扫描区下Sonar的拦截率的意义

dustychen

之前很长一段时间，都对Norton没有好感是因为作为一个杀毒软件，不管其母公司再大，做不好其本职工作杀毒，那就一定不是好软件。
一连观察了扫描区下Norton的扫描率，发现在Sonar参加战斗之后，整体查杀率陡然增加了不少，并且由此转投SYMANTEC。
现在突然心生疑问，希望佳哥，姐夫，或者若干众人能够帮我解释一下：

1. 扫描区下Sonar的拦截率到底是如何判断的？只是单纯报毒，还是要拦截成功？

2. 拦截是指母体还是衍生物？

3. 假设一个盗号木马QQ，MSN或者淘宝，运行成功一段时间之后，再被Sonar判断有毒，在这段真空期内，病毒是否已经被激活？我的帐号是否存在被盗的风险？

4. 继续上一个CASE，盗号木马被发现，能否包括其母体被SONAR彻底清除？还是只是根据行为拦截，清除其行为可疑的那一部分？

问题比较多，不好意思麻烦各位

chuibuzou

1.扫描区的sonar拦截率是一个个点出来的，在此感谢测试人员的付出。sonar拦截了肯定是拦截成功，因为sonar都是直接删除
2.sonar是基于特征码的行为判断，如果发现风险，是将风险行为及衍生物回滚，删除母体
3.这种情况下，病毒是否被激活就要看你的操作是否满足激活它的条件，这个时候，就要靠诺顿的防火墙判断这个程序是否该被允许外联，当然，被盗号的风险还是有的
4.这个时候，有风险行为的这一部分肯定会被删除掉，母体有危险行为的话就会被删除，如果只是个尸体，那么sonar不一定会删除它，要靠静态扫描了，当然尸体了也没什么危害

dustychen

1.扫描区的sonar拦截率是一个个点出来的，在此感谢测试人员的付出。sonar拦截了肯定是拦截成功，因为sonar都 ...
chuibuzou 发表于 2010.8.16 03:38

恩的，在此代表铁壳区所有新老同志向佳哥和姐夫同学致敬

hansyu

SONAR都是在威胁在系统中做出动作前拦截的，其采用的是虚拟启发式行为分析。一般来说，如果你看到病毒已经运行起来，并释放衍生物的话，基本上意味着SONAR拦截本体失败。

jiayan72392

但是根据评分规则，只有完全把母体kill掉之后才能记入成绩，否则不算。但是很多样本都是木马下载器，木马下载后sonar都会有反应，但是就是不能把下载器给k掉，因此也不计入成绩，但实际的防护能力还是有的，关于扫描区的评测，本人一直建议，看过就算，纯属娱乐。