sonar测试

显示全部楼层 · 发表于 2011-3-20 09:34:07

回复 108楼 ZJUER 的帖子

那这个主防又能起多大作用，定义里有的杀毒组件就能搞定，要它干什么。要的就是杀毒组件解决不了时靠它。更何况我发帖的目的又不是测诺顿。

显示全部楼层 · 发表于 2011-3-20 09:36:05

回复 109楼 sololp 的帖子

额，那就算了

显示全部楼层 · 发表于 2011-3-20 09:38:55

回复 111楼 xxxxxxxfc 的帖子

定义的东西……有一些是杀毒里面搞不定的……这个定义比较奇特……可以视为启发式定义、也可以视为HIPS规则……与杀毒组件共用一个库……

显示全部楼层 · 发表于 2011-3-20 09:41:47

回复 113楼 ZJUER 的帖子

晕，都用上病毒库了，难道杀毒组件还搞不定

显示全部楼层 · 发表于 2011-3-20 10:03:02

wjcharles 发表于 2011-3-20 00:07
看看我这个帖子就知道了，如果母体除了释放衍生物而没有其他动作的话很可能sonar只杀衍生物
http://bbs. ...

这种母体是极少数的，毕竟如果只释放衍生物而无其他危险动作，那么winrar也要算木马了，不去杀这种母体是非常正常的。
大部分母体都必然伴随着后台运行、隐藏自身进程、隐藏自身、加入启动甚至服务等等操作。

显示全部楼层 · 发表于 2011-3-20 11:41:38

回复 114楼 xxxxxxxfc 的帖子

诺顿的ＳＯＮＡＲ是个神奇的东西，而且很反传统……它的定义跟病毒定义在一起……SONAR也依赖防病毒工作，却可以检测出防病毒组件无法发现的威胁……

显示全部楼层 · 发表于 2011-3-20 12:11:56

回复 116楼 ZJUER 的帖子

“却可以检测出防病毒组件无法发现的威胁…… ”这就说明杀毒无法查杀的而sonar可以拦截的那部分是不依赖病毒库的，所以如果能删库实验又有何妨。

显示全部楼层 · 发表于 2011-3-20 18:40:36

xxxxxxxfc 发表于 2011-3-20 12:11
回复 116楼 ZJUER 的帖子

“却可以检测出防病毒组件无法发现的威胁…… ”这就说明杀毒无法查杀的而sonar可 ...

杀毒无法查杀指的是铁壳的静态扫描，启发很弱，而铁壳把类似虚拟启发的技术放在了sonar里，这部分肯定要依靠病毒库。再说行为规则算不算库？

显示全部楼层 · 发表于 2011-3-20 18:48:06

回复 118楼 wjcharles 的帖子

行为规则自然不算，但启发不是主防。

显示全部楼层 · 发表于 2011-3-20 19:00:34

xxxxxxxfc 发表于 2011-3-20 18:48
回复 118楼 wjcharles 的帖子

行为规则自然不算，但启发不是主防。

所以sonar本来就不是纯正的主防，除了启发还有弱交互的云。如果真想测主防，既要剥离sonar又要除掉sonar的动态启发，几乎是不可能的。另外个人感觉sonar单纯的行为监控、回滚没有微点的灵敏

[其他相关] sonar测试