信誉杀只有下载时才会报，平时扫描双击都不会触发。比较玄学的是，并非所有信誉未知的新程序都会被报信誉杀，具体细节只有铁壳知道了。
• 信誉杀的触发方式
  首先要明确，信誉杀是和“智能下载分析”紧密相关的。要实现信誉杀，首先要触发下载智能分析。因此要先打开智能下载分析和Insight（默认都是打开的）。
  信誉杀查杀的对象是可执行文件，也就是说，一些doc xls ppt txt之类的文件不在范围内。
  如果你下载的文件不是压缩包，下载完后如果综合评分不良，会直接报信誉杀。
  如果你下载的文件是压缩包，这时候你需要在下载完成后使用包括7-zip在内的解压缩软件立即（放太久没解压可能不会触发信誉杀）解压。如果使用中文版WinRAR、好压、360压缩之类的解压缩软件，诺顿可能无法识别解压后的文件是刚下载的，自然不会触发智能下载分析，也不会报信誉杀。
• 成功触发下载智能分析的样子
  

删除威胁时的提醒

岚Azure

一点都不方便，必须是7ZIP，还必须下载就解压。

anthonyqian

岚Azure 发表于 2020-7-15 17:26
一点都不方便，必须是7ZIP，还必须下载就解压。

本土化问题，也不是说下载一定马上要解压，一般不超过1天都可以吧 我测试下来。

Solidt

Symantec和NLL拆分后insight数据两家不知道有什么不同...