Sophos Endpoint Security and control 9.7深入研究与讨论 8月14日阐述自我防御原理

一晴空

声明：本文仅供参考，本帖会持续更新
本文的编写主旨是为了改变大家对Sophos（前版本）的看法，要了解Sophos，敬请访问www.sophos.com
Guide to this article：
1L：安装及设置介绍1
2L：设置介绍2    网页防护测试及讲解（不包含病毒扫描测试）
3L：对Sophos的一些相关研究（长期更新ing）
4L：与Sophos技术支持的囧事
5L：疑难解答（各位的问题可以提出来在这个帖子里集中进行回答）
另外，本帖不对key进行讨论，有关key及Sophos下载可以移步至http://bbs.kafan.cn/thread-738956-1-2.html
本帖的Sophos是不带墙的，Sophos的墙虽然是OEM（据说是）的，但是弹窗很多，慎用..........，防火墙因此不在本文的讨论之列
另附我的组合电梯
本文中可能出现的专用术语解释请参见“疑难解答”
22日更新：ssdt hook的挂红原因&Sophos的所有驱动
HIPS官方翻译内容见71楼
官方9.7帮助文档（内含更多的疑难解答项）电梯：77楼
注：本文所用Sophos没有控制台（Sophos console），因此某些功能及其选项没有（比如device control）
离线病毒库下载地址及使用方法----7月30日更新
Sophos对Windows 7 service pack 1的支持可能不是很好，感谢helokii8反馈
自我保护原理阐述，请参见 114楼
-----------------------------------------------------------------------------------------------------------




安装包，与Sophos9.5不同的是图标变了.......

解压


反病毒组件安装

更新组件安装

安装更新中.....



安装完成后通过右键盾牌标志进入主界面


在主界面的工具栏上点击“配置”

读写扫描设置，在这里，推荐将“读取文件时”改为“写入文件时”，这样设置可将对性能的影响降低

此页中有个“Macintosh病毒”，关于这个，请移步至
官方解释：If you have Macs on your network, or you regularly exchange files that may be opened and edited in a Mac environment, you should enable this setting.（windows用户就不需打开了）
http://zh.wikipedia.org/wiki/%E9 ... 4%E7%94%B5%E8%84%91
另外，在此页有个重要的设置，即“扫描打包软件内部” 关于此项设置，请参见2L与3L
点击此页的“高级”选项，弹出如下窗口
，这里是Sophos高级设置（也算是特色了吧~）
注：以下的设置详细用途并不清楚，我问了官方.......但官方也没有明确的回答，这个可以移步至4L

关于设置的介绍第二部分，请看2L

一晴空

内存占用：

隔离区：

更新设置

更新频率设置

HIPS设置 官网解释：http://www.sophos.com/support/knowledgebase/article/48765.html
Suspicious Behavior--SophosLabs Analysis：http://www.sophos.com/en-us/thre ... vior-and-files.aspx

网页信誉云设置

消息发送（这个很强）

-------------------------------------------------------以下是网页防护的测试（仅供参考）-----------------------------------------------------
Sophos IE插件

IE6 拦截效果

chrome  拦截效果

下载文件报毒 示例（一些人反映下载文件时没见报毒，请参见“疑难解答”章节）

一晴空

单击名称可以打开官方的关于该病毒的描述和处理流程
这里能看出Sophos相当专业啊


这是对排除的一个小小的发现，我记得9.5版本没有这个，好像是的

也就是除了“驱动器”“文件夹”“文件”还能排除这个。。。。
还有就是 我比较喜欢这样设置Sophos。。。



扫描时的占用
有人会问Sophos有木有hook SSDT见图：


看来似乎是监控神马的挂的........
但是不是的。。。。是HIPS挂的
见图：
Sophos的命名不合实际............
以下是Sophos的驱动

因此，如果想要与同挂SSDT的安全软件搭配建议关闭Sophos的HIPS（including suspicious behavior and buffer overflow）

一晴空

我表示很无语......
谁能够把高级设置的文档要来.............
另注：
“高级设置”的那些选项的解释用Google居然搜不到 难道是机密？

一晴空

疑难解答专用
Q：为什么Sophos在下载时不报毒（压缩包）
A：出现此问题的原因是您可能没有打开这个选项：

扫描打包文件内部
关于这个设置官方为什么说不推荐呢？
原因是打开了这个选项后一些以能够用winRAR打开的EXE文件（自解压）Sophos会介入扫描
打开诸如.RAR的文件时，如果是里面的文件过大（过多），监控时的扫描甚至会死机
因此这个选项到底打不打开还需要您的斟酌

Q：9.7更新了什么？（性能方面）
A：扫描前加载引擎速度明显加快，开机加载明显加快，扫描EXE速度明显加快
------------------------------------------July 22nd edited----------------------------------------------------
专用术语及解释
1.IDE：Threat identity (IDE)
Threat identity (IDE) files contain threat identities which allow Sophos Anti-Virus to detect and disinfect the latest malicious software and other threats.
http://www.sophos.com/support/knowledgebase/article/10350.html
article ID：10350
2.PUA：Potentially Unwanted Applications (PUAs) are applications like PC surveillance software and joke applications.
3.DLP：Data Loss Prevention:Data Loss Prevention (DLP) is a computer security term referring to systems that identify, monitor, and protect data in use (e.g. endpoint actions), data in motion (e.g. network actions), and data at rest (e.g. data storage) through deep content inspection, contextual security analysis of transaction (attributes of originator, data object, medium, timing, recipient/destination and so on) and with a centralized management framework.
-----------------------------------------July  22nd  updated-----------------------------------------------
如何排除？（注意两个地方都有）

xiec1

帮顶，有试用的冲动~！

一晴空

xiec1 发表于 2011-7-21 11:11
帮顶，有试用的冲动~！

感谢您第一个支持！+1

洒家谈谈

前排观看支持Sophos

年下

这么多进程！内存占用也有点高个人对资源占用很看重，不知道卡不卡机~浏览器支持chrome这个好

hikehiking

看起来不错哦~内存占用好大。。。不过应该不卡cpu吧？