关于SEP的SONAR的设置问题，或影响其安全性

bbszy

SEP12.1.2采用了跟NIS一样的内核，也拥有SONAR5，所以这两天装的人不少。

很多人可能看了论坛的设置教程，在装完SEP之后把下图高亮的地方选上了，但我觉得不勾选上比较好。




在http://bbs.kafan.cn/thread-1413412-1-1.html中我曾提到SEP的SONAR不灵敏，但现在我发现应该是不当设置导致的。

以下是我的测试：

首先准备一个NIS的SONAR会报（误报）的一个软件（见附件，是一个查询冒险岛游戏在线市场的一个工具，你要是在不放心就丢沙盘里运行），装NIS时，该程序运行后还未出现UI界面，也就是说并未完全运行起来，即被sonar拦截（终止进程，并进行清除等操作），过后会弹出SONAR的提示框。

装上SEP12.1.2测试：首先勾上这两个勾选，运行该软件，发现软件UI已经出来了，甚至还能操作几下，过一阵子SEP才弹出框让我点击删除或终止进程等操作，这时该程序进程才被终止，文件才被删除。而且有趣的是，若在弹窗之前手动关闭了软件，SONAR在之后还是会弹出之前的弹窗。            若取消这两个勾选，则SEP12.1.2的SONAR的效果与NIS的一致。

所以，我认为，当勾上了这两个勾选后，当程序有能被SONAR检测到的可疑行为后，SEP并没有阻断其继续运行，会有失安全性，故不推荐勾上。

这个问题也适用于SEP12.1.1。

当然各位还可以做进一步测试。

驭龙

来支持一下，测试软件我带走了，呵呵

qpzmggg999

楼主难不成看了我的贴  我勾上去的  我认为 首先 我觉得并不是人人都会中毒的 如果有误报的话 勾上这个就不好了 另外 sonar误报还是不低的 再加上主动模式  在平时使用之中 勾选他们 不仅会降低误报所带来的损失 而且可以更安逸的使用计算机 而不怕 sonar自下结论      声明一下 本人最烦诺顿的自动处理技术  相当烦

bbszy

qpzmggg999 发表于 2012-11-19 20:51
楼主难不成看了我的贴  我勾上去的  我认为 首先 我觉得并不是人人都会中毒的 如果有误报的话 勾上这个就不 ...

当初sep12.1发布的时候就有人这么写教程了，我当时也没注意，也这么做了。后来我测试sep12.1的sonar发现，其十分不灵敏，十个病毒没一个完美拦截的，很多都拦截不到，搞的一堆病毒在那运行。当是我sep12.1用的还是sonar3，我以为是这个原因，我也就没继续用下去了。

现在12.1.2发布了，用了跟nis一样的sonar5，就下来试试，就进行了我上面讲的测试，后来是突然想到是不是这个设置的原因，再一试才发现的。

另外，sep的排除和还原很方便，在警报窗口上既可操作。

苏怅

这里其实只是起到了提示的作用

GreenCodes

bbszy 发表于 2012-11-19 21:36
当初sep12.1发布的时候就有人这么写教程了，我当时也没注意，也这么做了。后来我测试sep12.1的sonar发现 ...

SEP的排除比NIS要明晰，操作方便，有统一的排除设置，并且可以针对不同的检测方进行方便的排除

ldkvfeng

呵呵呵楼上几位写和准备写sep设置的作者到齐了有意思

苏怅

GreenCodes 发表于 2012-11-19 21:41
SEP的排除比NIS要明晰，操作方便，有统一的排除设置，并且可以针对不同的检测方进行方便的排除

不知道为什么 以前用SEP12.1的时候 排除了一个注册机文件夹 扫描和监控都排除了  结果照样报

GreenCodes

苏怅 发表于 2012-11-19 21:46
不知道为什么 以前用SEP12.1的时候 排除了一个注册机文件夹 扫描和监控都排除了  结果照样报

那个注册机应该有问题，必然调用了排除文件夹之外的东西

wjhstu-VxG

qpzmggg999 发表于 2012-11-19 20:51
楼主难不成看了我的贴  我勾上去的  我认为 首先 我觉得并不是人人都会中毒的 如果有误报的话 勾上这个就不 ...

sep还原还是很方便的，norton也是下载信誉检测的时候有点懊恼