Norton 2009 大讨论（关于白名单、扫描等）

zwl2828

由于本文有泄漏赛门铁克技术的嫌疑，所以删去一些内容并去掉来源，以避免遭到法律诉讼。

●为什么Norton2009会加速扫描？

●各家都有加速扫描的技术，连网比对「白名单数据库」也成为风潮。但它也有个盲点，如果计算机不能连网，或是白名单的服务器无法连接，那么就......

●如果计算机不能上网，防病毒软件不能更新，这种情况装哪家软件都一样，这种假设应该是不成立的吧。如果是像以前在防病毒软件内更新白名单，反而会弄得很庞大。NIS 2009在扫描速度上已经是居冠了，就看NIS 2010会怎样加强了。

●卡巴斯基有iSwift、iChecker，也会连网比对白名单，HIPS有建立信任的应用程序列表，不知Symantec还有没有其他招？

●我个人觉得"白名单数据库"是个辅助功能，因为Norton并没说有了白名单就会加强扫描，白名单只是加速扫描，而不是加强扫描。

没办法联机的话，Norton会用最新的测定结果作为扫描标准。就是说Norton第一次用白名单数据库会很慢，就是因为目前没有你的计算机数据。如果连第一次的白名单数据库都没用过的话，Full Scan就好啦，用完之后Norton会记录下来的。

●其实你有再注意Norton更新列表的话，从Norton 2006 开始在线更新列表中就包含"White List"，而且有很频繁的更新。一直到现在的2009更新列表中仍然有这个项目，这就是为什么Norton一直都可以得到AVC测试最快引擎以及低误报的原因。

●虽然各家都在提倡「云计算」，但真的可靠吗？我觉得目前只是理论的实验期，技术普遍还未成熟。

扫描变快应该不全是Norton Insight所致吧，我比较好奇是哪些技术让它变快这么多，会不会有相对的风险。

虽然从2006版就有白名单，但去年还是发生误杀的赔偿事件。也许就如上所言，白名单是个辅助功能，那么，新版是否有增加其他「备用」的安全机制，即使白名单失误，还是有第二道防线，能够降低误判的发生？还是拿KIS为例，先检查数字签名，再查白名单，再去计算威胁值。

新版每5~15分钟释出一次病毒特征，有人知道从上报样本到入库，大约是多久吗？

●一般而言计算机威胁都是因为来自网络，所以从来不上网的计算机，也许装个智能HIPS就好了。

云计算的确还不是很成熟，F-Secure 2009 在 DeepGuard 2.0 白皮书中称：业界没有人像他们一样拥有如此全球化规模的云计算技术设备。

Norton 安全响应实验室执行官也说了，虽然云计算还不是很成熟，短期内也许看不到成效。但是并不代表 Norton Insight 以及 SONAR没有使用云计算技术。

至于你好奇是哪些技术让它变快这么多，我想赛门铁克的资深员工也不能向您透露太多，因为赛门铁克企业保密条款的关系。

据我所知赛门铁克从"侦测"到完成病毒特征应该是6小时，而卡巴斯基实验室从"侦测"到完成病毒特征应该是4小时，手动上报的话可能就是尽快发布了。

●白名单怎么建立的，如何更新，如何运用，本身就是个学问，它就像是一种统计学，方法决定效果，Norton很明显把白名单定义用于辅助扫描速度上：只扫描不在名单上的文件，如果失误了，也只是文件被再次扫描而已，还不至于到误杀吧？

更何况Norton内部还有SONAR之类的行为侦测技术，并非只是靠白名单吃饭。每家的白名单都有一套方法，而不是你有白名单技术就等于他有白名单技术，把Norton的白名单跟KIS拿来做比较不是适当的做法。

[ 本帖最后由 zwl2828 于 2008-10-11 20:14 编辑 ]

mingke2008

学习了

kav2046

感谢小夏分享！

liuxiaolong3133

知道了很多

wusuobuzai

不错的文章，感谢楼主提供的信息~

star_xing

小夏发力Norton2009～支持

支持，顶！！！

zwl2828

以后我会多转一些技术性的文章。

最近蛮喜欢Norton的，当然其他的好的杀毒软件也应该支持哦。

燕踏飞泉

学习了很多，以前对norton一直不是很了解。

813kr

   以前一直用sep的。现在的nis09感觉还不错。顶