首先我必須先說明一下,我用過的HIPS軟體不多,用比較久的大概就是GSS,SSM,Cyberhawk,SNS,KAV
其它像是EQ,Prevx,是最近才開始研究,所以我在這方面的經驗並不足夠,沒有辦法很客觀的評論HIPS軟體
希望大家可以注意這點!


以下是這次測試的病毒樣本
樣本均為熊貓燒香以及威金,測試方式為在幾秒中內執行所有的樣本
此法與我上一回測試Norton 2007 (http://www.avpclub.ddns.info/discuz/thread-4-1-1.html)的時候沒有差別
http://i126.photobucket.com/albums/p97/yanzilme/sample-1.png
樣本執行後過了幾秒鐘出現此畫面,我選擇隔離
http://i126.photobucket.com/albums/p97/yanzilme/1-5.png

隔離之後,就出現處裡中請等待的畫面,這個地方還蠻久的
http://i126.photobucket.com/albums/p97/yanzilme/2-5.png

提示需要重新開機
http://i126.photobucket.com/albums/p97/yanzilme/3-2.png

測試時發生的小意外...
由於我樣本是用壓縮檔的方式保存,直接解壓縮之後winrar被判定為惡意程序,也一起被送進了隔離區
http://i126.photobucket.com/albums/p97/yanzilme/nab_pf.png


結論:
Norton AntiBot我短時間的使用下覺得還蠻不錯的,我在執行樣本的時候比較訝異的是:
那些被感染的檔案,居然全部解毒了!有可能是樣本運行的同時自己解了,只是後來的行為被Norton AntiBot給中斷了

除了這些樣本(受測樣本),在其他的資料夾的病毒樣本居然也連帶處裡掉?!
不明白是Norton AntiBot 有帶緝毒引擎,還是靠行為分析做的決定?

Norton AntiBot確保了電腦的安全,運行的樣本並沒有漏網之魚,也就是說沒有像NAV 2007一樣幾分鐘內就被攻陷了
不過在這短時間的試驗裡發生了兩次誤報事件,一次有提示就是那個winrar.exe
另一次似乎是自動處裡的,完全沒有提示,隔離區內也找不到屍體
也許跟我測試樣本時按了"刪除"有關....

其它智能化HIPS 如Cyberhawk 以及SNS 均不會有這樣的情形
對於Norton AntiBot 我個人給予肯定的評價,因為簡單易用
防護效果也很高!


最後補一張待機時資源的佔用情形
http://i126.photobucket.com/albums/p97/yanzilme/nab_ram_use.png

贊助商連結

Norton終於也有類似HIPS的技術了
還在Beta
日後應該會更強吧
希望整合進NIS 2008啊

這應該是遲早的事情
競爭對手包括只主攻企業安全的Sophos也推出了具備HIPS的企業產品
而咖啡企業版帶FD也行之有年,傳統防毒已經達到一個瓶頸了

如果這款有內建自動回報可疑檔案功能
那就更完美了

今天實際執行未知病毒
果然是攔得住的
完全連原檔案隔離起來
一般程式的話就不會多問

官方載點關了
可是這裡還能抓
http://www.softsea.net/soft/148231.htm

挺酷的，希望未來可以直接提供更新下載新的行為偵測技術，這樣就不用另外花錢買啦。XD

居然已經開賣了
http://shop.symantecstore.com/DRHM/servlet/ControllerServlet?Action=DisplayProductDetailsPage&SiteID=symnahho&Locale=en_US&ThemeID=106300&Env=BASE&productID=74708000

特徵碼出132了