SEP 12.1.5来袭，出乎意料的强悍，看完本帖你还期待NS 22么？[11更]修复图片

驭龙

前言：

      最近写评测已经上瘾了，参加了几个活动，现在活动结束了，但是写帖子的兴趣丝毫不减，虽然这里没有奖品什么的，不过那毕竟都是浮云，我写帖子又不是为了区区的奖品，我在本区已经有三篇精华帖，我始终还是喜欢Symantec的产品，因此本篇帖子争取拿本区的第四个精华帖。

     虽然我说不写Norton Security的帖子，不过我今天写的是Symantec Endpoint Protection 12.1.5的内容，并没有食言，不是么？今天先开帖，明天开始更新帖子的内容。

先透露一下，这次的SEP 12.1.5真的是异常的强悍，让我想起了几年前SEP 12.1.2的变化，这次则是有过之而无不及。

我更新本帖的顺序是从大家关心的内容开始，先更新最受关注的内容，本帖不分章节的顺序，随性更新内容。
一楼是主要的核心内容。
二楼是设置和优化内容。
三楼是探索和分析内容。

     声明一下，为了确认Norton Security 22.0.2的架构我安装了没有试用期的版本，无法更新特征库，因此特征库是原始安装包的特征库，不要跟SEP的特征库比大小，本文不是比特征库大小的，而是解读SEP 12.1.5的变化，所以我就不去重新安装NS 22试用版更新特征库了。

第一节-SONAR区别

     众所周知NS 22的最大的特点之一就是新一代SONAR技术，也就是BASH 9.X系，SONAR的架构和引擎版本都是9.X系的，下面是NS 22.0.2原始BASH特征库中的SONAR版本和主程序下SONAR架构的版本。
Norton Security SONAR 引擎版本9.x


Norton Security SONAR 架构版本9.x


     SEP通常情况下是与个人版的Norton相差一个版本的，比如说整体架构个人版是12的时候，SEP的可能是11的版本，这是企业版追求稳定的原因。
     有趣的是SEP 12.1.5虽然SONAR架构刚刚升级到Norton 21版拥有的SONAR 8.X系，但是SONAR的引擎却是跟NS 22相同的9.X系，只是由于整体架构是SONAR 8.X系，所以理论上SEP 12.1.5的SONAR仍然可能弱于Norton Security 22，当然这还有其他原因，稍后解读。
SEP 12.1.5 SONAR 引擎版本9.x


SEP 12.1.5 SONAR 架构版本8.x


我们也可以使用SEP 12.1.5自带的工具查看组件的各自版本号。
点击主界面上的防护定义是最新的，就可以查看相关组件的版本。


     正因为SEP 12.1.5追求的是稳定，SONAR的整体架构也是落后于Norton个人版产品的，在@bbszy   的帖子http://bbs.kafan.cn/thread-1786275-1-1.html中发现的问题，也是因为SEP 12.1.5的SONAR  架构的原因，当然这是原因之一，另一个主要原因是因为SEP的SONAR更新周期远远大于Norton，也就是说Norton在更新了N次SONAR特征库的时候，SEP的SONAR特征库或许刚刚更新一次，这也就是在测试样本过程中Norton永远领先SEP的SONAR最重要放原因之一。
      简单的说Norton的SONAR架构不仅仅领先SEP，更重要的是SONAR特征库更新更快，这注定会出现Norton SONAR报的样本，SEP不报的情况，因为SEP还要考虑到SONAR的误报和稳定性，自然会在查杀和应急上弱于个人版的SONAR。

第二节-架构对比

     上一节中Norton Security 22的SONAR可以说是完胜SEP 12.1.5的SONAR，本节说的是SEP 12.1.5与NS 22的整体架构，这个我想我不需要多说，大家可能已经猜到本节的优胜者会是谁，但我还是把下面的内容写出来吧。
     先说Symantec Library也就是CC体系的核心架构版本，在NS 22上Symantec Library版本是最新版本的SL也就是13.X版本，而在SEP 12.1.5上的Symantec Library版本是12.X系，要知道Norton 21的Symantec Library版本就是12.X系的哦。
Norton Security 22.0.2的Symantec Library版本13.X


SEP 12.1.5的Symantec Library版本12.X


看来SEP 12.1.5真的还是落后NS 22一个版本啊，大家是不是已经猜到这个结果？
接下来说一下开发SEP 12.1.5和NS 22的开发架构区别吧。

     开发这两款软件的开发软件都是Microsoft的VS中C 语言，而C的运行时库有不同版本，如果是依靠VS 2010开发的软件需要C的第十个版本运行时库，以此可以确定软件是被什么版本C开发出来的，这个我已经在之前的帖子说过，就不啰嗦了，来看看SEP 12.1.5与NS 22的C运行时库区别吧。
Norton Security 22依靠的是C的110运行时库。


SEP 12.1.5依靠的是C的90、100、110三个版本的运行时库，真的是有一点乱。


     由此可见，Norton Security 22的Symantec Library 13是有很大性能和稳定性上的优势，毕竟依靠的是单一的C 11代运行时库，这一次在总体上的Symantec Library架构方面，又是NS 22完胜SEP 12.1.5了。

第三节-IPS对比

     现在是IPS的对比，直接直入主题，对比结果是NS 22完爆SEP 12.1.5的IPS而且是大获全胜，秒杀SEP 12.1.5的IPS，可以说是Norton 21都可以秒杀掉最新版本的SEP 12.1.5，因为SEP 12.1.5的IPS引擎体系是12系，而Norton Security 22的IPS是14系引擎，二者相差两代之多。
Norton Security 22的IPS引擎是14系


SEP 12.1.5的IPS引擎是12系，是不是很老？


     尽管SEP 12.1.5的IPS引擎版本是落后于NS 22的IPS引擎版本的，但是IPS特征定义二者是相差无几的，因此在IPS的防御效果上相差不是很大，只是NS 22的IPS引擎14系是可以将模块注入到浏览器的，而SEP 12.1.5的IPS引擎12系是不注入浏览器的。

第四节-查杀引擎

     虽然前三局是Norton大获全胜，可SEP 12.1.5是不会轻易认输的，这不SEP 12.1.5开始反击，让大家来看看SEP 12.1.5的反击如何吧，经过前几轮的热身，SEP 12.1.5现在已经准备好反击NS 22，本帖的好戏正式拉开序幕。

     众所周知，Norton Security的最大与众不同一个是下一代SONAR和新一代反病毒引擎，其中SEP 12.1.5拥有一半的下一代SONAR技术，这方面是落后于NS 22的，毕竟企业版追求的是稳定，所以SEP 12.1.5在SONAR的检测方面，始终落后于NS 22，这方面还是NS 22更胜一筹甚至是Norton 21都好于SEP 12.1.5。
     Norton Security 22的新一代反病毒引擎是添加了新一代启发式体系的反病毒引擎，但是病毒特征库的百分之八十被转移到云服务器，NS 22非常依赖于云的效果，这是NS 22的最大变化之一，新一代的引擎版本号是20141.xx之前不包含新启发式体系的引擎版本号是20131.xx，这就是说新版本反病毒引擎是20141.xx系。

     现在可以说重点内容了，也就是让NS 22引以为傲的新一代反病毒引擎不是NS 22的独有之物，SEP 12.1.5拥有20141.xx的全新反病毒引擎体系，而且原本的病毒特征库并没有被转移到云端，换句话说SEP 12.1.5有Norton Security 22的新启发式体系，更拥有NS 22不具备的完整病毒特征库，在这方面SEP 12.1.5应该是彻底完胜NS 22的，因为断网或者连接不稳定的话，SEP 12.1.5有更强的本地效果。
Norton Security 22部分新启发式文件（那些非可执行文件）


SEP 12.1.5部分新启发式文件，升级到最新版本，所以会比NS 22大一些，实际上NS 22更新以后与SEP 12.1.5的启发式文件大小是差不多的


Norton Security 22原始特征库大小，更新以后大概是140MB~200MB之间


SEP 12.1.5更新到最新版特征库的大小是900MB＋，完整的病毒特征库位于本地，完爆百分之八十病毒特征库在云端的NS 22


Norton Security 22 核心引擎版本是20141系


SEP 12.1.5核心引擎版本是20141系，与NS 22完全相同的反病毒引擎，特征库却完爆NS 22


     大家现在是不是已经看到SEP 12.1.5的绝地反击？这一个本地的完整特征库，是不是让断网或者连接云不稳定的NS 22望尘莫及？这也是SEP 12.1.5安装包不包含特征库的原因，因为SEP 12.1.5会自动下载最新版本的反病毒引擎体系，当然SEP 12.1.5的反击还不仅仅是这些，更多内容，下一次更新。

第五节-新代驱动

     SEP 12.1.5的反击才刚刚开始，我想先让看一下SEP 12.1.5和NS 22.0.2的核心驱动文件的对比图，注意这是核心驱动不是引擎驱动也不是IPS和SONAR的驱动，就是主体的驱动，看完以后，大家会发现还是NS 22的驱动版本新一个版本，但是，注意一下SEP 12.1.5是没有SYMDS和SYMEFA驱动的，这就是重头戏了。
Norton Security 22.0.2核心驱动的版本，六个驱动文件在同一个位置


SEP 12.1.5核心驱动的版本，四个驱动文件，缺失SYMDS和SYMEFA驱动，其他驱动版本落后于NS 22


     SYMEFA是赛门铁克产品的驱动中最重要的驱动，它是不会消失的，可为什么SEP 12.1.5没有这个驱动呢？实际上SYMEFA是变身了，在Norton Security 22上的SYMEFA版本是4.4系，可是在SEP 12.1.5上则是变身为SYMEFASI驱动依然是EFA驱动（似乎可能是SYMDS与SYMEFA的融合体驱动），不过版本是让Norton Security 22现在望尘莫及的5.0系版本，而且是独立的驱动位置C:\Windows\System32\Drivers\symefasi\0500010.01F（代码）文件夹，文件从900KB＋大小变身为1.2MB＋大小，是最新版本的核心驱动，完全藐视NS 22的SYMEFA 4.4驱动版本，这个核心驱动真的是让NS 22望而生叹啊。
SEP 12.1.5的SYMEFASI驱动版本5.0


这一个SYMEFASI核心驱动是不是就让SEP 12.1.5再扳回一局？当然SEP 12.1.5还没有停止它的反击，下一节的SEP 12.1.5会再继续反击NS 22，这也是让我喜欢上SEP 12.1.5的原因之一。

第六节-专业防火墙

     已经扳回两局的SEP 12.1.5还能继续反击NS 22么？答案当然是肯定的，SEP 12.1.5的反击不仅如此，要不然标题就不会写SEP 12.1.5是出乎意料的强悍，这一次胜过Norton的是SEP传统优势，专业级的CMC Firewall，它是Symantec收购的技术，一直存在于企业版中，个人版只能是依靠symnets.sys驱动完成大部分的驱动层功能，然而SEP则有Teefer.sys V3这个CMC Firewall驱动，当然还不仅如此，接下来继续说一下CMC Firewall的情况。
CMC Firewall助力SEP拥有网络活动查看功能，查看应用程序的联网各种信息


CMC Firewall助力SEP拥有强悍的隐身功能，以及更详细的功能设置


CMC Firewall Teefer.sys V3驱动，SEP专享的CMC体系驱动


     CMC体系拥有各种网络管理和端口控制的功能模块，这方面是CMC的强项，符合企业用户的需求，而且在操控性方面，是一个专业级的防火墙产品，也是SEP的看家本事之一。


     虽然在Insight的联动方面，Norton Security 22的防火墙好一些，但是整体的操控性，以及功能完整性，这方面还是SEP 12.1.5的CMC Firewall更胜一筹，当然Norton个人版的防火墙在智能化方面也是不错的，只是跟企业版的专业级防火墙相比，没有什么太大优势，默认情况下SEP防火墙也是几乎不需要设置的，几乎没有什么弹框。

第七节-HPP模块

     尽管SEP 12.1.5在SONAR检测率方面彻底落后于Norton 的SONAR，可SEP的主动型威胁防护不仅仅是这个样子，可以说SEP还是有独到之处，在主动型威胁防护的设置中除了SONAR的设置之外，还有可疑行为检测和系统更改检测，很多人认为个人版也是有这些功能的，可事实真的如此吗？答案即将揭晓。
主动型威胁防护的可疑行为检测和系统更改检测


     大家都知道SONAR的本质是BASH技术，也就是Behavior Analysis and System（Security） Heuristic的意思，而BASH并不仅仅是SONAR，还有其他的效果，在SEP体系主程序文件夹里包含三个bash的相关文件，这是Norton个人版没有的，几个BASH文件是被SEP核心服务加载的，而与用户提供交互的模块是一个名为HPPProtectionProviderUI的动态链接库，而本意是Heuristic Process Protection，这是Norton系列没有的BASH功能。
SEP 12.1.5 BASH独有文件的加载情况


SEP 12.1.5的HPP模块文件HPPProtectionProviderUI


     HPPProtectionProviderUI和SEP独有的BASH文件，是组成主动型威胁防护中可疑行为检测和系统更改检测的模块，当然也控制SONAR的策略，尽管主动型威胁防护中的可疑行为检测和系统更改检测都被称为SONAR功能，可这些功能是依靠SEP独有的BASH和HPPProtectionProviderUI来完成的，而我没有发现Norton有HPPProtectionProviderUI，换句话说，SEP的主动型威胁防护中的系统更改检测和可疑行为检测，很可能是Norton不具备的功能，但是Norton依靠强大的SONAR检测率，在SONAR方面还是更胜一筹的。
     不过SEP的HPP模块或许在某些情况下还是有优势的，尤其是在企业版环境中，这也是SEP的一个特殊优势吧，也是SEP的传统功能，这或许就是SEP中的主防是主动型威胁防护，而不成为SONAR的原因之一吧。

     注意，值得一提的是BASH体系不单单应用到主动型威胁防护，在病毒和间谍软件防护中也是拥有一部分BASH效果的，单独关闭主动型威胁防护是不能彻底禁用BASH体系。

第八节-

PS：本区会因为本帖而再次焕发生机么？

郑重声明：

       本评测全部技术内容由卡饭驭龙撰写，转载请注明出处和原作者。

驭龙

第一节-优化硬盘占用

     我发现SEP 12.1.5的完整特征库有九百多MB大小，加上放在HUB的后备特征库文件，SEP 12.1.5的病毒特征库高达1.7X的GB大小，实际上是可以清理掉HUB文件夹的特征库的对查杀没有任何影响，具体方法如下。
SEP 12.1.5更新完成以后的病毒特征库大小1.72GB


清理完成以后的大小是900+MB的大小


     具体方法是启动主界面→更改设置→客户端管理→配置设置，然后点击防篡改，取消勾选框，点击确定，就可以将SEP 12.1.5的自我保护关闭。
操作如图所示


     关闭SEP的自我保护以后，访问C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.5337.5000.105（版本号）\Data\Definitions\VirusDefs\BinHub文件夹，全选文件，之后删除BINHUB文件夹里的全部文件
操作如图所示


     删除后备特征库以后，重新启动主界面→更改设置→客户端管理→配置设置，然后点击防篡改，勾选勾选框，点击确定，就可以让SEP 12.1.5的自我保护重新启动。

     尽管删除后备特征库没有什么副作用，但我还是觉得在系统盘空间充足的情况下，还是不要删除这个后备特征库文件了，毕竟现在也不在乎这么一点硬盘的占用，还是保留比较好，当然删除的话，问题也不是很大。

第二节-功能设置

     实际上SEP 12.1.5的默认设置几乎已经够用了，不需要其他的设置什么的，不过应饭友的要求，我把我的设置情况跟大家分享一下，实际上也没有说什么值得注意的，因为大多数情况下，默认设置足够用了。
病毒和防间谍软件防护设置的情况如下图所示


全局设置中可以把启发式开到主动，最下方的浏览器更改主页，可以把自己浏览器的主页地址输入，这样发现威胁以后，SEP不会改IE首页地址。
下载智能扫描的等级，6或者7都可以，我是选择的7，但我推荐各位设置为6。
自动防护的高级中，一定要关闭文件高速缓存下加载新定义时重新扫描高速缓存，否则更新以后会对硬盘的资源占用很大很大。


个人觉得网络威胁防护的设置默认就可以，我没有改动网络威胁防护的相关设置，默认设置足够了。


主动型威胁防护的设置如下图所示


我把SONAR设置为全部隔离，同时开启主动模式。（注：终止进程前提示和停止服务前提示，请不要勾选，否则的话，SEP会因为等待用户选择而不会立即阻止威胁的活动）
可疑行为检测的设置是高风险禁止，低风险提示。
系统更改检测的设置我也是全部设置为提示，不过我也推荐大家设置为仅记录也可以的。

     以上是我个人的设置观点，仅供参考，实际使用上可以根据各自的情况进行相关设置，不必参考我的设置，大多数情况下SEP的设置，默认是够用的，当然也可以部分参考我的设置，也可以根据实际情况修改相关设置。

驭龙

第一节-扑朔迷离的SAPE

     自从九月份以来Symantec的特征库中出现了名为SAPE.Heur.xxxx数字的报法，个人觉得可能是新启发式体系，姐夫觉得是自动分析的应急码，但由于官方没有公布SAPE的启发情况，现在还无法确定SAPE是什么东西，所以SAPE是很神秘的东西。

     福哥在这个帖子http://bbs.kafan.cn/thread-1786335-1-1.html里放出了被Norton 产品报的SAPE Heur样本，可是SEP 12.1.5却并没有报这个样本，要知道SEP 12.1.5也是使用20141系引擎的，为何会没有SAPE报法？这个是让我有一点摸不着头脑的，要知道通过SEP 12.1.5的特征库更新记录是可以确定SEP 12.1.5是有SAPE Heur入库的。
SEP 12.1.5特征库下更新记录中包含SAPE Heur的定义更新


     我取来五百个11日的样本，让SEP 12.1.5大开杀戒，虽然杀496个样本，但是没有SAPE Heur的报法，其他各种报法都有，就是没有SAPE报法。
查杀的日志如下


     或许真的像姐夫说的那样，SAPE是自动分析的应急特征码也说不定，但是现在官方没有相关信息，本节内容仅供参考。

      我个人猜测这个SAPE的意思，会不会是System Analysis Portable Executable的缩写？如果是这样，那真的有可能是系统自动分析PE的应急特征码，所以我本次的测试才没有出现SAPE Heur的报法，当然现在只是分析而已，最终结果需要等官方的公布了。

第二节-SAPE相关信息

     SAPA.Heur.xxx的报法是从九月份加入的，之后十月份和十一月份开始疯狂的入库，但上一节的测试，我并没有触发SAPE的报法，这是让人有一些摸不着头脑的，接下来我简单的说一下我个人的观点和发现。
SEP十月份的更新日志
http://www.symantec.com/security ... il.jsp?mdid=2014-10

SEP十一月份的更新日志
http://www.symantec.com/security ... il.jsp?mdid=2014-11

日志中有数不胜数的SAPE.Heur.xxxx的报法，添加到特征库之中，可为什么个人版中可以看到SAPE而企业版中却很少见到呢？
我在论坛看到这个帖子http://community.norton.com/forums/sapeheur47bb
官方回复的意思是说这是启发式检测，而47bb代表的是一种PUA的潜在的不需要应用Smartbar报法http://www.symantec.com/security ... 2014-110415-4518-99
原文如下

Thank you for reporting this issue. The engineering team was notified and a new virus definition was deployed on November 3rd, 2014.
This heuristic detection was confirmed to be targeting a Potentially Unwanted App named Smartbar.

     我猜测SAPE.Heur.xxx的报法每个启发编号都代表着一种威胁特征，在拥有完整特征库的情况下，可能会以特征码的名称报法优先，所以SEP 12.1.5测试中没有出现SAPE报法，而Norton的特征库不完整，而且查杀效果更好，所以可以看到Norton报SAPE而SEP不报的情况。

     当然以上只是猜测，官方只是说这是启发式检测，其他并没有过多的内容，因此，本节的分析仅供参考，一切内容等官方公布为准。

     很早以前有一种启发式报法叫W32.SAPE.Cloud，相关链接http://www.symantec.com/security ... 2013-112015-3703-99
个人觉得有可能这次的SAPE.Heur.xxx就是新一代的启发式，说不定以后是为了取代大部分特征码的，这也不是没有可能，当然也有可能像姐夫说的那样是应急的自动分析也说不定，所以我们还是等官方公布相关内容吧，这个话题先告一段落。

柚子and蜂蜜

驭龙 发表于 2014-11-11 17:54
占位备用

         UI没变还是不用

驭龙

柚子and蜂蜜 发表于 2014-11-11 18:33
UI没变还是不用

界面不代表一切，只要足够强大的内部构造足以

kerlee

用了个人版的架构?

柚子and蜂蜜

驭龙 发表于 2014-11-11 18:34
界面不代表一切，只要足够强大的内部构造足以

   SEP的sonar版本是？

驭龙

kerlee 发表于 2014-11-11 18:40
用了个人版的架构?

主体的程序架构是12.0也就是NIS 21的，但NS 22引以为傲的变化，差不多这个SEP有百分之七十以上，而SEP有的，NS 22不一定有，二者各有千秋了

Miostartos

该死的云信誉抽风
注定无缘

驭龙

柚子and蜂蜜 发表于 2014-11-11 18:43
SEP的sonar版本是？

8架构 9引擎，混合体，具体内容我明后天更新