查看: 6081|回复: 29
收起左侧

[讨论] 诺顿样本区测试报告

[复制链接]
袋鼠吱吱
头像被屏蔽
发表于 2008-4-28 21:55:50 | 显示全部楼层 |阅读模式


这个月我看样本测试区没有人测试Symantec公司的产品了,所以就主动安上nis2007,完成了将近一个月的测试。开始我每天都把不杀样本上传,后来漏毒数量实在惊人,而上报机制又叫人气愤,所以只好中断,在这里给大家道歉了!!!不过要怪也只能怪symantec太不近人情

这次测试我的着重点在于诺顿对安全威胁的响应机制。所以我设定5日为一个补测周期,亦即0405日的样本,用当日病毒库扫描一遍,当日毒库无法侦测的样本,再用0410日的毒库补测,看诺顿在这5日内,能跟进多少新威胁(实在抱歉,由于我的疏忽,没有考虑到诺顿升级的时差问题,造成实际上周期为6日,只好将错就错,不过也能反映出一些问题来)。

今晚比较闲,所以上来码字,也看到很多朋友谈了自己多诺顿的看法,我也就着测试结果,说一点我的看法。

首先分析一下上图和我的测试数据:

1.蓝色条形显示当日侦测率,紫色条形显示5日后补测侦测率,蓝色+紫色显示最终侦测率。
2.从4月5日到4月22日,当日侦测率均值为0.4569,补测侦测率均值为0.2011,最终侦测率均值为0.6580.
3.从4月5日到4月28日,Norton总计扫描4256个安全威胁,成功清除2个安全威胁,启发式侦测到10个威胁。

数据分析就是这样了,然后说说我的看法:

1.Norton对病毒的查杀能力的确很差。但是Norton的误杀很少,对于普通用户,误杀和不杀,一样叫人头疼,所以他们会首选诺顿;此外,对于高级用户,有些人也很讨厌吵闹,讨厌不断地排除,所以诺顿的安静,也成为他们选择诺顿的原因。

2.Norton对新威胁的反应速度也并不快。我们给了它将近一周时间进行升级,结果仍不尽如人意。测试区其他人并没有像我这么测试,但是我想以卡巴斯基,红伞,甚至Panda等实验室收集样本的勤恳态度来看,他们的补测结果应该是近乎满分的。

3.Norton对病毒特征码的总结是值得称道的。

1)很多朋友问Norton病毒库多大?遗憾地告诉你,7W多而已,但这只是表面数字,实际远超于此,正所谓家族算法。在测试中遇到最多的一类毒,是infostealer,这是一个大家族,成百上千个单位包含在内,而Norton对病毒特征码的更新,也主要集中于此。

2)对于病毒,诺顿详细分析其感染行为,全面予以修复,拿W32.SillyFDC这个家族的病毒来说,如果你的电脑感染了病毒,Norton会进行如下操作:

57 Registry Entries
HKEY_CLASSES_ROOT\Folder\shell\About Us - No Action Required
HKEY_CLASSES_ROOT\artfile - No Action Required
HKEY_CLASSES_ROOT\batfile\->NeverShowExt - No Action Required
HKEY_CLASSES_ROOT\comfile\->NeverShowExt - No Action Required
HKEY_CLASSES_ROOT\exefile\->NeverShowExt - No Action Required
HKEY_CLASSES_ROOT\scrfile\->NeverShowExt - No Action Required
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\->ScanningSystemDrive - No Action Required
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\->WinRun - No Action Required
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\->default - No Action Required
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\->sInErA - No Action Required
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\->svchost - No Action Required
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\->NoFolderOptions - No Action Required
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\System\Malicious\ - No Action Required
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\->NoRun - No Action Required
HKEY_CLASSES_ROOT\AVIFile\shell\open\command\ - No Action Required
HKEY_CLASSES_ROOT\scrfile\ - No Action Required
HKEY_CLASSES_ROOT\datfile\shell\open\command\ - No Action Required
HKEY_USERS\S-1-5-21-1409082233-1708537768-682003330-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\->DisableTaskMgr - No Action Required
HKEY_USERS\S-1-5-21-1409082233-1708537768-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Policies\System\->DisableTaskMgr - No Action Required
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\System\->DisableTaskMgr - No Action Required
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\System\->DisableTaskMgr - No Action Required
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\->DisableTaskMgr - No Action Required
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\->DisableTaskMgr - No Action Required
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideFileExt->CheckedValue:0 - Repaired
HKEY_CLASSES_ROOT\batfile\shell\edit\command\ - Repaired
HKEY_CLASSES_ROOT\comfile\ - Repaired
HKEY_CLASSES_ROOT\inifile\shell\open\command\ - Repaired
HKEY_CLASSES_ROOT\piffile\shell\open\command\ - Repaired
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\->Shell:Explorer.exe - Repaired
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\->Userinit:C:\WINDOWS\system32\userinit.exe, - Repaired
HKEY_USERS\S-1-5-21-1409082233-1708537768-682003330-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\->DisableRegistryTools:0 - Repaired
HKEY_USERS\S-1-5-21-1409082233-1708537768-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Policies\System\->DisableRegistryTools:0 - Repaired
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\System\->DisableRegistryTools:0 - Repaired
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\System\->DisableRegistryTools:0 - Repaired
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\->DisableRegistryTools:0 - Repaired
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run - No Action Required
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\->AlternateShell:cmd.exe - Repaired
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore\->DisableConfig:0 - Repaired
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore\->DisableSR:0 - Repaired
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer\->LimitSystemRestoreCheckpointing:0 - Repaired
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer\->DisableMSI:0 - Repaired
HKEY_LOCAL_MACHINE\Software\Classes\exefile\ - Repaired
HKEY_USERS\S-1-5-21-1409082233-1708537768-682003330-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->HideFileExt:0 - Repaired
HKEY_USERS\S-1-5-21-1409082233-1708537768-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->HideFileExt:0 - Repaired
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->HideFileExt:0 - Repaired
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->HideFileExt:0 - Repaired
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->HideFileExt:0 - Repaired
HKEY_USERS\S-1-5-21-1409082233-1708537768-682003330-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->Hidden:1 - Repaired
HKEY_USERS\S-1-5-21-1409082233-1708537768-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->Hidden:1 - Repaired
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->Hidden:1 - Repaired
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->Hidden:1 - Repaired
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->Hidden:1 - Repaired
HKEY_USERS\S-1-5-21-1409082233-1708537768-682003330-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->ShowSuperHidden:1 - Repaired
HKEY_USERS\S-1-5-21-1409082233-1708537768-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->ShowSuperHidden:1 - Repaired
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->ShowSuperHidden:1 - Repaired
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->ShowSuperHidden:1 - Repaired
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->ShowSuperHidden:1 - Repaired
4 Files
d:\样本\a2-1\080426-n1-1.exe - Deleted
d:\样本\A2-1\080426-n3-4.exe - Deleted
C:\Documents and Settings\ke\Local Settings\Application Data\Microsoft\CD Burning\autorun.inf - No Action Required
C:\WINDOWS\autorun.inf - No Action Required
6 INI File Entries
C:\WINDOWS\System.ini->autorun->open - No Action Required
C:\WINDOWS\System.ini->autorun->shell\open\Command - No Action Required
C:\WINDOWS\System.ini->autorun->shell\Explore\Command - No Action Required
C:\Documents and Settings\ke\Local Settings\Application Data\Microsoft\CD Burning\autorun.ini->autorun->open - No Action Required
C:\Documents and Settings\ke\Local Settings\Application Data\Microsoft\CD Burning\autorun.ini->autorun->shell\open\Command - No Action Required
C:\Documents and Settings\ke\Local Settings\Application Data\Microsoft\CD Burning\autorun.ini->autorun->shell\Explore\Command - No Action Required
1 Browser Cache


仔细阅读上面的扫描日志,会发现Norton可以对病毒所做的一切破坏进行修复。该病毒拦截了.EXE和其他可执行文件的扩展名,Norton予以修复;该病毒修改了文件夹中显示隐藏文件夹和不显示系统文件夹的相关注册表键值,Norton予以删除或恢复;该病毒禁用了任务管理器,注册表编辑器,破坏了安全模式,Norton予以修复,该病毒添加了自启动项,Norton予以删除。此外还有ini文件的删除,对其他一些病毒,诺顿还会结束当前运行的病毒进程,删除病毒创建的服务。等等...最后,非常关键的是,Norton会清理临时文件,一通看下来,简直是太完美了

这么说可能太抽象,不过我想大家都有中了病毒,杀掉后,电脑变得奇奇怪怪的经历吧。特别是用卡巴斯基的,常常会在开机看到一个错误提示框。有时候你又发现,隐藏文件看不到了,安全模式进不去了。OK,对于有一定动手能力的人来说,用安全工具,或者自己修复,难度不大,麻烦些罢了。但对于广大普通电脑用户,诺顿的这种贴心呵护,就显得弥足珍贵了。在这里真的要大大地赞诺顿一下。以我的经验,世界上好像还没有别的公司,做到这一点的。大家常常说的Norton老企业,大公司,业内第一的风范与积淀,完全体现在这里了。

3.Norton对网马的防护,是比较出色的。这个是题外话,与测试无关,和诺顿的入侵防护有关,可以说是一种很好的0-DAY防御措施。

4.Norton对U盘病毒的防护较差。防U盘毒,一个最根本的措施是杀autorun,诺顿实在太保守了。也许是为了防止误杀罢,他至今对autorun还是网开一面的。测试期间我的电脑曾不慎插入染毒U盘,盘内病毒诺顿无法识别,我没注意,用资源管理打开之,于是中毒。后来我清理完毕病毒,却忘记修复U盘,又插在别人电脑上,他装了一个McAfee 8.0,跳出提示框,清除autorun.inf。所以这里建议使用Norton的朋友,在插入U盘前,确保无毒,其次,打开前如可能,用Icesword等先查看其中的文件,如有可以exe,用冰刃杀,千万不要用右键的方式进入,这招早已失效。

5.Norton的稳定性:Norton的产品很庞大,组件繁杂,升级缓慢,产品内部各功能间时有冲突,稳定性并不太高,小Bug层出不穷,中文版英文版间,也是后者更为稳定。但是虽有瑕疵,无伤大雅,对于普通用户而言,是没什么可烦心的了。

6.Norton的资源占用:我觉得还是很大,主要不是symantec那几个进程,而是偷偷隐藏在其他进程中为诺顿服务的内存很大,比如svchost,另外查杀和升级时的ccSvcHst.exe也很恐怖,且占CPU。流畅度还不错。特别是打开文件时。升级时很卡。

7.Norton的自我保护,比较好。但对于映像劫持,也是无法可施。

我的总评:

Norton的安全性一般,这是横向地看,和卡巴斯基,Nod32他们比。

Norton的安全性不错,这是站在普通用户的角度看,有时候受某些厂商(如国内的瑞星之流,国外的Panda等)以及某些媒体左右,我们对网络威胁状况的评估很消极,其实大可不必。Norton,McAfee,Trend他们,还是相当乐观的,他们的全球安全评级一般都是Low risk,我们正常使用电脑,安装防毒软件,打好安全补丁,注意U盘和网马两个渠道,做一些防范,就可以保证安全了,大可不必忧心忡忡。

有时候杀毒软件比病毒还烦,所以对于一般用户,Norton还是很不错的选择。至于那些NB毒,让我们祈求上帝,别叫他们光顾。说真的,用norton,你就得为省心埋单,埋什么呢?一个是把你的系统资源埋进去,另外一个是你的好运气——运气好的话,NB毒也会被你躲过哦

[ 本帖最后由 袋鼠吱吱 于 2008-4-28 23:46 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +50 收起 理由
aa11qq26 + 50 谢谢,辛苦了

查看全部评分

aa11qq26
发表于 2008-4-28 22:01:20 | 显示全部楼层
对你的精神,赞一个
袋鼠吱吱
头像被屏蔽
 楼主| 发表于 2008-4-28 22:04:47 | 显示全部楼层
哈,感谢版主加分。参加测试也是为了了解下这个软件到底怎么样,因为家里都在用,现在看来,我当初的选择是不错的。210块钱买3PC NIS2007,可以升级2年,很好。
sizhegao
发表于 2008-4-28 22:05:06 | 显示全部楼层
学校复印处的毒一堆又一堆,打印个word文档,病毒硬是把我的doc文档感染成exe文档,仍可双击打开

回来用自己的机器再把这个感染的exe杀掉……什么世道

话说回来了,norton虽然查杀率低,但用起来实在是安静,也不会出现吓人的叫声:)推荐给工作事务繁忙,使用电脑习惯良好的人使用。

不指望给家里装,外甥之类的上网乱点,中了毒也不知道……
allinwonderi
发表于 2008-4-28 22:08:19 | 显示全部楼层
感谢LZ分享。
袋鼠吱吱
头像被屏蔽
 楼主| 发表于 2008-4-28 22:09:34 | 显示全部楼层
原帖由 sizhegao 于 2008-4-28 22:05 发表
学校复印处的毒一堆又一堆,打印个word文档,病毒硬是把我的doc文档感染成exe文档,仍可双击打开

回来用自己的机器再把这个感染的exe杀掉……什么世道

话说回来了,norton虽然查杀率低,但用起来实在是安静,也 ...


额,学校的打印机店很邪恶,很黄很暴力,怕怕。。。

偶家里是老父老母,所以不烦是最重要的。。。中了毒只要还能用,等着诺顿更新特征码,然后恢复病毒的小伎俩。不过要是碰到熊猫烧香,那就没戏了。
carlcai
发表于 2008-4-28 22:10:18 | 显示全部楼层
杀毒杀压缩包是片面的直观测试,实际病毒爆发和低误报才是治标治本的!
袋鼠吱吱
头像被屏蔽
 楼主| 发表于 2008-4-28 22:13:42 | 显示全部楼层
原帖由 carlcai 于 2008-4-28 22:10 发表
杀毒杀压缩包是片面的直观测试,实际病毒爆发和低误报才是治标治本的!


是滴,而且nis2008还加入了行为侦测,估计等2009,NAB再成熟一些,会更强悍吧。。。
3729833
发表于 2008-4-28 23:00:12 | 显示全部楼层
上周六朋友用我的电脑乱下东西,结果找来了磁碟机,诺顿自动防护就搞定了,然后我又用了个江民专杀扫了一遍。
最后没有任何系统崩溃以及染毒迹象,诺顿的监控以及修复能力堪称完美。
lbj888
发表于 2008-4-28 23:20:59 | 显示全部楼层
不错,不错!
终于看到真正讨论问题的人了!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 09:16 , Processed in 0.144830 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表