似乎发现SONAR 2的工作原理（一部分）

fanqi1234

ubuntu干脆就不允许用户使用root。 需要特权时候输入密码，几分钟权限就又撤销。 各个服务有自己的用户名，权限严格限制。

如果装了SELinux增强安全的话就更不得了。拿着最高权限都处处受限。

gzy_hao

回复 11# fanqi1234


Ubuntu只是默认关闭了Root，改一小下就可以开启、登陆


SELinux虽然好用，但太烦人了⋯⋯

小林制药

我认为不止这些，有种种迹象显示SONAR2内置了沙箱，只不过这个沙箱貌似是在内存的某块空间运行的且运行中的生成物不写入磁盘（这一点有很多人在质疑），SONAR2报告威胁有很大一部分来自于这个沙箱内程序的运行结果。综合楼主的看法，我认为诺顿的SONAR2防御系统至少综合了楼主所说的原理，以及高效率的沙箱，还有云文件信誉等，进行综合的威胁值评价运算，然后决定是否报警……

继续研究学习中……

wellofsouls

回复 8# gzy_hao

用Linux就要用Arch Linux

另外，关于SONAR的wiki
http://en.wikipedia.org/wiki/SONAR_(Symantec)

SONAR1说是根据几百种行为属性来判断，对漏洞的攻击行为只是一部分，貌似SONAR2还加上了云安全对软件声誉评估的部分

hj5abc

一般是通过网页脚本触发漏洞然后下载并执行病毒,只要病毒执行就不再需要漏洞,除非它不是处在最高权限。
xp和7对用户开放的api是不一样的,7对一些api的屏蔽导致像卡巴这样的行为防御有所衰减。

jpzy

Sonar肯定利用了行为分析，文件信誉目前来说太不靠谱了，真不明白老铁怎么想的。

gzy_hao

回复 15# hj5abc


感觉不大对……
Windows 7的UAC其实对防御病毒很有效，它让程序默认运行在普通用户环境下，需要修改系统就要提权，还有UAC虚拟化（可以在任务管理器里看到程序是否开启UAC虚拟化），在对系统目录更改时，可以虚拟重定向
还有关于漏洞，应该是你理解错了，可以看看M$发布的补丁，大部分都不是对于Internet Explorer的修补，而是关于缓冲区或系统漏洞的修补，而修改系统的重要部分则必须要通过漏洞或缓冲区溢出来调用Windows的组成部分修改。
不过我可能分析的是对系统影响较大的病毒，您分析的侧重点是对与系统影响不大的。

hj5abc

回复  hj5abc
感觉不大对……
Windows 7的UAC其实对防御病毒很有效，它让程序默认运行在普通用户环境 ...
gzy_hao 发表于 2010-2-25 22:45

上次的directshow漏洞也不是作为IE漏洞更新吧？但也是通过利用ie。
当然有可能绕过UAC,就像有人利用dw的漏洞绕过dw一样,但绝不是你想的缓冲区溢岀那么简单,也不是你想的利用那些更新修复的漏洞那么夸张。你发到hips区去问,那里有人会懂吧？呵呵

wodewowo

你讲的原理是诺顿n久前就一直在用的途径防御的样子

benttao

不懂飘过