关于sep11使用的问题自我总结以及对相关的问题的一些看法（以及一些相关设置）

zlx42

最初由于以下下事件而在 绅博 发帖询问的（那时在卡饭潜水了一段时间，就是无缘注册 ）

前段时间在kafan下了个包包（是临时论坛理找到的，如今已经找不的到了），好像是什么网页病毒，我用sep扫描压缩包居然一个都没扫出，但是在解压的时候全部被干掉，就是觉得有点奇怪，这个主防到底是什么，按道理我解压的时候报也应该是特征码识别吧，我有没运行病毒啊，难道还跟主防的什么敏感度有关？？这个主防不依靠特征码也不是行为分析（没运行）那到底是什么啊？难不成是什么启发还是虚拟机，不过这连个在扫描的时候不是也应该有用的码？有或者这个不算是主防而是监控？但好像监控也是特征码识别吧。。。。。
还有那个什么truscan也真搞不懂到底是什么意思，好像只是过段时间扫描一下
可能我理解的有问题还望大家解惑。

后来经过一段时间的使用和理解，终于明白了一些：
关于主防的：

sep的主防主要还是依赖于sonar的行为启发(可能是虚拟机沙盘之类吧)，并不是现在主流的所谓行为分析，但防护效果还是很显著的（赛铁的防现在就是靠sonar吃饭的），估计应该跟卡巴的主防有的一比（这个是个人感觉，如果不同意就无视吧^_^），有人说sep的主防不敏感，但实际上对危险行为还是蛮敏感的，可能跟23个ssdt也有关。。（这个也忒多了点）

有必要说下的是不单主防，sep的整体防护是很好的，虽说扫描区测试不太理想，单事实上自动防护与扫描之间还是有微妙的区别的，自动防护可能能识别的病毒比扫描少，因为有一次试过扫描比自动多扫出一些，但扫描出的个体还是有些差别，主要是因为自动防护的启发式可以调整，而默认右键扫描貌似不可以（只有定制的扫描才可以），就如之前的情况，有可能自动防护报而扫描不报，还有一个就是sonar，虽然有人说sonar就是一启发式，确实是，但它是行为启发，所以对付未知病毒还是蛮有效的，而且好像不仅仅是sonar，因为norton360也有sonar但sep的说明里明显有别于那个，说是结合的对bot删的防御（也就是说可能有antibots的部分功能），所以说sep但就主防来说要比360强。
所以如果你习惯好，先右键扫描，那么sep的防护就是扫描－－自动防护（鉴于symantec的查杀率这两个结合能解决的要比单查杀多点）－－主防（你运行时触发），这是本地的流程，在此之前sep有sygate的防火墙和ips（入侵防护），入侵防护不但对网络攻击反应灵敏，对恶意脚本也有一定防御（使用中报过脚本）。
所以这些结合起来防护能力确实还是比较强的。（之前在绅博有人分析sep改变了系统的一些策略，如果这样的话无疑防护会更高）

还有自动防护跟主防的区别，自动防护依赖的是特征码加启发，而主防是在你运行时的sonar的前瞻性行为启发。

关于防火墙：

sep的墙准确说来是很强大的，有人说并不能定义端口什么的，实际上是默认不开放端口的，可以自己定义规则来定制具体功能（其实大多数人并不需要），而且就入侵防护而言比卡巴灵敏得多，而且也很智能。（关于规则的导出和导入，我发现用英文规则名和英文文件名路径名就可以了，有人说中文可以，但肯定是三个的其中一个与中文不兼容，具体哪个懒得试了，有兴趣的自己试，还有规则只能一个一个地导出，不能多个一起到出，不然也出错）

这个墙也要具体说说，sygate的墙应该还算可以吧，也没有什么需要设置的地方，论坛理也有相关的设置说明，sep11mr2mp1加入了程序提示，就进一步完善了墙的易用性。建议大家在防火墙规则里还是要家一个“allow progam”（英文便于导入导出），然后在使用中可以先通过防火墙自带的提示记忆，然后在“allow progam”规则中勾选相关项，这样可以便于以后导入导出以及系统出问题后的恢复。
还有个人觉得sep11的墙必要的一个规则是icmp规则，就是设立这个规则，协议选icmp，内容全选，但允许程序栏必须为空，如果不为空会失效，也就是说空就是对所有程序有效，而你选择了特定程序就失效,这个不知道是为什么，但事实就是这样的。（用p2p的需要，有人说不需要，允许所有ip通讯就可以了，其实是不可以的，因为sygate的防火墙规则是这样的，只允许你的程序接受和发出通讯。但这个接受的基础是他能识别那个通信是针对于某个程序的，icmp协议的入站通信sygate无法识别对应的程序，它就默认block，同样的还有emule的kad协议，因为是对方单方面向你发出请求，sygate便认为是攻击）
还有关于占cpu的说法，我的机器pm1.4的老u在开迅雷满速300＋连接的情况下cpu在0～10％之间波动，应该说是个相当不错的cpu消耗了。（想说一下其实kis7的墙消耗更大，不知道有没有注意过，如果你没有信任下载程序，卡巴会同时消耗连接数来监控，也就是说你迅雷连接数是200的话你的系统总连接数就是400，卡巴会对应监控，不说别的就光对连接的消耗就很大，这是我一直使用cfospeed发现的，不知道kis8有没有改进这个监控模式）
至于那个什么本地代理的BUG，我不太懂，但在使用代理过程中没有什么问题。

关于部分使用中的问题，也许有些是个例，但我写出来大家参考参考：
1.关于集中例外的，你设定了某些例外，然后你使用过程中卸载的相应的程序，而你没有及时去编辑例外列表，那么等你重启后就会发现例外列表为空白切不能再添加例外，修复安装也不行，必须卸载再安装，个人觉得是相关的设定文件损坏或sep的有问题不能加载。（这个我在自己机器上折腾了3次。重新安装了3次，问题如故。没条件在虚拟机理试，所以不清楚是不是都有这个问题）
2.emule的问题，这个没办法解决，按坛子里的教程设了tcp，udp的规则也开放了端口，但没效果，个人感觉是sep的入侵防护直接识别emule的连接，然后报攻击，有人说关掉KAD就可以了，其实这个对下载没有什么影响，只是空闲是不能上传，就是emule当bt用吧。
3.关于sep的主防自动关闭的问题：首先确定你是安装的最新的mp1版，因为旧版出这个问题的比较多。还有看看日志，到底是什么错误，常见的是9和11的错误，9的是coh32.exe的sonar的启发引擎加载失败。11是库加载失败，查看一下自己是不是装了其它hips或安软，阻止了某些东西，我就因为装TF用局长规则而把SEP的主防搞挂过。就现在的mp1而言还是蛮稳定的。错误11只要升级就可以恢复了，9的话靠RP，或者你可以加快truscan的扫描频率，会很快恢复，前提是你已经排除了干扰。
.关于防御arp的，可以参考我的帖：
关于sep11的防火墙防arp增强设置：
http://bbs.kafan.cn/thread-299774-1-1.html



关于不放心的想找个辅助的：

还有关于那个nab，之前试过tf之类的做辅助，后来因为tf卡机（可能是个人原因，正常应该是不卡的），于是又从新看了nab的相关介绍，nab跟微点tf直流最大的区别在于它完全不含特征码，这东西只关注exe，相当专一。也就是说它跟大部分杀软没有功能上的重叠，这样就减少了资源上的浪费，而且nab很智能，而且误报也相对很少，作为杀软的补充很适合（前提你得忍受的了那个资源消耗以及开机速度）。当然TF也不错，应该说更好，前提你不卡机（也就是说你的机器配置够这两个的折腾）

最近在考虑加个dw来仿kis8的结构（呵呵，其实感觉kis8的hips真的跟dw很想，风格上，效果上，至于原理偶就不是很懂了，kis的应该不是沙盘型但是确实跟dw很像）

本来考虑装个kis来玩玩的，但实在是很喜欢也很习惯sep的防火，加之kis的hips用着恨不习惯，so，决定继续使用sep，在多体会体会[s:10]

最后还是要说一下，sep的防护能力其实是相当地弓虽大。

这个只是个人的看法与体会，可能有些问题使用中并没出现或者还有其它问题。就当是个例参考一下吧，理解不对的地方欢迎大家纠正拍砖可能言语上有些混乱，大家将就着看吧

其实些这帖只是想推广推广sep11哈。因为好像有些人对sep的误解还是蛮大的。还有sep的话用mp1最好，置顶的帖也该更新了，老有人在置顶里下mr2而不是mr2mp1，然后就来论坛上说这个那个有问题。其实mp1已经是一个相当好的版本了，比上个版本有明显改进。开机速度快了不少，防火墙可以提示应用程序访问，更智能。也更稳定。

补个下载地址：[http://bbs.kafan.cn/thread-274969-1-7.html
                                                                                                   

这是我在绅博的原帖，不全，但是其它人的回答具有一定参考意义
http://bbs.hypost.cn/read.php?tid-267130.html


有人问我具体设置，其实sep需要的设置也不多，论坛也有介绍，我就再稍微整理一下吧
1.自动防护的启发式调到到最高：



2.主动威胁防护敏感度：（这个敏感度个人喜好吧，我是设最大，也没见什么误报）

3.网络威胁防护：
具体设置看红框部分，取消允许所有ip通信，这样应用程序访问网络就会有提示。我没勾选的可以根据自己需要勾选，局域网够防MAC欺骗防ARP。还有觉得入侵防护通知烦的也可取消掉。




关于那个ICMP规则：应用程序出空白，全部不勾选。


[ 本帖最后由 zlx42 于 2008-8-9 05:46 编辑 ]

santoque

顶lz

希望有人能研究一下sep的防火墙规则。是不是可以借鉴scs的规则

z200111

不知道LZ怎么设置的，我使用时什么框架都没见过

zlx42

原帖由 z200111 于 2008-7-31 07:42 发表
不知道LZ怎么设置的，我使用时什么框架都没见过

什么框架？？

lebon

关于扫描－－自动防护－－主防这个流程的阐述还是很令人耳目一新的，顶一下SEP。

kingcoling

防火墙采用白名单规则是否更有效呢？

alvinjx

楼主，我觉得SEP还有一个不完善的地方就是没有缓冲区溢出保护，我个人认为他是一个很重要的功能，而且现在很多企业版的杀软都有这个功能，铁壳却没能把SYGATE所具有的这项功能集成进去，这倒是很奇怪的。呵呵

z200111

就是主动防御的框框，我用Norton和sep 从来很少有我去按的提示出来，什么确定取消都没有

sioux0507

有mp1的下载地址么？

zlx42

原帖由 z200111 于 2008-7-31 10:24 发表
就是主动防御的框框，我用Norton和sep 从来很少有我去按的提示出来，什么确定取消都没有

你不玩毒基本见不到主动的