【SEP粉丝必读】与时俱进！SEP 12.1.2告诉你，我就是与时俱进[26日更新云查杀在监控]

驭龙

半年前，我的一篇帖子给大家揭秘了Norton Internet Security 2013的变化（详情请阅http://bbs.kafan.cn/thread-1284602-1-1.html），今天我开始向大家揭秘完全不一样的Symantec Endpoint Protection 12.1.2。

我时间有限，所以本帖每天更新一点点内容，请大家不要心急，精彩内容，会慢慢呈现给大家！

由于我很久没有玩SEP了，如有错误，请各位多多包涵。

本帖①楼：SEP的杂谈
本帖②楼：SEP 12.1.2结构分析
本帖③楼：SEP 12.1.2的SONAR浅谈
本帖④楼：SEP 12.1.2设置推荐

SEP的杂谈

第一节
长久以来，SEP一直是跟在NIS的后面跑，版本架构始终比NIS落后一代以上，在功能上和引擎上也是如此，但是，似乎这个情况已经在一点点的发生微妙的变化，我会一点点说明这个变化。

Symantec的产品有一个跟Microsoft Security Client一样的情况，那就是特征库和引擎的通用化更新，通俗一点说，就是新一代产品的引擎和特征库，会向上一代产品兼容，就是说老版本的产品可以升级到新版本产品的引擎和特征库，除非版本架构发生翻天覆地的变化不能再向上一代产品兼容，要不然这种通用化是不会改变的。

尽管上一代产品可以在新一代产品正式发布以后，获得新一代产品的引擎和特征库，但是，要切记它是上一代产品，也就是说新引擎和特征库当中包含的最新功能，是无法被上一代产品平台发挥出来，上一代产品只能调用新引擎和特征库当中可调用部分，而无法调用为新一代产品融入的新功能，简单一句话，虽然新旧两代的产品拥有相同的新引擎和特征库，二者依然存在差距，上一代产品是无法获得新一代产品的新引擎和特征库中存在的新功能代码！

第二节
有些朋友可能有一点心急，看过我推荐初步设置，认为与其他大牛写的经典SEP设置帖，没啥区别，我想说的是这一次的SEP 12.1.2在设置方面与之前版本是没有什么大区别的，所以我的初级设置推荐，自然不会与其他大牛的设置帖有实质性的区别，但是，在细节方面，还是略微有一点点小不同。

那么我为何要写设置推荐？一方面是因为我推荐的设置与之前大牛的设置帖略有不同（当然我不是否认其他大牛，只是我的想法可能与其他大牛略有不同，毕竟应该拥有更多样式的设置帖让大家选择，但我绝不是冒犯其他大牛，请其他大牛多多包涵，哈），而另一方面是想给普通会员一个新的简易设置推荐，以及一个复杂一点的推荐设置。

还有一个原因是SONAR五代的出现，会得知有些应用程序不稳定，以及其他相关设置问题的解释，所以才会有本帖的④楼：设置推荐！

第三节
很多人怀疑SEP没有NIS的云信誉实时监控功能，我一直没有测试，但是，我今天发现SEP帮助文件上的描述：

Symantec Endpoint Protection 如何使用信誉数据来做出关于文件的决策
Symantec 会从其数百万用户的全球社区及其全球情报网中收集有关文件的信息。 所收集的信息形成 Symantec 承载的一个信誉数据库。 Symantec 产品利用该信息保护客户端计算机，使其免受新威胁、目标威胁和变异威胁的侵害。该数据有时称为“在云端”，因为它未驻留在客户端计算机上。客户端计算机必须请求或查询信誉数据库。

Symantec 使用一项称为“智能扫描”的技术来确定每个文件的风险级别或安全等级。

智能扫描通过检查文件及其上下文的以下特征来确定文件的安全等级：

文件的源

文件的新旧程度

文件在社区中的常用程度

其他安全衡量标准，如文件可能与恶意软件的关联程度

Symantec Endpoint Protection 中的扫描功能利用智能扫描做出有关文件和应用程序的决策。 病毒和间谍软件防护包括一项称为“下载智能扫描”的功能。 下载智能扫描依靠信誉信息进行检测。 如果禁用智能扫描查找，下载智能扫描会运行但不能进行检测。 其他防护功能（如智能扫描查找和 SONAR）使用信誉信息进行检测；不过，这些功能可使用其他技术进行检测。

通过SEP帮助文件上的内容，似乎SEP只有智能扫描、下载智能扫描、SONAR上使用云信誉，并没有提到自动保护，所以很可能SEP的自动保护中没有云信誉实时监控功能。

注意：我现在没有测试，仅是以官方帮助文件上的内容推测，不准勿怪，我过几天会亲自测试一下，之后更新本帖！

第四节
经过本人亲自实机测试，Symantec Endpoint Protection 12.1.2的实时监控机制中存在真正的云信誉实时监控，也就是云启发式查杀技术。


测试时，为了避免下载智能扫描的追踪功能干扰结果，是通过非运行系统下载病毒包，解压以后，再启动安装Symantec Endpoint Protection 12.1.2程序的系统，这样就可以完全绕过下载智能扫描的追踪。

通俗的说，就是使用Windows 7系统下载病毒包，将病毒包解压以后，再启动安装Symantec Endpoint Protection 12.1.2的XP系统，这样完全绕过下载智能扫描的追踪功能。（测试的时候也关闭了下载智能扫描功能）

云查杀的截图中的文件来源，是本地计算机，而下载站点是不可用，因此可以排除是下载智能扫描。


现在可以确定的是Symantec Endpoint Protection 12.1.2拥有与Norton Internet Security 2013相同的实时监控云信誉机制，尽管Symantec可能会让Symantec Endpoint Protection 12.1.2的云查杀保守一点，但是Symantec Endpoint Protection 12.1.2并非没有实时监控云信誉。

通过我的个人测试，现在可以确定Symantec Endpoint Protection 12.1.2实时监控机制中存在启发式云查杀即云信誉！

驭龙

SEP 12.1.2结构分析

第一节：SEP架构升级
在Symantec Endpoint Protection 12.1.0发布的时候，实际上它的内核是NIS 2011的相同版本，SONAR也是第三代，全部是当时最先进的技术，与NIS 2011相同。

可惜的是SEP 12.1.1版本并没有采用NIS 2012架构和SONAR第四代，依然是NIS 2011的内核版本，使得SEP与NIS存在了很大的差距，在NIS 2013和SONAR第五代发布的时候，SEP与NIS之间的差距足足有两代版本之多，二者的差距是十分巨大的。

但是，随着SEP 12.1.2的发布，一切全部因此改变，千万不要小看版本号上的0.0.1变化，这是十分巨大的变化，不亚于大版本的更新变化，这0.0.1的升级让SEP拥有了NIS 2013的内核架构和SONAR第五代，以及其他的巨大变化。

现在我驭龙来揭秘一下SEP与时俱进的变化。

首先说一下如何判定版本内核，我的方法是通过Symantec 库数据文件之一的CCL  U.dll来确定版本内核。

Symantec Endpoint Protection 12.1.0的Symantec 库数据文件是CCL100U.DLL文件，其中100是NIS 2011的版本，NIS 2010的CCL90U.DLL版本，NIS 2012的CCL110U.DLL版本，所以通过CCL  U.DLL文件就可以轻松确定SEP的内核架构是什么版本的NIS内核。

Symantec Endpoint Protection 12.1.0的CCL100U.DLL截图。


Symantec Endpoint Protection 12.1.1的Symantec 库数据文件依然是CCL100U.DLL截图。


通过上面的两张图，可以发现相差大半年左右编写时间的两个SEP在内核架构上，是毫无变化的，仅仅是优化版本。

但是，到了Symantec Endpoint Protection 12.1.2的时候，内核架构发生了巨变，CCL120U.DLL已经是现在NIS 2013的内核架构版本了。

Symantec Endpoint Protection 12.1.2的CCL120U.DLL截图。


现在大家可以清楚的了解到SEP这次0.0.1的版本升级，变化是多么巨大了吧，当然Symantec Endpoint Protection 12.1.2的变化还不仅仅如此，这只是冰山一角而已。


第二节：VC平台更新
Symantec Endpoint Protection 12.1.0和12.1.1的代码编写平台是微软的VC 2008，内部版本为VC 9.0，编写平台几乎是与Windows 操作系统相对应更新的软件开发环境，与同时期的Windows版本依存度和兼容性都是最佳的，编写出的软件与Windows拥有比上一代软件开发环境不能相比的特性。（本人非编程人员，描述的不准确勿怪）

Symantec Endpoint Protection 12.1.0的VC 9.0截图。


Symantec Endpoint Protection 12.1.1的VC 9.0截图。


通过上面的两张图，可以看出二者的软件开发环境全部是VC 9.0版本。

大家应该还记得我半年前的NIS 2013 Beta测评帖，当时我说NIS 2013采用的是双开发平台，VC 10和VC 11两个平台共同编写的，现在我告诉大家，Symantec Endpoint Protection 12.1.2也是双开发平台编写的，因此在架构和开发平台方面，新Symantec Endpoint Protection 12.1.2并不会输给Norton Internet Security 2013，这在企业版方面是不多见的，对于我们来说却是一个大好消息哦，因为Symantec Endpoint Protection 12.1.2拥有了最新的技术和功能。

Symantec Endpoint Protection 12.1.2的VC 10和VC 11截图。


Symantec Endpoint Protection 12.1.2的VC 运行时库的文件版本。



第三节：程序代码优化
通过前两节的探秘，我们已经确定了Symantec Endpoint Protection 12.1.2的巨大变化，接下来再说一定废话，那就是Symantec Endpoint Protection 12.1.2相对于前两个版本，代码也进行了大量的调整，现在只是说一下文件大小的变化，本节不涉及反编译代码，因为对于大多数人来说反编译代码，是没什么用处的，所以本节不提它。

下图是Symantec Endpoint Protection 12.1.X三个版本的核心程序文件夹，变化是显而易见的，Symantec Endpoint Protection 12.1.2核心程序文件夹超大，文件更多，其中多出的是VC 10和VC11以及Windows 8的一些驱动等文件。

Symantec Endpoint Protection 12.1.X系列文件夹截图。


现在只是粗略的看几个核心文件的大小变化，Symantec Endpoint Protection 12.1.X两个版本的几个核心文件截图。


其实Symantec Endpoint Protection 12.1.2的二百多个文件都与Symantec Endpoint Protection 12.1.1有或多或少的变化，所以就不一一举例。

通过上面的文件对比，变化是显而易见的，内部代码也进行了大量的调整与优化，这就更好的证明Symantec Endpoint Protection 12.1.2架构升级带来的巨变！

驭龙

SEP 12.1.2的SONAR浅谈

第一节：
Definitions文件夹下包含SEP的全部本地特征库，其中BASHDefs文件夹就是启发式和SONAR的特征定义，特征定义真正名称为Proactive Threat Protection，中文名为“主动式威胁保护”。

而文件夹的名称是：
BASHDefs（Behavioral Analysis and System Heuristics Definitions）即“行为分析和系统启发式定义”。

在NIS 2013版本中的该文件夹内，文件版本是7.X版本，也就是我们说是SONAR 5版本，举例如BHEngine文件版本就是7.X版本。

Symantec Endpoint Protection 12.1.2版本中BHEngine文件和UMEngx86.dll已经是7.X的大版本（下图中是默认安装包包含的引擎版本，现在升级以后是7.5引擎版本），也就是SONAR 五代。


在BASHDefs文件夹下，与2013版的SONAR 5一样，也多出了一个SONAR的引擎文件UMEngx86.dll，以及多个定义文件。

SONAR的特征库定义和引擎版本，已经说的差不多了，现在说一下SONAR的真正核心文件。

在SEP的主程序文件夹下存在这BHClient.dll和BHSvcPlg.dll，这两个文件才是SONAR的重要组成部分，通过它们来确定SONAR的代数，现在Symantec Endpoint Protection 12.1.2版，那两个文件是7.0，也就是SONAR 五代。


在BASHDefs文件夹下，有一个SONAR五代特有的引擎文件UMEngx86.dll，以及多个定义文件，而其中这个SONAR 引擎会注入系统的进程当中。

SONAR 五代会将一些代码（UMEngx86.dll）注入以 Windows 用户模式运行的应用程序中，以监视这些应用程序是否有可疑的活动。

某些情况下，在用户模式进程中注入UMEngx86.dll会影响应用程序性能或导致运行应用程序时出现问题。例外中可以创建例外，将文件、文件夹或应用程序排除在这类监视的范围之外。

注意：SONAR 不支持文件例外。不过，可以使用“应用程序例外”从 SONAR 中排除文件。

驭龙

SEP 12.1.2设置推荐

第一节
首先是下载http://bbs.kafan.cn/thread-1413158-1-1.html SEP 12.1.2安装程序，下载以后，双击安装程序，会自解压到安装程序所在文件夹，因此最好把安装程序放在独立的文件夹内。

解压以后双击解压在文件夹内的Setup.exe安装程序，开始安装，选择非受管客户端，点击下一步，选择自定义安装，在主动型威胁保护的选项下，选择不安装应用程序与设备控制（此功能受控于服务器端的SEP管理系统，对于非受控用户来说没有用，而且会影响性能），点击下一步，之后继续点击下一步直到安装完成。

按照下面的动画示意图操作即可。


病毒和间谍保护设置。
全局设置中将BH启发式调整为主动。
浏览器保护下的地址修改为常用的首页地址，这样在SEP发现修改浏览器首页的病毒以后，就会把首页恢复到该地址。
自动保护中的仅在执行文件时选项取消勾选，这样威胁文件在没有执行的时候，也可以被SEP发现。
自动保护高级设置中的扫描文件条件，如果你经常扫描系统而且不希望SEP大量读盘，可以调整为修改文件时扫描，不过不建议这么做。
启用文件高速缓存下的，加载新定义时重新扫描高速缓存选项，可能会导致更新特征库以后，系统微卡一会儿，如果无法忍受，可以将其取消，每隔半个月启动一天，重新扫描高速缓存避免威胁渗入缓存文件，如果可以忍受，就不要关闭了。
下载智能扫描的等级，如果你不怕误报，可以选择7级，这是比较好的等级，当然也会有大量误报，不喜欢误报，可以保持默认的5级。
其他设置默认就可以了。

按照下面的动画示意图操作即可。


主动型威胁保护设置。
SONAR选项，启动主动模式，高风险选择删除，如果你经常使用小众软件，可以保持默认的隔离选项，低风险选择也是隔离，有备无患，避免把误报软件彻底删除。
可疑行为检测选项，高风险选择禁止，低风险可以选择仅记录，如果喜欢看弹框，可以选择为提示。推荐为仅记录，而不是选择忽略。
系统更改检测选项，可以全部选择仅记录，这比忽略选项好很多，可以在日志中查看修改记录。

按照下面的动画示意图操作即可。


网络威胁保护设置。
防火墙设置基本上默认即可，局域网可以启动启用netbios保护，我推荐把启用防MAC欺骗功能启动。
如果想获得最大保护，不在乎兼容性，可以启动启用网络应用程序监控和隐身模式网页浏览，不过我不推荐启动，会影响访问网络的兼容性，得不偿失。
其他设置全部默认就可以了。

按照下面的动画示意图操作即可。


第二节
在主程序的主界面扫描选项中存在一个调度的活动扫描，这个任务计划每天都会扫描一次计算机，虽然是活动风险扫描，但是，完全没必要这样频繁，可以关闭该功能，或者调整为半个月扫描一次。

在扫描选项中双击调度的活动扫描。


在弹出的对话框中取消启用扫描的勾选框，点击确定。


客户端管理设置。
在LiveUpdate选项，将更新频率调整为3小时，这个比默认的4小时好一点，但无伤大雅，所以不设置也可以，保持默认。


在防篡改选项中，默认是阻止其他应用程序访问和修改Symantec产品，但是不会记录什么软件访问Symantec产品资源。


可如果你想了解是否有其他应用程序访问或者想修改Symantec产品，可以将防篡改调整为禁止和记录。

这个管理设置基本上是不需要设置的，可如果你想记录防篡改的内容，以及调整更新频率，可以按照下面的动画示意图操作即可。不过，我推荐不必这样设置，没有太大用处。


防火墙的规则小设置。
如果经常收到SEP提示禁止svchost XXXX的提示，可以在防火墙的设置规则中取消，Block UPNP Discovery的勾选。


尽管取消这个规则的勾选，不会影响多少安全性，可我不建议取消，凡是规则都有它存在的意义，所以，还是保留这个规则吧。

如果方法无效，还存在提示，可以看其他大牛的防火墙设置帖：
http://bbs.kafan.cn/forum.php?mo ... &fromuid=335301


第三节
在第一节中，我推荐了两个扩展性的设置：

自动保护中的仅在执行文件时选项取消勾选，这样威胁文件在没有执行的时候，也可以被SEP发现。
自动保护高级设置中的扫描文件条件，如果你经常扫描系统而且不希望SEP大量读盘，可以调整为修改文件时扫描，不过不建议这么做。

首先说一下，有朋友反馈在XP系统启用来宾帐户登录系统，因一些特殊原因，在访问网络磁盘的时候，若取消仅在执行文件时功能，会出现系统卡死的情况，因此使用来宾帐户的朋友，不要取消仅在执行文件时功能的勾选框。

关于修改文件时扫描，这个我已经说过不推荐这么做，现在我再强调一下，不要修改自动保护高级设置中的扫描文件条件，除非你的系统和硬件实在是不能承受ccsvchst进程大量读盘，是一台N年的老爷机，你又对杀毒软件有一定的了解，知道修改以后的后果是访问硬盘文件夹内病毒文件不报病毒（执行病毒和写入病毒，还是可以被报的）的情况下，你才可以修改本设置！

wulanautumn

占楼分析

symantec001

站楼等更新

barbara

自从SAV被SEP取代以后，现在使用Symantec最新技术的一直就是SEP而不是NAV了。

wangyuankai

等待更新吧，希望功能能够有巨大的改善。

驭龙

barbara 发表于 2012-11-16 13:18
自从SAV被SEP取代以后，现在使用Symantec最新技术的一直就是SEP而不是NAV了。

非也，你知道SEP 12.1的各项功能都是当时NIS应用半年或一年的功能吧，当然架构也是落后NIS的，说实话NIS就是实验田，新功能都在它上面先应用，稳定以后才会给企业版升级

kfpeace100

期待