SNOAR反应迟钝还有用吗？

显示全部楼层 · 发表于 2008-10-14 22:38:05

是样本区的一个东东
自己下来扫描下没反应
于是到虚拟机里实际跑下
用EQ监视
看了下
的确不是什么东西
都加载了自己的驱动
最后自己删除了病毒源程序

后来就没管
半天后发现诺顿有提示
说SNOAR发现危险并删除
看记录只是删除了病毒原文件生成物貌似并没有删除

根据EQ记录
病毒都已经完成了驱动加载而且修改了某些东西
为什么很常时间后才有反应
这时候反应还有用吗？

显示全部楼层 · 发表于 2008-10-14 22:50:12

sonar没这么慢啊，我的体验还好

显示全部楼层 · 发表于 2008-10-14 22:57:17

是有点迟钝。。。。而且SEP的主防一直扫描还占CPU。。。

显示全部楼层 · 发表于 2008-10-14 23:37:38

LZ再看看NIS有没有一系列的恢复恶意行为造成损害的动作。貌似这个区里面大多数人都说Symantec杀毒慢是因为需要恢复病毒造成损害的结果。

显示全部楼层 · 发表于 2008-10-14 23:40:27

我用sep的时候反映倒是挺快的，就是处理有点慢，不过也没象论坛里说的那么慢

显示全部楼层 · 发表于 2008-10-15 10:00:01

补上样本
是卡饭样本区的
http://bbs.kafan.cn/thread-346952-1-2.html

显示全部楼层 · 发表于 2008-10-15 10:27:47

没有完整测试过，不过对于未知病毒的拦截，不能完全依靠Sonar~~~

显示全部楼层 · 发表于 2008-10-15 10:29:17

这个世界上没有100%的东西,只能无限接近100%~!

显示全部楼层 · 发表于 2008-10-15 10:36:25

http://bbs.kafan.cn/thread-347459-1-1.html
这里有个样本，会改注册表，创建/修改系统驱动，生成批处理，生成EXE病毒，强制关机等等
可疑动作挺全面的，可以用SNOAR试一下，如果能完全防住的话就说明已经很强大了

显示全部楼层 · 发表于 2008-10-15 10:40:03

可疑动作全面的容易防范。因为判断条件多，加权以后容易超过阈值引起报警~！
要找一些动作少，但是有危害的样本来测试~！
就像有人做的过微点的鸽子那样，什么改注册表，加启动项，插IE统统不做了，就是运行，上线，就过了微点~~~

[讨论] SNOAR反应迟钝 还有用吗？

[讨论] SNOAR反应迟钝还有用吗？