有个关于诺顿SONAR行为防护的问题知道的人回答下

wjcharles

isbn756 发表于 2011-4-5 14:49
刚刚在本论坛360版块看到一个贴子

不知道诺顿每次升级更新病毒库的时候，SONAR( 现在应该是第3代了吧）也 ...

首先要说明一点，不论采用什么技术，效果才是王道

其实只要是启发或多或少都有人工智能技术，个人认为QVM就是一个目前达到国际先进水平的静态启发技术，而eset的启发应该包含了动态和静态启发，至于怎么更新就要看厂商的设计了，可以去查官方资料

对于sonar，一个应用程序运行之后先通过一个预分类器决定是否进行进一步分析（减少对系统影响），这一步可能需要联网查询文件信誉，决定后会进行动态启发分析，一般是放在类似沙箱里的（有独立进程，但内存被掏空，貌似技术比较复杂），有问题就杀，没有就把进程放到真实系统中。以上步骤不会对系统造成任何改动，因此省去了回滚的麻烦。像这样把动态启发放到sonar里也是导致诺顿静态查杀率悲剧的原因之一。

接下来就是sonar监控已运行程序的行为（与其他组件配合），有问题就结束进程，回滚它对操作系统的修改。

另外铁壳官方称sonar有人工智能技术，在服务器端能自主学习，也可以人工添加规则，会定期更新到客户端