刚了解symantec，有一些问题想请教各位大佬！

AEht

symantec关于“提早启动防病毒软件”的两个选项有什么不同？，详细见图：

问题：
上图中哪个更好呢？什么原理？如若各有优缺请细说！
纯小白，刚了解symantec，请各位指教。
有主动防御吗？还是依赖于启发？
主观站内样本表现怎么样？主观误报怎么样？主观防勒索怎么样？
听说虽然有回滚但好像不能恢复被加密的文件，视作衍生物处理？虽然这个论坛是最初作为卡巴斯基粉丝站创立的，我还是想听听饭友们把它和卡巴比较。A杀是激进启发，B杀是正常启发，C杀是数据库、信誉杀，我说的对吗？

废话：
但因为最近的一个rootkit 让我刚被入正卡巴治愈的杀软综合征 又犯了，
正好那个rootkit列赛门客又能动态0day防。我去找那时的病毒库自己试验也确实如此。
本来我在VT上看elastic能静态，我去收集信息想试发现实际上elastic挺玄学的，
就比如这个样本有人亲测扫不出，也因为elastic defend的特殊性无法配置，让人琢磨不透。
更别说还难以布置（虽然它在企业产品里算好布置的了），就放弃了。

预先感谢站内大佬！


希望饭友们积极回复，让我尽快了解这个新杀软！

Im_Zeus

可能是诺顿的引导时间防护？（我猜的

IamAngry

这个设置默认就行。
symantec基本上就是Norton去掉DP，防勒索当然会比Norton弱点，其他基本都一样。sonar行为检测，机器学习引擎，该有的都有。论坛的人用只是因为想白嫖而已。
你看到某个样本卡巴防不了就换了那你用诺顿过一阵子就要破防了，因为诺顿最喜欢md5拉黑了，之前magniber大流行，诺顿就只md5拉黑，卡巴又更新启发又更新主防

anthonyqian

C杀不是这个含义。详见：https://bbs.kafan.cn/thread-2225650-1-1.html

hansyu

anthonyqian 发表于 2023-5-28 20:58
C杀不是这个含义。详见：https://bbs.kafan.cn/thread-2225650-1-1.html

Heur.AdvML.M杀呢？

anthonyqian

hansyu 发表于 2023-5-28 21:12
Heur.AdvML.M杀呢？

M杀很罕见 很早之前有看到过 目前都基本上看不到

AEht

IamAngry 发表于 2023-5-28 20:54
这个设置默认就行。
symantec基本上就是Norton去掉DP，防勒索当然会比Norton弱点，其他基本都一样。 ...

DP是什么？

pal家族

AEht 发表于 2023-5-28 21:36
DP是什么？

勒索保险箱

GreatMOLA

这个设置应该表示的是如果在ELAM的扫描中发现潜在威胁时的处理方式。有些Rootkit如果对其执行清除操作会导致系统无法正常启动，所以SEP的引导时扫描默认设置为仅将其标记为不明以防止可能存在的系统损坏。

Q：有主动防御吗？还是依赖于启发？
A：有的，有基于行为的主动防御（SONAR）；扫描比较依赖于启发（Heur.AdvML.XX 报法）。

Q：主观站内样本表现怎么样？主观误报怎么样？主观防勒索怎么样？
A：对于样本区表现，我的主观感受是第一梯队水平。机学的存在感非常高，有时候靠机学和启发能发现别家发现不了的新威胁；同时如果扫描未发现的威胁，执行后其IPS和防火墙也会对其网络活动进行弹窗警示。其次，SONAR对于Dropper、常见勒索的拦截还是比较到位的，不过能力还是稍逊于PDM和ATC。对于误报表现，在我实体机的使用中，可能是我用灰色软件比较少，所以误报在我这不多。勒索的话，个人版有Data Protector组件，所以对于勒索的防御优于企业版。主观上对于其勒索防护的评价是：第一梯队主流。

Q：听说虽然有回滚但好像不能恢复被加密的文件，视作衍生物处理？
A：SONAR有回滚，会回滚注册表、网络设置和系统设置；对于衍生物，执行删除操作。对于加密的文件，SONAR确实视作衍生物处理。

Q：A杀是激进启发，B杀是正常启发，C杀是数据库、信誉杀，我说的对吗？
A：A杀是基于本地机器学习的激进式启发；B杀应该是与SDS数据库联动的半本地启发，会随着SDS数据库的更新而更新。有时MD5拉黑也会出现B杀的报法，这种情况下B杀之后会紧跟Trojan.Gen.MBT之类的拉黑报法；C杀根据@anthonyqian 大神的说法，是云端的高级机器学期启发检测。除了这几种，AdvML还有M杀、L杀等罕见的报法，这些应该是不同程度、不同文件类型或是不同特征提取类型的机器学习扫描。

AEht

GreatMOLA 发表于 2023-5-28 21:53
这个设置应该表示的是如果在ELAM的扫描中发现潜在威胁时的处理方式。有些Rootkit如果对其执行清除操作会导 ...

为什么我下载的列塞门克的UI怪简陋的？我看到站内有些人拿列塞门克测试样本，他那个界面就是显示这个威胁，阻止，威胁名和这个威胁的社区信息，那个界面是诺顿有的是吗？还是有其他的办法