以不变应万变Norton 2013 Beta版之多方面探秘【什么叫与时俱进？诺顿就是】第15次更新

驭龙

诺顿的2013系列Beta版本，已经在前几天发布，详情http://bbs.kafan.cn/thread-1280797-1-1.html

偶本不想再小白，因为工作原因，需要稳定的系统，但见过几日的观察，此版本除UI的问题，其他非常稳定，因此，我实在是忍不住，安装了本测试版，长话短说，直接进入主题。

安装以后发现，本版本除UI变化以外，没有发现什么过人之处，然而随着一点点的探秘发现变化还是有的，而且大部分是内在的东东。

高级UI


基本UI


之前很多饭友认为诺顿对I/O读写超大，有些朋友因此放弃诺顿，现在大家不必担心这个问题，今后可以放心使用诺顿，如图所示：

开机一个小时


开机六个小时



很多人不建议老爷机用户使用诺顿，诸如后台任务等等会卡系统，现在这个版本虽然是Beta一版，性能已经超越当年流畅性最受好评的2009版，老爷机再也不必纠结，是否使用诺顿或关闭空闲时扫描等等的问题。

快速扫描



本版本最大的变化就是防火墙晋升为采用云智能Insight技术，判定应用程序连接互联网的超智能防火墙，虽然以前的防火墙很智能大部分应用程序运行联网，但是全部被防火墙设置为自动监控，应用程序的网络活动全部被防火墙监控，大大的影响了应用程序联网的性能，采用Insight技术的新一代防火墙则不同，只要被Insight信任的应用程序，防火墙将把应用程序设置为允许，减少监控应用程序联网的行为，若应用程序不是被Insight信任，防火墙会根据不同等级的Insight应用程序信誉级，来确定应用程序是自动监视还是阻止应用程序联网，大大提升防火墙的性能，以及安全性。

防火墙应用程序控制


防火墙Insight信誉应用程序查询


====================================================
小更新：关于2013入侵保护系统误报卡饭的临时解决方案。

IPS之所以误报卡饭，是因入侵定义中Malicious DNS Domain把卡饭认定为恶意网址，只需要在IPS特征库当中关闭Malicious DNS Domain，也就是恶意DNS域名这个特征库定义，就可以了。这个功能的误报非常多，官方已经调查了。


在主界面点击Settings 然后是network 入侵签名旁的configure，找到Malicious DNS Domain取消复选框，点击OK


=======================================================
2012年5月10日 12:21:11 更新：

如果你认为Norton 2013系列，仅仅是一个增强版，那你真的是错了，因为Symantec的反病毒引擎是一年一更新的，而不是几个月一更新，随着2013 Beta版本的发布，已经一年没有更新的反病毒引擎，现在已经更新，大家等待着Norton 2013系列正式版以后，给我们带来的新查杀体验吧。

2012版引擎相关文件与2013版引擎相关文件，版本对比图


上方文件为2012特征库引擎相关文件，下方文件为2013特征库引擎相关文件


另外我忘记现在2012版入侵保护系统的引擎版本是多少，各位能否提供一张历史记录里，入侵保护的引擎版本号截图？以便我下一次的更新使用。

=======================================================
2012年5月11日 12:13:05 更新：

今天更新一个入侵保护系统的相关介绍，以及一个对于Norton 云查杀的期待

昨天我问Norton 2012版本的IPS引擎版本信息，感谢提供截图的47楼朋友ostar843，按照ostar843朋友的截图，当时Norton 2012版的IPS引擎版本是4.9.0.6，驱动版本是10.1.1.8版本

而现在Norton 2013 Beta版的IPS引擎版本已经大提升为大版本5.0.0.103，驱动版本也是大版本升级为11.0.0.210。


因此Norton 2013会给我们带来更强大的IPS功能，毕竟引擎版本从4升级到5，驱动版本从10升级到11，这必然是一次大飞跃，让我们拥有更强大的入侵保护系统 IPS。

另外值得一提的是，误报卡饭的Malicious DNS Domain功能，就是这个IPS新版本的新功能之一。

更多关于入侵保护系统的一部分介绍，我前几天已经写了一篇文章，大家有兴趣，可以看一下
http://bbs.kafan.cn/thread-1281915-1-2.html



现在来说一说Norton的云查杀，默认情况下Norton是启动智能特征库的，也就是就高危恶意软件的特征库定义，放在本地，低威胁和最新刚入库的威胁，会放在云端的Insight上，这就是诺顿的云查杀，完整的特征库定义百分之六十在云端Insight，百分之四十在本地，大大的提升了性能。

智能特征库与完整特征库的文件数据对比


大家注意智能特征库与完整特征库，virscan7文件的大小差别


当然你也可以关闭智能特征库，将完整的特征库定义下载到本地，这样虽然影响性能，但是，可以提升断网的查杀能力。具体情况，可根据自己的需要设定。

通过智能特征库与完整特征库的对比，我个人推测，Symantec已经在逐步向云查杀迈进，说不定Norton 2013正式版或者以后的诺顿版本，在查杀方面会有提升哦（注意：这是个人推测，不要当真，不一定准确）

====================================================
2012年5月12日 13:17:15 更新：

关于智能定义，本人与官方发布的信息略有不同看法，现在来解释一下。

官方宣布的智能定义信息：

包含 Symantec 视为的最新安全威胁所需的最重要病毒定义。

核心集是完整集的子集，它比完整集约小 30%。核心集最大限度地缩短了下载时间、安装时间和系统启动时间。与完整集病毒定义相比，它占用的磁盘空间量也更少。因此，核心集会使电脑具有更快的性能。

官方的意思智能定义只是比完整特征库小百分之三十，但我个人通过对智能定义与完整特征库文件大小的对比，个人认为：

完整的特征库定义百分之六十在云端Insight，百分之四十在本地

智能特征库与完整特征库的文件数据对比


大家注意智能特征库与完整特征库，virscan7文件的大小差别


至于我的分析是对是错，这并不重要，大家只需要知道智能定义的根本是提升性能，完整定义是增强断网查杀和保护，就可以了。选择什么定义，具体情况，可根据自己的需要设定。

=====================================================
2012年5月13日 12:28:02 更新：

今天跟大家说说Download Insight这个功能，首先声明本人使用2012版的时间不超过十天，因此对Download Insight的分析不一定百分之百准确，如有错误，请多多包涵。

最近看到很多朋友反应DI功能导致下载的文件丢失，因为下载的文件信誉低，然而我使用2013版测试了一下，不管是下载EXE还是压缩包，不管是使用IE还是火狐或者是下载器，下载威胁文件，只要是被DI也就是下载智能分析功能报的毒，都可以进行还原操作，而不是无法恢复。

Download Insight日志


隔离区


不管是使用浏览器还是下载器，下载的压缩包里存在威胁，只要在解压时被DI功能报，威胁被移除，基本上是可以还原文件的

DI文件信誉


只要是被DI功能报的威胁，基本上是都可以还原的，当然我测试的文件少，可能不一定全部威胁都是如此，仅供参考。

不知道这是不是Download Insight的新变化，如果是，那很有可能Download Insight功能已经升级到3.0了。

要注意的是，解压缩包时如果是自动保护报告已阻止威胁，而不是DI报的话，解压的文件是不能被恢复的，但压缩包不会被删除。


===================================================
2012年5月14日 12:07:52 更新：

现在的2013版，确实是可以关闭空闲时扫描了，这个真的很不错，只可惜一个星期不扫描的话，Norton会提示你扫描，而且是红色的大格子，真不舒服，我只能扫描一次，然后发现，诺顿对I/O读写，跟后台的快速扫描有关。

一个星期不扫描的UI图


关闭快速扫描的任务计划


诺顿任务中空闲时快速扫描，自动取消


这是昨天没有快速扫描时，诺顿对I/O的读写情况。


这是今天快速扫描以后，诺顿对I/O的读写情况


==================================================
2012年5月15日 12:32:26 更新：

我来说Norton 2013 Beta版现在的不足之处！

虽然说Norton 2013 第一个Beta版本已经可以证明2013的突破不容小视，而且SONAR 5也没有正式发布，但我还是想说一点点不足之处。

① UI主界面的字体太难看了，而且主界面的反应十分迟钝，尤其是变换不同界面时，基本上卡1-3秒
② 打开应用程序时，应用程序会稍微卡1-3秒，个别应用程序会未响应2-5秒，尤其是大型应用程序C++以及PS等
③ 浏览器插件卡浏览器，无论是IE还是火狐，无论是首次启动还是热启动，都比没有安装时慢很多，而且浏览器打开时间长一点就会相当吃内存
④ 老问题，关机依然很慢
⑤ 历史记录，很容易失去响应

希望这些问题在以后的Beta版本或正式版里，可以得到解决，现在毕竟是第一个Beta版本，不必要求太高。

由于本人个人原因，就不介绍身份保护和网络安全地图以及SONAR 5的变化了，因为SONAR 5现在并没有被官方宣布发布（测试仅供参考），而身份保护由于是测试版，试用期太短，我又很懒，所以我没有使用，抱歉哈

===================================================
2012年5月19日 12:21:01 更新：

昨天我卸载了105版本的Beta，安装了106的Beta最新版本，界面变得很不错，字体问题已经解决了。

版本信息


基础UI


高级UI


105版本的bug基本上全部解决，IPS和BP两大功能，已经可以启动，并且正常工作。

可惜的是Malicious DNS Domain功能对卡饭的误报，依然没能解除，只能继续单独关闭IPS中的这个MDD功能。

其它细节方面也有一些调整，但这个版本依然不是非常的稳定。

===============================================
2012年5月21日 12:14:19 更新：

今天我来说一说SONAR的版本变化，以及文件版本和定义的位置。

以Windows 7 系统和Norton 2013为例，SONAR和启发的行为定义在C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_20.0.0.106\Definitions\BASHDefs\20120512.999


Definitions文件夹下包含诺顿的全部本地特征库，其中BASHDefs文件夹就是诺顿的启发式和SONAR的特征定义，特征定义真正名称为Proactive Threat Protection，中文名为“主动式威胁保护”。

而文件夹的名称是：
BASH（Behavioral Analysis and System Heuristics）Defs（Definitions）即“行为分析和系统启发式定义”


在2012版本中的该文件夹内，文件版本是6.6版本，也就是我们说是SONAR 4版本，举例如BHEngine文件版本就是6.6的

而在2013 Beta 版本中BHEngine文件已经是7.0的大版本，SEP 12.1官方说它的SONAR是三代，文件BHEngine版本为6.2，NIS 2012 是SONAR的四代，文件BHEngine版本为6.6，因此2013版的SONAR 5一定会有很大的变化。


在BASHDefs文件夹下，2013版多出了一个SONAR的引擎文件UMEngx86.dll，以及多个定义文件。


=================================================
2012年5月22日 12:40:30 更新：

昨天跟大家介绍了SONAR的特征库定义和引擎版本，今天来介绍一下SONAR的真正核心文件。

在诺顿的主程序文件夹下存在这BHClient.dll和BHSvcPlg.dll，这两个文件才是SONAR的重要组成部分，通过它们来确定SONAR的代数，现在2013 Beta版，那两个文件是7.0，也就是SONAR 五代。


在BASHDefs文件夹下，2013版多出了一个SONAR的引擎文件UMEngx86.dll，以及多个定义文件，而其中 这个SONAR 引擎会注入系统的进程当中，具体作用，尚未分析。

因此，当2013正式版驾临的时候，必然会给我们带来全新一代的SONAR，大家一起期待吧。

-----------------------------------------------------------------------------
有朋友说SEP 12.1.1 MP1的BASHDefs文件夹下的BHEngine文件版本已经是6.6，那是不是这个版本的SEP 已经升级到SONAR四代了呢？答案：不是。

MP1的更新文档中没有说更新SONAR。

更重要的是SEP 12.1.1 MP1主程序文件夹下的BHClient.dll和BHSvcPlg.dll，两个SONAR的重要组成部分，依然是6.2版本，也就是SONAR 三代

------------------------------------------------------------------------------

==============================================
2012年5月24日 12:21:03 更新：

今天说两个话题，一个是诺顿的统一管理，另一个是诺顿架构的与时俱进。

在2013的主界面上，大家应该已经发现一个管理按钮，点击以后，会出现诺顿统一管理帐户，以及安装诺顿统一管理软件的操作。


因正式版尚未发布，因此无法安装2013版的Norton One软件，但足以证明，诺顿的未来发展是多平台的统一管理，这必然给用户带来巨大的方便，轻松管理多平台。


-----------------------------------------------------------------------------
现在虽然不能确定诺顿的架构究竟改变多少，但现在可以确定的是，2013版是使用Microsoft VS 10和 Microsoft VS 11 Beta平台编写的，因为诺顿运行时需要的VS运行时库版本是VS 10和VS 11Beta版本，当然双版本应该是过渡，相信以后的版本必然是VS 11最新的软件开发平台。


VS双版本



因此，2013版必然绝非等闲之辈，采用全新软件开发平台编写的它，不仅仅会在性能上提升，在Windows 8上会更加稳定，当然采用新开发平台开发的诺顿，好处不仅仅只有这些，只因我不是学编程的具体情况，自然无法完全展示给大家，但我依然相信诺顿的2013正式版，一定会给我们不一样的全新体验。


就先介绍这些新特性，以后新测试版发布再继续编辑更新内容，大家一起期待2013正式版的大驾吧

==============================================
附SONAR 5的测试，但这是测试版，不代表这是SONAR 5的真正实力，我们需要等待2013正式版发布，才能见识到SONAR 5的真正实力

5-16日，样本包测试
http://bbs.kafan.cn/forum.php?mo ... &fromuid=335301

5-17日，样本包测试
http://bbs.kafan.cn/forum.php?mo ... &fromuid=335301

5-18日，样本包无密码，取消测试。注：19日的下午已经拿到密码了，但特征库已经超时，所以没有测

5-19日，样本包测试。Beta版周末竟不更新特征库，本日测试是之前三天前的特征库。
http://bbs.kafan.cn/forum.php?mo ... &fromuid=335301

牆角寫檢討°

我又来发RQ了。你是技术流。支持吖

明月丶舞白衣

坐等驭龙哥大作

jy00147725

支持一个，坐等更新。

dragon2010

前排支持中…

①月②⑩㈢

等大作

宜昌阿杜

坐等，诺顿我的最爱啊。。

尘梦幽然

前排支持、
2013版似乎有好多功能都没上线哟~比如SONAR，比如更多新的特性。

alanyuan

楼主那张反映诺顿的I/O读写图弄错了，诺顿的进程是ccSvcHst.exe，TXPlatform.exe是腾讯的进程

harshlyyanzi

呵呵。2013这个应该是质变的版本。
毕竟前两个增强版混了蛮久是是该发飙下了。