讨论下诺顿的“云”，吐槽向

anthonyqian

诺顿应该是比较早有云的杀软了，很早就有Insight云信誉这一功能了。

但是，经过我的测试，诺顿对未被检测到的新病毒的响应速度明显慢于卡巴斯基（基本上KSN上判定为恶意，客户端UDS会秒级响应）、ESET（被LiveGrid拉黑，在下一次更新之前会报suspicious，基本也是实时响应）、比特梵德（有cloud的报法，病毒库更新算比较频繁）、小红伞（APC不用多说了，另外病毒库更新也比较频繁）、avast（流式更新，更新异常频繁，还有FileRepMalware）、F-secure（红伞的APC秒级响应+自己的online报法）、McAfee（月神，响应也比较快），甚至MD（基数大，!cl的报法响应很快）。

据我观察，诺顿对新病毒的检测会经过以下三个阶段：
第一阶段：上报后赛门铁克威胁响应团队分析（耗时：几小时到几天，如果自动处理，一般一小时）
第二阶段：如果样本恶意，首先可以发现VT上Symantec引擎会报毒，但此时用户端扫描不报毒，右键查询信誉仍然未知（有时候信誉会更新为不良），双击执行依然miss；但用NPE云端扫描器大概率可以报毒（耗时：数小时，取决于下一次病毒库发布时间）
第三阶段：诺顿病毒库（SDS Update）更新发布，客户端也报毒了，右键信誉更新为不良

走完以上三个阶段，对于一些不那么小众的毒最少也要花几小时，对于一些小众的毒（例如论坛自制样本）最多要花几天的时间。有些人会说，诺顿/铁壳花这么多时间是在认真分析样本，然而在实际测试中，我发现了Trojan.Gen.XXX报法（Trojan.Gen.2，Trojan.Gen.MBT最为突出）存在严重误报情况，合理怀疑是自动拉黑，未经过人工仔细分析，这一点也可以在AV-C的误报测试中得出。

最关键的是，我发现在整个对新病毒的检测过程中，“云”似乎没发挥作用（我现在不在国内，没有网络问题）：

• 诺顿似乎必须要等到SDS Update发布安装后才能检测出新病毒，而SDS Update的发布频率一般是1-3次/天，有时会几天都不更新。
• 诺顿的文件智能分析的“检查新分级”形同虚设。诺顿对新文件在首次从云端获取信誉数据后，似乎无法再从云端获取实时信誉数据。（据我观察，加白是通过Reputation Rovacation List这一个几小时发布一次的更新来实现的；而拉黑是通过SDS Update来实现的，尚不清楚Reputation Rovacation List更新是否涉及拉黑）
• 遇到过好多次上报诺顿miss的样本给铁壳，收到铁壳跟进邮件说样本被Cloud Protection检出，但诺顿仍旧miss。这种情况应该是处于第二阶段，VT上的Symantec引擎的确报毒了，但诺顿用户端仍需要等候下一次SDS更新才能拉黑。这样的情况malwaretips的用户也有遇到。
  

我记得以前版本（大概啥2010年那会？）的诺顿还是铁壳有WS.Malware.2这样的云拉黑的报法，现在也取消了。

类似的问题我也在诺顿官方论坛发帖讨论了（Norton CANNOT detect the Trojan even if its Insight Reputation is Bad | Norton Community、Norton should be more responsive to new threats | Norton Community），然而诺顿论坛的bjm_大佬似乎不以为意，甚至让我换杀软。

温馨小屋

这论坛回复就搞笑，除了官话，居然也玩起自古以来了，简直666.


我记得wannacry那时候还有!cloud的杀法，现在没有了，可能和AdvML.C有关，这应该是个云杀法。


            

  Windows 10 企业版  21H1【 19043.1023 】

【第三方编译的Chromium 90.0.4430.212 】

anthonyqian

温馨小屋 发表于 2021-5-25 19:13
这论坛回复就搞笑，除了官话，居然也玩起自古以来了，简直666.

据我观察，如果报了Heur.AdvML.C，必然会跟一个类似Trojan.Gen.XX的入库杀的检测，而后者是要等病毒库更新的，所以也不算“实时”。单独报Heur.AdvML.C的情况很少，我这里好像没发现。

温馨小屋

anthonyqian 发表于 2021-5-25 19:44
据我观察，如果报了Heur.AdvML.C，必然会跟一个类似Trojan.Gen.XX的入库杀的检测，而后者是要等病毒库更 ...

我见过几次，C杀的速度比入库快，不过也快不了多少。

确实单独C杀的概率并不高，不像UDS那样的大量出现于拉黑新病毒。



            

  Windows 10 企业版  21H1【 19043.1023 】

【第三方编译的Chromium 90.0.4430.212 】

Miostartos

诺顿查杀云反应很慢的
主防云据说和信誉云联动，但是也没啥卵用
然后gen.2和gen.mbt这俩玩意就是直接拉黑，过段时间就得整合一批定义

anthonyqian

Miostartos 发表于 2021-5-26 10:08
诺顿查杀云反应很慢的
主防云据说和信誉云联动，但是也没啥卵用
然后gen.2和gen.mbt这俩玩意就是直接拉黑 ...

很多过了一两年的老样本 诺顿还是报Trojan.gen.xxx，这种通用拉黑改一改hash就过了。。主要可能还是因为铁壳体系里面Win32.XX 这样的专门的报毒分类（这种改hash还是报）太少了，导致只能给一个通用的报法。