关于nis2011的防护机制{主贴10.24 0点已更新}

jefffire

xiaofeizei 发表于 2010-10-23 19:53
回复 80楼 jefffire 的帖子

也想给nis配个卫士，请问哪个好点呢

可牛杀毒，数字卫士。

小林制药

回复 108楼 atg 的帖子

IPD是我朋友跟我说的在诺顿系列软件里面存在的一个子系统，存在有一个驱动程序也在系统启动时入驻，大部分人都不了解，我也不了解因为我没那技术水平，但是朋友说这是一个检测组件，具体能检测什么我们还不知道，这是关于IPD的解释。
伪Qvod有很多不同的版本，有的报，有的不报，但是你不能说都不报。

至于你说为什么别的报，诺顿不报，我已经说过了，检测方式上的不一样，SONAR也不是神器，也有SONAR识别不出的威胁，看问题要理性。

我们不讨论云的问题，但是诺顿和金山都有云，只不过原理上貌似有差别。

我们说检测率，诺顿是比较低迷，防御上也不能说是无懈可击。但是它比NOD和卡巴斯基强的地方是不容易被一次性突破，不知别人是怎么想的，至少我有这感觉。NOD的免杀非常好做，卡巴斯基也难不到哪去，而做诺顿免杀的朋友却经常跟我说诺顿会出很多莫名其妙的问题，所以我负责任的说诺顿比NOD还是有优势的。

其实本地防护并不差，差的是心态
我买来是为了用，阁下买来，恐怕就是为了拿来试毒吧

xiaofeizei

回复 121楼 jefffire 的帖子

恩，谢谢。我倒是想配个金山的卫士，不知道有没有冲突或者重复？

jefffire

xiaofeizei 发表于 2010-10-23 20:26
回复 121楼 jefffire 的帖子

恩，谢谢。我倒是想配个金山的卫士，不知道有没有冲突或者重复？

冲突肯定是没有的。不过金山的卫士怎么说呢，查杀率不及可牛，因为可牛有卡巴引擎，防御力不及数字，因为数字有主防

jefffire

小林制药 发表于 2010-10-23 20:23
回复 108楼 atg 的帖子

IPD是我朋友跟我说的在诺顿系列软件里面存在的一个子系统，存在有一个驱动程序也在 ...

诺顿要一次性突破其实很简单，加驱动直接杀，一下就搞死了。就算不加驱动，在R3一个父进程注入也搞定，stuxnet就是这个方法

小林制药

回复 125楼 jefffire 的帖子

我是不知道别人的情况怎么样啦，Stuxnet被杀掉了，我只关心在我的机器上被杀掉了，不知没被杀掉的是什么版本。中华黑豹也被SONAR干掉，那是几个月前的事了，我不知道现在是否有新版本。R3的父进程注入，说真的我不会，您会吗？如果驱动一加载的话我想无论什么杀软都只能等着被搞死吧？会有幸存的么？NOD可以防御R3注入吗？据我所知，卡巴斯基也是在紧急升级后才可以防范R3注入的吧……还有一事请教，在做这件事（R3注入，或者加驱）的时候，问题程序有没有能力在现在这个阶段先突破Win7的UAC呢？

atg

回复 122楼 小林制药 的帖子

"SONAR也不是神器，也有SONAR识别不出的威胁，看问题要理性"这句话有点诡辩的感觉，不是说sonar也有识别不出的威胁，而是很多威胁sonar都识别不出！我指本地的

你说做免杀，我承认，如果专门对nod32做免杀 难度相对小 因为毕竟没有主防，不过nod32的启发发展到现在，也不是那么容易随便改改就被过的，要说到卡巴的免杀好做，那我绝对不认同，卡巴2011除了病毒库 还有启发式，主动防御，hips，有那么容易被过吗？

不过nis的免杀好不好做，反正直观的，我们能看到的，就是过sonar的样本很多，sonar的拦截率就能体现出来。

“其实本地防护并不差，差的是心态” 这句话有点水的感觉，差在哪 我论述过无数次，请问阁下，不差在哪？不管什么技术，如果我随便插U盘，下一些没有签名的不知道安全不安全的工具软件，如果我这样很容易中招，那这个杀软就是失败的。即使其网页防护多nb

买来当然是为了用，你觉得好只能说你习惯好，还没碰到问题。
客观的讲nis本地防护并不好，好的只是用户的心态

jefffire

小林制药 发表于 2010-10-23 20:36
回复 125楼 jefffire 的帖子

我是不知道别人的情况怎么样啦，Stuxnet被杀掉了，我只关心在我的机器上被杀掉 ...

有能力突破UAC，建议你去看看赛门铁克和ESET对Stuxnet的分析报告，该病毒利用了ink漏洞连双击都不需要只要看一眼就中毒了，UAC没有提示，而当时微软补丁并没有发布，各厂商也是在7月中旬过后才初步具备了特征码防御能力。该病毒在6月份就被VBA发现不过当时没有重视，而实际上该病毒早在3月份就窃取了realtek的数字签名，在那个时候就已经开始扩散了。

小林制药

回复 127楼 atg 的帖子

那好吧，我先跟你说一下我习惯不好，U盘到处借，什么网站都上，喜欢破解版软件，我的机器上有个NIS2010，有个金山卫士，还有Win7的UAC，我溜达那么长时间了我是没中过毒，至少从我电脑上拔下来的U盘是干净的。按阁下的理论，我中招不是一次两次了吧，可是我确定我真的没中过。

说换个杀软查一下吓死你丫的，我经常折腾各种类型的，除了数字的。也扫出来过不该有的，但是大部分扫出来的都是些个可疑脚本，除了脚本就是Cookie，没有实质性的病毒。

过诺顿的样本很多，当然，是样本，我想样本中广泛流传的也就那么几个，样本是样本，老佳说过看看就完了，不必当真。我没他那么好的定力，所以我不能一带而过的一说。我想说的是有些样本从出现到消亡大部分人可能连听说都没听说过，我说的偏不偏是说有多少人有多大的几率碰上。我说的“不差”是日常应用足够，比完美不足比很多其他品牌有余，这就是我说的不差，我只能这么说，我毕竟不是枪手，没法舌灿莲花的夸耀出来谁有多好。我看到的是一个U盘中了文件夹伪装者，感染源上面有卡巴2010，中间经过了有数字，有瑞星，有NOD的好几台机器，最后在我机器上面被诺顿杀了，所以我觉得好。

好就是好，不好就是不好。另外，诺顿的网页防御其实是弱点，不NB。网页防护的效率连本地防护都比不上。

我说这么多不是在为诺顿辩护什么，我只是想说明它仍然是一款优秀的杀毒软件，是一流的，你觉得失败，那你大可以离弃它，缘起缘灭好聚好散，何苦在这一个劲儿的抹黑它呢？

小林制药

回复 128楼 jefffire 的帖子

那我只能实话实说，LNK漏洞从出来，我就在关注它，我见过的是某个利用了该漏洞的木马运行起来，但是加驱的时候UAC提示了，阻止了之后就说什么什么程序意外终止，这是我看到的，Stuxnet很厉害吗？阁下中过吗？

话说回来，还是谢谢你比较正面回答了我的问题，那个我确实不清楚。