关于nis2011的防护机制{主贴10.24 0点已更新}

jefffire 发表于 2010-10-22 08:02
查杀率是浮云，样本决定成绩，RP决定结果

RP，这说的

atg

回复 210楼 jefffire 的帖子

我前面也是这样论述的，就说诺顿本地防护是靠的特征和sonar，sonar过了本地防护就被过了，但是还是有一些朋友反对

asusandy111

回复 206楼 atg 的帖子

过了sonar，就剩防火墙了这个时候防火墙会监测网络活动，如果有异常，就会拦截并通知sonar，如果评估结果是威胁，就会清毒……ips对防火墙的判定起到辅助作用，但对出站并不起决定作用……IPS针对出站是基于异常协议的……防火墙可以拦截并清除下载器、远控木马、僵尸网络以及黑客工具，但对于其他威胁比如广告无能为力。
当然不排除威胁中途被sonar或者iron砍的可能，但这个几率不大……

atg

回复 213楼 asusandy111 的帖子

有点明白了，还想问问，是不是所有套装的防火墙流程都是这样的？比如 ess kis mcafee等等，如果过了其本地防护，对于异常联网活动，防火墙就会拦截，然后交给自己的反病毒模块处理？

asusandy111

总体来说，在实际环境下，诺顿的防护能力基本与卡巴持平，但是诺顿与卡巴相比扫描能力较低，对个人用户不太习惯，sonar开启主动模式会比较敏感，对国产软件会产生过高的误报（也许不是），信誉扫描默认不掺和防护与扫描，神器NPE就是诺顿信誉扫描的独立版本，这东西误杀太高……虽然这玩意儿在我的机器上只报闪讯但是曾经用修改版的系统被他杀瘫过……据说未来诺顿会把信誉扫描和防病毒整合……这个值得期待……其实我觉得，卡巴把资源占用降低、诺顿提高静态查杀率就很不错

asusandy111

回复 214楼 atg 的帖子

不是
其他的墙与防毒没有任何关系
卡巴的墙是与应用程序控制整合在一起的，通过权限控制机制来限制应用程序行为……他是卡巴权限控制防御的一个重要组件但不对其他组件如主防、应用程序控制产生影响，但会对系统监控的BSS产生影响，但影响不大。

gzy_hao

过来吐吐口水

Norton就只有查杀和SONAR这两种防护？
我们所说的Norton防御强可不是这点
LZ漏了IPS和Firewall这类的东西了
途经防御，这才是精华所在
很多病毒，只要堵住它所利用的漏洞，再强大，也草鸡，这就是IPS
试一下Kafan Virlist里的FakeAV吧，下载器查是查不出来的，它是可以变化的，加入到病毒定义既费时又费力，还不如用IPS直接封锁网站，只要封锁住，再强大的FakeAV，下不下来，照样草鸡，要知道IP资源可是少啊
同理与Downloader

有人赶我出去吃饭，待续……

小林制药

回复 207楼 atg 的帖子

必须承认的是过了SONAR之后后面的防御可以说就比较薄弱了，但是仍然会有很多模块在起作用，SONAR的原理以我的能力也很难阐明——比如朋友做的专门对诺顿的免杀，可是会很随机的被SONAR杀掉，这一点就比较不好解释，也从侧面说明，完全突破SONAR的难度也是不低的。

过了SONAR之后，就像其他朋友说的，如果有不轨的行为会触发防火墙，也可能会触发其他的保护模块。有可能触发之后病毒造成的所有后果都被回滚，也可能被回滚一部分。写的文件和注册表可能被全部删除复原，也可能只把识别出来的部分复原，情况比较复杂，要具体情况具体分析。但是这样的防御率和实际的防御效果依然强过其他一些品牌，例如有个病毒能同时过诺顿和卡巴，卡巴的四层防御是顺序式的，每层都被突破掉了那么被过就是定数（比如过了特征码之后特征码不会再后续的检测过程中杀个回马枪）。而诺顿即使被过了，指不定某层会突然跳出来发难，这样病毒造成的破坏程度就比完全发作了要小。所以说防御相对比较好。

过了SONAR，在程序被载入内存之后，诺顿的特征码和IPS，IPD（就是我朋友描述过的那个很诡异的驱动），云，等其他模块依然会监视程序的执行，换句话说，诺顿是倾向于监视内存的软件，当程序脱壳，解密，分配了地址之后仍然难保会有什么东西触发了ccsvchst下面的东西，况且诺顿的底层是有驱动的，也许病毒传播子不会触发诺顿的任一保护，但是之后释放出来的某个行为子也并不是一定不会触发诺顿的保护。（某些软件是只要传播子不触发，那么其余的也不会触发）

诺顿检测威胁的方式很复杂，而且一直蒙着一层面纱。从我的使用和大家的研究来看，诺顿的秘密仍然没有被全部揭开，我只能说个框，如果阁下一定要问我各个模块精确的触发条件，我觉得超出我的能力范围了，对吧？

杯具什么时候都有，所以说老佳说了不鼓励穿着防弹衣试毒，再好的杀软，也有漏杀的时候。再逊的杀软，也有杀着病毒的时候。阁下何苦执念呢？

小林制药

回复 214楼 atg 的帖子

每个不同的软件都有自己的设计思路，不能一概而论。记得很早之前看到有高人写的分析引擎的文章，里面提到过（当时）只有赛门铁克，卡巴斯基，大蜘蛛是有自己的自成体系的引擎，而其他公司多少都借鉴了别的公司的想法，比如咖啡就是收的所罗门，于是有了月神。

大部分（以ESS）为例，过了防护但是检测到了可疑的联网行为，是不会交由反病毒模块重新判断的，通常都是交给权限控制模块拦截其通信行为，也就是把活马变死马。这种思路通常都是欧系（包括俄罗斯）软件的设计思维，因为它们做的一直都是依赖特征码检测，面对近些年新冒出来的一大堆有窃密侵财特征的软件所采取的应急行为，因为从根本上改引擎很难，也很冒险（万一改完了之后，更逊了？）。而以诺顿为代表的欧美系（主要说英美）安全软件大多脱胎于商业用防护软件，主要的任务就是防止信息外泄，出现万一时通过各种相互交叠的防御模块减少损失，给人工处理赢得时间，而不是依赖精确的特征码检测技术在问题发生后进行杀除。
在面对特征码漏杀，触发防火墙的情况通常会把各种因素都考虑进去，重新判定文件是否安全，如果达到了一定程度，那么就报毒，并且给出一个启发式查杀的命名。如果没到这个程度，则回报可疑提示用户。再没到这程度，就是漏掉了，但即使漏了也不是不管了，也可能会触发别的什么东西（也可能完全不触发，要看病毒做得怎样了）。
所以英美系的一直在查杀上表现都不佳，但是防御和修复都很好。诺顿想高查杀从技术上不难，因为它有最大的病毒库。但是让它把沿用了多少年的设计思路彻底推倒重来，也是比较难的吧。

atg

回复 219楼 小林制药 的帖子

sonar貌似也是收购的
“赛门铁克称，SONAR产品技术来自于其2005年收购的WholeSecurity公司。”