fs和Symantec的监控的一些想法

chris0718

还是觉得FS强

newlight

学习了，长见识了，有长进了，哈哈
铁壳和FS都好，我都用过。

ronliang

原帖由 albertmars 于 2008-3-24 20:11 发表
http://bbs.kafan.cn/viewthread.php?tid=219398&extra=page%3D2，7楼是我曾经上传的AYUCLIENT.exe，用Symantec，只要到该文件的目录，马上报毒，不用执行都报毒，用fs则该文件目录没反映，必须执行AYUCLIENT.exe才报 ...

我想这个问题已经过于小白了。
FS的这个误报是沙盘或者是HIPS报毒。
扫描的时候是不经过沙盘和HIPS的，只有将被执行的时候才经过。
扫描的时候当然不会被报毒。这根本不是监控的强弱。
这个文件被symantec的病毒码报毒，监控当然要有反应了。

用这个例子来说监控的强弱，简直是混乱到家了。

ronliang

原帖由 albertmars 于 2008-3-26 17:49 发表
ls不明白沙盘是怎么用的吗？沙盘起作用就是在执行文件的时候，我关掉沙盘就是让fs只用fs的实时监控，我说的fs注册机fs自己报毒，便不是沙盘报的，而是fs的实时监控报的，但是你不执行注册机，只在注册机上右键扫描， ...

(1) 注册机的问题，完全是你设置的问题。默认设置下FS的监控和扫描都是不扫描所有文件格式的。但监控是要对所有进入内存的程序都会扫描的。所以才有扫描不报监控报的情形。而symantec的扫描（和企业版的监控）默认设置下是扫描所有文件的。
btw: 那个注册机在我这里扫描报riskware。

(2) 资源占用的问题。FS资源占用本来就比symantec要大。symantec的扫描速度在杀毒软件里面算最高的那一类。而F-secure算较慢的。Kaspersky的引擎就这样，尤其是扫压缩文件的时候。F-secure开了沙盘之后更卡，这个是程序运行前执行沙盘分析的技术必然的结果。这个没什么可说的。要资源占用的话自然是symantec。

(3)  用symantec用了6年都没看到HIPS报毒是很正常的。但现在的symantec已经有扫描不报运行报了的。SEP11已经有。将来NIS2009集成的NAB会报得更多。因为沙盘和HIPS的原因扫描报，监控不报，不是说明F-secure监控不灵敏，而是说明symantec技术不够先进，没有HIPS或者技术很差。

(4) 东方快车问题。那个问题我没有遇到过，但应该还是设置的问题。让F-secure的监控扫描所有文件就应该可以解决。

[ 本帖最后由 ronliang 于 2008-3-27 11:57 编辑 ]

albertmars

引用:

    原帖由 albertmars 于 2008-3-24 20:11 发表
    http://bbs.kafan.cn/viewthread.php?tid=219398&extra=page%3D2，7楼是我曾经上传的AYUCLIENT.exe，用Symantec，只要到该文件的目录，马上报毒，不用执行都报毒，用fs则该文件目录没反映，必须执行 AYUCLIENT.exe才报 ...

我想这个问题已经过于小白了。
FS的这个误报是沙盘或者是HIPS报毒。
扫描的时候是不经过沙盘和HIPS的，只有将被执行的时候才经过。
扫描的时候当然不会被报毒。这根本不是监控的强弱。
这个文件被symantec的病毒码报毒，监控当然要有反应了。

用这个例子来说监控的强弱，简直是混乱到家了。

天啊，咱俩到底谁小白，你把这些话说给别人听，别人到底认为谁混乱？你说“这个文件被symantec的病毒码报毒，监控当然要有反应了。”我做的把沙盘关掉，就是为了检测AYUCLIENT.exe在fs病毒码里到底有没有定义！事实证明是有的！因为关掉沙盘，执行报的话，那只能说明是fs的病毒码在起作用！两个杀软，病毒码里都有定义，symantec扫描能扫到，fs扫不出来，必须执行才能发现，fs的监控比symantec好，这不是个笑话 ？

(1) 注册机的问题，完全是你设置的问题。默认设置下FS的监控和扫描都是不扫描所有文件格式的。但监控是要对所有进入内存的程序都会扫描的。所以才有扫描不报监控报的情形。而symantec的扫描（和企业版的监控）默认设置下是扫描所有文件的。

这个更搞笑了，你说“进入内存的程序都会扫描的。所以才有扫描不报监控报的情形”，这就是只有执行才报的解释啊！还有symantec在病毒没进入内存就报了，而fs在病毒进入内存才报，这更说明symantec监控比fs先进！你的思维简直混乱极了！
ps：我fs的设置是监控和扫描是扫描所有文件格式的！

(2) 资源占用的问题。FS资源占用本来就比symantec要大。symantec的扫描速度在杀毒软件里面算最高的那一类。而F-secure算较慢的。 Kaspersky的引擎就这样，尤其是扫压缩文件的时候。F-secure开了沙盘之后更卡，这个是程序运行前执行沙盘分析的技术必然的结果。这个没什么可说的。要资源占用的话自然是symantec。

没明白你要说什么。。。我从头到尾说的是卡不卡，而不是资源站用！

(3)  用symantec用了6年都没看到HIPS报毒是很正常的。但现在的symantec已经有扫描不报运行报了的。SEP11已经有。将来 NIS2009集成的NAB会报得更多。因为沙盘和HIPS的原因扫描报，监控不报，不是说明F-secure监控不灵敏，而是说明symantec技术不够先进，没有HIPS或者技术很差。

symantec以前根本没有hips，近期才有的nab和sep11，不知道你“用symantec用了6年都没看到HIPS报毒”是什么意思，还有，告诉你sep的主动防御和fs的沙盘是基本一样的东西！考虑监控的时候，它们应该回避！而不是你说的"因为沙盘和HIPS的原因扫描报，监控不报，不是说明F-secure监控不灵敏，而是说明symantec技术不够先进，没有HIPS或者技术很差"!

(4) 东方快车问题。那个问题我没有遇到过，但应该还是设置的问题。让F-secure的监控扫描所有文件就应该可以解决。

这肯定不是设置的问题，请不要把一切都往设置上推！我举这个例子是要说明symantec的监控是把一个主程序启动所要用到的其他一切可能用的被调用程序都监控了，而fs只监控主程序！

ronliang

关于第一点的回复，AYUCLIENT.exe并不在病毒码检测当中。至少在8系列的AVP引擎和Hydra引擎的病毒定义当中是没有的（7系列三个病毒定义引擎的版本很久没有用了）。关闭system control之后执行不会有任何报告。不清楚你是怎么操作的。

关于第二点的回复。“symantec在病毒没进入内存就报了”这一点涉及到监控程序动作定义的问题。而不是看进没进入内存。
首先需要明确，并希望你注意的一点是，F-secure的注册机在我这里无论监控在浏览的时候还是右键扫描都会报riskware，并不需要执行。希望你能自己找到为什么在你那里就只有执行的时候才报。

关于第三点的回复。资源占用状况当然包括卡与不卡。卡与不卡只是用户对客观的资源占用情况的主动感觉。动态的、静态的；内存的，CPU的之类的资源占用情况更为完整和科学。把资源占用情况和感觉上卡不卡当成两回事只能说是对程序没什么了解。

关于第四点的回复，F-secure(Norman)的沙盘是一个很特别的东西。不同于一般意义上的说的沙盘，因为它并不能自始自终的虚拟运行环境。也不同于一般意义下的HIPS，一般的HIPS并不包含虚拟环境（SEP的主动防御和NAB都是这一类。）。这是一个结合了沙盘虚拟技术的HIPS。F-secure的System control的其它部分才是一般的HIPS。沙盘和其他的HIPS组件在监控的时候只要有钩选，就无法回避，也不该回避。

最后一点的回复，目前还没有监控可以做到“一个主程序启动所要用到的其他一切可能用的被调用程序都监控了”，倒是可以在程序启动的时候扫描程序所在的文件夹。也不会“只监控主程序”，而是监控一些进入内存的内容。
东方快车这个程序我没有用过，所以不清楚定义文件是怎么报的。如果不是设置的问题，就是病毒定义特征码截取的问题。

至于是不是所有东西都要往设置上靠，我希望你可以从程序编写者的角度来看问题。有些问题实现起来是有共性的。不要把问题解释成理论上很难实现的东西。

sunnyicy

FS在检测病毒的时候（扫描和监控）是依靠AVP以及其它（包括自己的和其它买的）以特征码为基础的病毒库和引擎，也使用NORMAN的引擎和病毒库（看看VIRUSTOTAL的检测结果便知）

它的DEEPGUARD防护使用的是NORMAN的SANBOX技术，只有在文件被执行以后，FS的AVP和其它引擎、病毒库都没反应以后，才调用NORMAN的SANBOX，如果SANBOX过了，那就全过了……

如果运行后报的是：W32/Malware、W32/Networm 什么的，那可以肯定是DEEPGUARD在运作

[ 本帖最后由 sunnyicy 于 2008-3-27 15:37 编辑 ]

sunnyicy

F-Secure is not good at code-based heuristic scan,although FS got heuristic engine.

虽然 F-Secure 拥有启发式引擎，但它并不擅长基于代码方式的启发式扫描。

F-Secure includes proactive detection technology,named deepguard,to protect against unknown malware.

F-Secure 包含了一套名为 Deepguard 的主动检测技术，它可以用来抵御未知的恶意程序。

It works when malware is already executed.

当恶意程序被执行以后，Deepguard 开始工作

ronliang

原帖由 sunnyicy 于 2008-3-27 15:21 发表
FS在检测病毒的时候（扫描和监控）是依靠AVP以及其它（包括自己的和其它买的）以特征码为基础的病毒库和引擎，也使用NORMAN的引擎和病毒库（看看VIRUSTOTAL的检测结果便知）

它的DEEPGUARD防护使用的是NORMAN的SA ...

扫描的时候并不调用Norman的沙盘这些Deepguard的组件，
8系列只调用AVP(Virus & riskware)，Hydra(Virus)，还有BlackLight(Rootkits)三个。

sunnyicy

在线扫描的时候应该是用了NORMAN的引擎