关于SONAR是否就是特征码检测的问题

显示全部楼层 · 发表于 2010-6-15 18:06:57

一直都是这么说的啊~微点可不是传统意义上的HIPS哦~
bbs2811125 发表于 2010-6-15 18:05

本来就不是传统意义上的HIPS，用的还是硬编码写的

不过基于特征码和用特征码做辅助完全是两个概念。。。

显示全部楼层 · 发表于 2010-6-15 18:08:05

没看明白您的意思。。
jiayan72392 发表于 2010-6-15 18:05

他的意思是，sonar一动手就已经隔离了，没有选择弹框

显示全部楼层 · 发表于 2010-6-15 18:08:51

他的意思是，sonar一动手就已经隔离了，没有选择弹框
jefffire 发表于 2010-6-15 18:08

隔离区内可以恢复的，高威胁不能

显示全部楼层 · 发表于 2010-6-15 18:08:57

本来就不是传统意义上的HIPS，用的还是硬编码写的
不过基于特征码和用特征码做辅助完全是两个概 ...
jefffire 发表于 2010-6-15 18:06

那个肯定是，不然微点主防干嘛还要天天升级

显示全部楼层 · 发表于 2010-6-15 18:10:23

的确是的，但是具体原理我也不清楚
bbs2811125 发表于 2010-6-15 18:00

微点主要依据程序行为的实时监控判断，来进行系统防御和对有害程序的查杀，一旦触及到这些文件或这些文件试图发出对系统安全构成威胁的程序行为，微点会及时予以拦截并报警处理的。
拦截的依据一是特征码（黑白名单）判断，特征码过了，再进行行为序列的判断来判断是否构成威胁，发现有威胁的时候立刻拦截，并且进行回滚。

显示全部楼层 · 发表于 2010-6-15 18:10:24

回复 63# jiayan72392 的帖子
sonar起作用都是在样本实际运行前，如果拦截不住就直接导致中招，但是其他杀软在高启扫描时的拦截给用户一种安心，SONAR再拦截不成功的结果很严重！

显示全部楼层 · 发表于 2010-6-15 18:13:00

本帖最后由 kfwsadhjkl 于 2010-6-15 18:16 编辑

微点的特征码被PASS，它还有后招，微点主打一直是行为分析，所以，特征码扫描都不行的时候，它的成绩依然坚挺。特征码是对付已知病毒的，行为分析是对付未知的病毒。

显示全部楼层 · 发表于 2010-6-15 18:13:06

本帖最后由 jiayan72392 于 2010-6-15 18:14 编辑

回复 jiayan72392 的帖子
sonar起作用都是在样本实际运行前，如果拦截不住就直接导致中招，但是其他杀软 ...
ghost4114 发表于 2010-6-15 18:10

这样的比较。。。主防模块和扫描做对比？诺顿同样也有高启扫描。。。

而且，对于其他主防相对较弱的杀软，过了高启扫描是不是后面也是深渊呢？

显示全部楼层 · 发表于 2010-6-15 18:28:29

回复 71# jiayan72392 的帖子

实际使用过程中很多人喜欢卡巴和NOD 32，的确在高启或者特征码的扫描上高于诺顿，如果过了第一步就会考虑是否需要真的要去运行了，但是诺顿的SONAR是在文件运行前，而且往往SONAR的测试又高于特征的扫描，给用户一种高期望值，但是万一过了就没有任何的挽回余地了！这次讨论又让人想起了中华黑豹病毒，也许是对SONAR的过高期望导致很多人敢去尝试而导致最终的中招！

显示全部楼层 · 发表于 2010-6-15 18:32:54

回复 jiayan72392 的帖子

实际使用过程中很多人喜欢卡巴和NOD 32，的确在高启或者特征码的扫描上高于诺 ...
ghost4114 发表于 2010-6-15 18:28

那么这个是观念问题？还是产品本身的问题？

[讨论] 关于SONAR是否就是特征码检测的问题