好奇为啥诺顿威胁处理速度那么慢

anthonyqian

今天刚从卡巴回到诺顿，设置更新完后，打开平时放样本的文件夹，里面有一些最近样本区没有被卡巴杀的样本。然后诺顿的自动防护就开始处理这些样本，但是，处理速度极为缓慢，其间CPU占用也不少，风扇转速也明显增加，我一度以为诺顿卡死了。



这些样本是同一时间访问的。从安全历史记录里面可以发现：

• 诺顿处理一个样本的时间大概是2-3分钟。
• 如果一个样本对应多个检测（启发+入库），也需要为每个检测等待2-3分钟的处理时间。
  

查看详细的记录可以看到，这2-3分钟里面，诺顿做的也就是删除原样本而已。

最神奇的是，其实这些被检测到的样本在我访问文件夹后几秒里就已经被诺顿删除了，但诺顿仍需要花大量的时间处理样本。
我好奇的是，诺顿处理威胁的逻辑是什么？样本早就被删除，那么这2-3分钟里面，诺顿到底在处理啥？

abc531005

在这3分钟内，Norton会把样本用虚拟机跑一遍。看看样本对系统会做哪些更改。以便进行回滚等操作。

anthonyqian

abc531005 发表于 2021-3-14 20:07
在这3分钟内，Norton会把样本用虚拟机跑一遍。看看样本对系统会做哪些更改。以便进行回滚等操作。

这和ESET对威胁的处理差异很大啊，感觉也不是很智能，一个文件对应两个检测，还要等双倍的时间。。。

abc531005

anthonyqian 发表于 2021-3-14 20:21
这和ESET对威胁的处理差异很大啊，感觉也不是很智能，一个文件对应两个检测，还要等双倍的时间。。。

我认为等是值得的。只有安全风险彻底清除干净了。系统也就安全了。

温馨小屋

诺顿会先AdvML杀，然后联网查询云库，云库结果得好久才回出现在日志里，AdvML的上报信息立刻就会出现的，诺顿在这几分钟里可能运行修复操作，这也是我最头疼的，我觉得这个操作很蠢，样本有没有运行过还不知道嘛，尽管没有被运行，还是会进行一部分修复操作，偶尔就会发现壁纸被换掉的情况，还有一些注册表值被回滚，相当于清理操作反而会对系统造成伤害，实机的话我根本不敢测扫描。

wudimeisuowei

温馨小屋 发表于 2021-3-14 23:06
诺顿会先AdvML杀，然后联网查询云库，云库结果得好久才回出现在日志里，AdvML的上报信息立刻就会出现的，诺 ...

感觉诺顿的技术已经停滞，没有什么进步。对勒索病毒防护能力很差，误报率还很大。现在感觉win10自带的杀软都比诺顿强，起码云响应很快。

anthonyqian

温馨小屋 发表于 2021-3-14 23:06
诺顿会先AdvML杀，然后联网查询云库，云库结果得好久才回出现在日志里，AdvML的上报信息立刻就会出现的，诺 ...

所以这两三分钟是在执行修复操作，而不是楼上说的虚拟机跑一遍？

关于壁纸换掉，我发现每次诺顿报“Ransom.Wannacry”的时候，一定会更换壁纸为纯色。然而这个报法很不精确，很多非wannacry勒索也会归类到Ransom.Wannacry。。。

anthonyqian

wudimeisuowei 发表于 2021-3-14 23:21
感觉诺顿的技术已经停滞，没有什么进步。对勒索病毒防护能力很差，误报率还很大。现在感觉win10自带的杀 ...

有这个感觉，举个例子，诺顿的SONAR主防根据维基百科是第四代，已经是2012年的产物了，快十年了，也没有更新到第五代，平时只有规则定义的更新。

MD其实现在比大多数付费杀软云响应要广、要快了，毕竟装机量大。

温馨小屋

anthonyqian 发表于 2021-3-14 23:27
所以这两三分钟是在执行修复操作，而不是楼上说的虚拟机跑一遍？

关于壁纸换掉，我发现每次诺 ...

我觉得跑一遍有可能，就像SEP报的未决分析，也有可能是连接云结合本地情况获取修复信息进行修复，修复的一般都是有具体报法的，Gen.2之类的很罕见有修复，不过还是有点耗性能的，就算误报了也得两三分钟之后再说

温馨小屋

wudimeisuowei 发表于 2021-3-14 23:21
感觉诺顿的技术已经停滞，没有什么进步。对勒索病毒防护能力很差，误报率还很大。现在感觉win10自带的杀 ...

我觉得诺顿在倒退，一两年前我也测过诺顿，入库速度广度比现在好得多，AdvML的检测率也比现在好，SONAR也经常170杀，总之也不算太差，现在有些样本虚拟机里放了三四天也不杀，天天无限IPS，新加了个防勒索的DP是不是勒索都敢杀，一言难尽，我对诺顿防御稀烂的印象就是在近半年形成的。