查看: 3214|回复: 5
收起左侧

[讨论] 讨论下诺顿的“云”,吐槽向

[复制链接]
anthonyqian
发表于 2021-5-25 18:23:53 | 显示全部楼层 |阅读模式
本帖最后由 anthonyqian 于 2021-6-4 00:41 编辑

诺顿应该是比较早有云的杀软了,很早就有Insight云信誉这一功能了。

但是,经过我的测试,诺顿对未被检测到的新病毒的响应速度明显慢于卡巴斯基(基本上KSN上判定为恶意,客户端UDS会秒级响应)、ESET(被LiveGrid拉黑,在下一次更新之前会报suspicious,基本也是实时响应)、比特梵德(有cloud的报法,病毒库更新算比较频繁)、小红伞(APC不用多说了,另外病毒库更新也比较频繁)、avast(流式更新,更新异常频繁,还有FileRepMalware)、F-secure(红伞的APC秒级响应+自己的online报法)、McAfee(月神,响应也比较快),甚至MD(基数大,!cl的报法响应很快)。

据我观察,诺顿对新病毒的检测会经过以下三个阶段:
第一阶段:上报后赛门铁克威胁响应团队分析(耗时:几小时到几天,如果自动处理,一般一小时)
第二阶段:如果样本恶意,首先可以发现VT上Symantec引擎会报毒,但此时用户端扫描不报毒,右键查询信誉仍然未知(有时候信誉会更新为不良),双击执行依然miss;但用NPE云端扫描器大概率可以报毒(耗时:数小时,取决于下一次病毒库发布时间)
第三阶段:诺顿病毒库(SDS Update)更新发布,客户端也报毒了,右键信誉更新为不良

走完以上三个阶段,对于一些不那么小众的毒最少也要花几小时,对于一些小众的毒(例如论坛自制样本)最多要花几天的时间。有些人会说,诺顿/铁壳花这么多时间是在认真分析样本,然而在实际测试中,我发现了Trojan.Gen.XXX报法(Trojan.Gen.2,Trojan.Gen.MBT最为突出)存在严重误报情况,合理怀疑是自动拉黑,未经过人工仔细分析,这一点也可以在AV-C的误报测试中得出。

最关键的是,我发现在整个对新病毒的检测过程中,“云”似乎没发挥作用(我现在不在国内,没有网络问题):
  • 诺顿似乎必须要等到SDS Update发布安装后才能检测出新病毒,而SDS Update的发布频率一般是1-3次/天,有时会几天都不更新。
  • 诺顿的文件智能分析的“检查新分级”形同虚设。诺顿对新文件在首次从云端获取信誉数据后,似乎无法再从云端获取实时信誉数据。(据我观察,加白是通过Reputation Rovacation List这一个几小时发布一次的更新来实现的;而拉黑是通过SDS Update来实现的,尚不清楚Reputation Rovacation List更新是否涉及拉黑)
  • 遇到过好多次上报诺顿miss的样本给铁壳,收到铁壳跟进邮件说样本被Cloud Protection检出,但诺顿仍旧miss。这种情况应该是处于第二阶段,VT上的Symantec引擎的确报毒了,但诺顿用户端仍需要等候下一次SDS更新才能拉黑。这样的情况malwaretips的用户也有遇到。

我记得以前版本(大概啥2010年那会?)的诺顿还是铁壳有WS.Malware.2这样的云拉黑的报法,现在也取消了。

类似的问题我也在诺顿官方论坛发帖讨论了(Norton CANNOT detect the Trojan even if its Insight Reputation is Bad | Norton CommunityNorton should be more responsive to new threats | Norton Community),然而诺顿论坛的bjm_大佬似乎不以为意,甚至让我换杀软


温馨小屋
头像被屏蔽
发表于 2021-5-25 19:13:53 | 显示全部楼层
这论坛回复就搞笑,除了官话,居然也玩起自古以来了,简直666.


我记得wannacry那时候还有!cloud的杀法,现在没有了,可能和AdvML.C有关,这应该是个云杀法。


            

  Windows 10 企业版  21H1【 19043.1023

【第三方编译的Chromium 90.0.4430.212
anthonyqian
 楼主| 发表于 2021-5-25 19:44:29 | 显示全部楼层
温馨小屋 发表于 2021-5-25 19:13
这论坛回复就搞笑,除了官话,居然也玩起自古以来了,简直666.

据我观察,如果报了Heur.AdvML.C,必然会跟一个类似Trojan.Gen.XX的入库杀的检测,而后者是要等病毒库更新的,所以也不算“实时”。单独报Heur.AdvML.C的情况很少,我这里好像没发现。
温馨小屋
头像被屏蔽
发表于 2021-5-25 19:55:09 | 显示全部楼层
本帖最后由 温馨小屋 于 2021-5-25 20:06 编辑
anthonyqian 发表于 2021-5-25 19:44
据我观察,如果报了Heur.AdvML.C,必然会跟一个类似Trojan.Gen.XX的入库杀的检测,而后者是要等病毒库更 ...

我见过几次,C杀的速度比入库快,不过也快不了多少。

确实单独C杀的概率并不高,不像UDS那样的大量出现于拉黑新病毒。



            

  Windows 10 企业版  21H1【 19043.1023

【第三方编译的Chromium 90.0.4430.212
Miostartos
发表于 2021-5-26 10:08:53 | 显示全部楼层
诺顿查杀云反应很慢的
主防云据说和信誉云联动,但是也没啥卵用
然后gen.2和gen.mbt这俩玩意就是直接拉黑,过段时间就得整合一批定义

anthonyqian
 楼主| 发表于 2021-5-26 11:57:49 来自手机 | 显示全部楼层
Miostartos 发表于 2021-5-26 10:08
诺顿查杀云反应很慢的
主防云据说和信誉云联动,但是也没啥卵用
然后gen.2和gen.mbt这俩玩意就是直接拉黑 ...

很多过了一两年的老样本 诺顿还是报Trojan.gen.xxx,这种通用拉黑改一改hash就过了。。主要可能还是因为铁壳体系里面Win32.XX 这样的专门的报毒分类(这种改hash还是报)太少了,导致只能给一个通用的报法。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 01:14 , Processed in 0.136567 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表