NIS2011的 sonar ，无法防御住 直接进行磁盘底层操作的病毒

fzq198776

今日在样本区下了病毒，下载解压后，NIS 没反应，估计是没入库，于是运行此病毒， NIS2011依旧 毫无反应，重启后电脑就开不了机了，sonar不给力啊！！！此病毒是直接进行磁盘底层操作 来修改 引导扇区。附上样本地址：
http://bbs.kafan.cn/thread-968907-1-1.html

PS：大家可以在虚拟机中测试，如果发现铁壳已经 入库，那么可以在安装好了 NIS 之后 先暂时不更新，直接运行，以便测试铁壳sonar 的强度

MPKYJoJO

更LZ学习了好多主防的东西！
加油哈！

byby

NIS2012把它秒了, NIS2011没反应

fzq198776

byby 发表于 2011-4-25 14:36
NIS2012把它秒了, NIS2011没反应

NIS2012 那是 因为 特征码 查杀而已，你试试 坐下文件 免杀， 运行后 NIS 2012 依旧 啥反应都没

byby

回复 4楼 fzq198776 的帖子

那为什么NIS2011的特征码没反应?

fzq198776

byby 发表于 2011-4-25 14:40
回复 4楼 fzq198776 的帖子

那为什么NIS2011的特征码没反应?

NIS2012 的 特征码 扫描 引擎 的 启发式 能力可能更好一些，不过还是那句话：特征码都是浮云，因为免杀并不难，关键要看行为防御

byby

fzq198776 发表于 2011-4-25 14:41
NIS2012 的 特征码 扫描 引擎 的 启发式 能力可能更好一些，不过还是那句话：特征码都是浮云，因为免杀并 ...

你的说法好像有点牵强吧.....

光之优雅

fzq198776 发表于 2011-4-25 14:11
今日在样本区下了病毒，下载解压后，NIS 没反应，估计是没入库，于是运行此病毒， NIS2011依旧 毫无反应，重 ...

sonar其实它的行为分析成分已经很淡了，主要是虚拟式启发和云社区在起作用
它的全称是Symantec Online Network for Advanced Response
我相信如果你懂一点英语的话，应该已经知道你自己问题的答案了

fzq198776

hsgeorge 发表于 2011-4-25 15:15
sonar其实它的行为分析成分其实已经很淡了，主要是虚拟式启发和云社区在起作用
它的全称是Symantec Onli ...

不可能吧。。。请给出官方资料，我不相信 sonar 的 全称 是这个。。。

moreo

回复 9楼 fzq198776 的帖子

sonar的全称确实是那样，不过sonar是有行为分析的，
虽然免杀很容易，但现在的杀毒软件主要还是靠特征码，诺顿的表现算不错了，