查看: 85571|回复: 375
收起左侧

[原创] SEP 12.1.5来袭,出乎意料的强悍,看完本帖你还期待NS 22么?[11更]修复图片

  [复制链接]
驭龙
发表于 2014-11-11 17:53:22 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2015-1-9 10:30 编辑

前言:

      最近写评测已经上瘾了,参加了几个活动,现在活动结束了,但是写帖子的兴趣丝毫不减,虽然这里没有奖品什么的,不过那毕竟都是浮云,我写帖子又不是为了区区的奖品,我在本区已经有三篇精华帖,我始终还是喜欢Symantec的产品,因此本篇帖子争取拿本区的第四个精华帖。

     虽然我说不写Norton Security的帖子,不过我今天写的是Symantec Endpoint Protection 12.1.5的内容,并没有食言,不是么?今天先开帖,明天开始更新帖子的内容。


先透露一下,这次的SEP 12.1.5真的是异常的强悍,让我想起了几年前SEP 12.1.2的变化,这次则是有过之而无不及。

我更新本帖的顺序是从大家关心的内容开始,先更新最受关注的内容,本帖不分章节的顺序,随性更新内容。
一楼是主要的核心内容。
二楼是设置和优化内容。
三楼是探索和分析内容。


     声明一下,为了确认Norton Security 22.0.2的架构我安装了没有试用期的版本,无法更新特征库,因此特征库是原始安装包的特征库,不要跟SEP的特征库比大小,本文不是比特征库大小的,而是解读SEP 12.1.5的变化,所以我就不去重新安装NS 22试用版更新特征库了。

第一节-SONAR区别

     众所周知NS 22的最大的特点之一就是新一代SONAR技术,也就是BASH 9.X系,SONAR的架构和引擎版本都是9.X系的,下面是NS 22.0.2原始BASH特征库中的SONAR版本和主程序下SONAR架构的版本。
Norton Security SONAR 引擎版本9.x


Norton Security SONAR 架构版本9.x


     SEP通常情况下是与个人版的Norton相差一个版本的,比如说整体架构个人版是12的时候,SEP的可能是11的版本,这是企业版追求稳定的原因。
     有趣的是SEP 12.1.5虽然SONAR架构刚刚升级到Norton 21版拥有的SONAR 8.X系,但是SONAR的引擎却是跟NS 22相同的9.X系,只是由于整体架构是SONAR 8.X系,所以理论上SEP 12.1.5的SONAR仍然可能弱于Norton Security 22,当然这还有其他原因,稍后解读。
SEP 12.1.5 SONAR 引擎版本9.x


SEP 12.1.5 SONAR 架构版本8.x


我们也可以使用SEP 12.1.5自带的工具查看组件的各自版本号。
点击主界面上的防护定义是最新的,就可以查看相关组件的版本。


     正因为SEP 12.1.5追求的是稳定,SONAR的整体架构也是落后于Norton个人版产品的,在@bbszy   的帖子http://bbs.kafan.cn/thread-1786275-1-1.html中发现的问题,也是因为SEP 12.1.5的SONAR  架构的原因,当然这是原因之一,另一个主要原因是因为SEP的SONAR更新周期远远大于Norton,也就是说Norton在更新了N次SONAR特征库的时候,SEP的SONAR特征库或许刚刚更新一次,这也就是在测试样本过程中Norton永远领先SEP的SONAR最重要放原因之一。
      简单的说Norton的SONAR架构不仅仅领先SEP,更重要的是SONAR特征库更新更快,这注定会出现Norton SONAR报的样本,SEP不报的情况,因为SEP还要考虑到SONAR的误报和稳定性,自然会在查杀和应急上弱于个人版的SONAR。

第二节-架构对比

     上一节中Norton Security 22的SONAR可以说是完胜SEP 12.1.5的SONAR,本节说的是SEP 12.1.5与NS 22的整体架构,这个我想我不需要多说,大家可能已经猜到本节的优胜者会是谁,但我还是把下面的内容写出来吧。
     先说Symantec Library也就是CC体系的核心架构版本,在NS 22上Symantec Library版本是最新版本的SL也就是13.X版本,而在SEP 12.1.5上的Symantec Library版本是12.X系,要知道Norton 21的Symantec Library版本就是12.X系的哦。
Norton Security 22.0.2的Symantec Library版本13.X


SEP 12.1.5的Symantec Library版本12.X


看来SEP 12.1.5真的还是落后NS 22一个版本啊,大家是不是已经猜到这个结果?
接下来说一下开发SEP 12.1.5和NS 22的开发架构区别吧。

     开发这两款软件的开发软件都是Microsoft的VS中C 语言,而C的运行时库有不同版本,如果是依靠VS 2010开发的软件需要C的第十个版本运行时库,以此可以确定软件是被什么版本C开发出来的,这个我已经在之前的帖子说过,就不啰嗦了,来看看SEP 12.1.5与NS 22的C运行时库区别吧。
Norton Security 22依靠的是C的110运行时库。


SEP 12.1.5依靠的是C的90、100、110三个版本的运行时库,真的是有一点乱。


     由此可见,Norton Security 22的Symantec Library 13是有很大性能和稳定性上的优势,毕竟依靠的是单一的C 11代运行时库,这一次在总体上的Symantec Library架构方面,又是NS 22完胜SEP 12.1.5了。

第三节-IPS对比

     现在是IPS的对比,直接直入主题,对比结果是NS 22完爆SEP 12.1.5的IPS而且是大获全胜,秒杀SEP 12.1.5的IPS,可以说是Norton 21都可以秒杀掉最新版本的SEP 12.1.5,因为SEP 12.1.5的IPS引擎体系是12系,而Norton Security 22的IPS是14系引擎,二者相差两代之多。
Norton Security 22的IPS引擎是14系


SEP 12.1.5的IPS引擎是12系,是不是很老?


     尽管SEP 12.1.5的IPS引擎版本是落后于NS 22的IPS引擎版本的,但是IPS特征定义二者是相差无几的,因此在IPS的防御效果上相差不是很大,只是NS 22的IPS引擎14系是可以将模块注入到浏览器的,而SEP 12.1.5的IPS引擎12系是不注入浏览器的。

第四节-查杀引擎

     虽然前三局是Norton大获全胜,可SEP 12.1.5是不会轻易认输的,这不SEP 12.1.5开始反击,让大家来看看SEP 12.1.5的反击如何吧,经过前几轮的热身,SEP 12.1.5现在已经准备好反击NS 22,本帖的好戏正式拉开序幕。

     众所周知,Norton Security的最大与众不同一个是下一代SONAR和新一代反病毒引擎,其中SEP 12.1.5拥有一半的下一代SONAR技术,这方面是落后于NS 22的,毕竟企业版追求的是稳定,所以SEP 12.1.5在SONAR的检测方面,始终落后于NS 22,这方面还是NS 22更胜一筹甚至是Norton 21都好于SEP 12.1.5。
     Norton Security 22的新一代反病毒引擎是添加了新一代启发式体系的反病毒引擎,但是病毒特征库的百分之八十被转移到云服务器,NS 22非常依赖于云的效果,这是NS 22的最大变化之一,新一代的引擎版本号是20141.xx之前不包含新启发式体系的引擎版本号是20131.xx,这就是说新版本反病毒引擎是20141.xx系。


     现在可以说重点内容了,也就是让NS 22引以为傲的新一代反病毒引擎不是NS 22的独有之物,SEP 12.1.5拥有20141.xx的全新反病毒引擎体系,而且原本的病毒特征库并没有被转移到云端,换句话说SEP 12.1.5有Norton Security 22的新启发式体系,更拥有NS 22不具备的完整病毒特征库,在这方面SEP 12.1.5应该是彻底完胜NS 22的,因为断网或者连接不稳定的话,SEP 12.1.5有更强的本地效果。
Norton Security 22部分新启发式文件(那些非可执行文件)


SEP 12.1.5部分新启发式文件,升级到最新版本,所以会比NS 22大一些,实际上NS 22更新以后与SEP 12.1.5的启发式文件大小是差不多的


Norton Security 22原始特征库大小,更新以后大概是140MB~200MB之间


SEP 12.1.5更新到最新版特征库的大小是900MB+,完整的病毒特征库位于本地,完爆百分之八十病毒特征库在云端的NS 22


Norton Security 22 核心引擎版本是20141系


SEP 12.1.5核心引擎版本是20141系,与NS 22完全相同的反病毒引擎,特征库却完爆NS 22


     大家现在是不是已经看到SEP 12.1.5的绝地反击?这一个本地的完整特征库,是不是让断网或者连接云不稳定的NS 22望尘莫及?这也是SEP 12.1.5安装包不包含特征库的原因,因为SEP 12.1.5会自动下载最新版本的反病毒引擎体系,当然SEP 12.1.5的反击还不仅仅是这些,更多内容,下一次更新。

第五节-新代驱动

     SEP 12.1.5的反击才刚刚开始,我想先让看一下SEP 12.1.5和NS 22.0.2的核心驱动文件的对比图,注意这是核心驱动不是引擎驱动也不是IPS和SONAR的驱动,就是主体的驱动,看完以后,大家会发现还是NS 22的驱动版本新一个版本,但是,注意一下SEP 12.1.5是没有SYMDS和SYMEFA驱动的,这就是重头戏了。
Norton Security 22.0.2核心驱动的版本,六个驱动文件在同一个位置


SEP 12.1.5核心驱动的版本,四个驱动文件,缺失SYMDS和SYMEFA驱动,其他驱动版本落后于NS 22


     SYMEFA是赛门铁克产品的驱动中最重要的驱动,它是不会消失的,可为什么SEP 12.1.5没有这个驱动呢?实际上SYMEFA是变身了,在Norton Security 22上的SYMEFA版本是4.4系,可是在SEP 12.1.5上则是变身为SYMEFASI驱动依然是EFA驱动(似乎可能是SYMDS与SYMEFA的融合体驱动),不过版本是让Norton Security 22现在望尘莫及的5.0系版本,而且是独立的驱动位置C:\Windows\System32\Drivers\symefasi\0500010.01F(代码)文件夹,文件从900KB+大小变身为1.2MB+大小,是最新版本的核心驱动,完全藐视NS 22的SYMEFA 4.4驱动版本,这个核心驱动真的是让NS 22望而生叹啊。
SEP 12.1.5的SYMEFASI驱动版本5.0


这一个SYMEFASI核心驱动是不是就让SEP 12.1.5再扳回一局?当然SEP 12.1.5还没有停止它的反击,下一节的SEP 12.1.5会再继续反击NS 22,这也是让我喜欢上SEP 12.1.5的原因之一。

第六节-专业防火墙

     已经扳回两局的SEP 12.1.5还能继续反击NS 22么?答案当然是肯定的,SEP 12.1.5的反击不仅如此,要不然标题就不会写SEP 12.1.5是出乎意料的强悍,这一次胜过Norton的是SEP传统优势,专业级的CMC Firewall,它是Symantec收购的技术,一直存在于企业版中,个人版只能是依靠symnets.sys驱动完成大部分的驱动层功能,然而SEP则有Teefer.sys V3这个CMC Firewall驱动,当然还不仅如此,接下来继续说一下CMC Firewall的情况。
CMC Firewall助力SEP拥有网络活动查看功能,查看应用程序的联网各种信息


CMC Firewall助力SEP拥有强悍的隐身功能,以及更详细的功能设置


CMC Firewall Teefer.sys V3驱动,SEP专享的CMC体系驱动


     CMC体系拥有各种网络管理和端口控制的功能模块,这方面是CMC的强项,符合企业用户的需求,而且在操控性方面,是一个专业级的防火墙产品,也是SEP的看家本事之一。


     虽然在Insight的联动方面,Norton Security 22的防火墙好一些,但是整体的操控性,以及功能完整性,这方面还是SEP 12.1.5的CMC Firewall更胜一筹,当然Norton个人版的防火墙在智能化方面也是不错的,只是跟企业版的专业级防火墙相比,没有什么太大优势,默认情况下SEP防火墙也是几乎不需要设置的,几乎没有什么弹框。

第七节-HPP模块

     尽管SEP 12.1.5在SONAR检测率方面彻底落后于Norton 的SONAR,可SEP的主动型威胁防护不仅仅是这个样子,可以说SEP还是有独到之处,在主动型威胁防护的设置中除了SONAR的设置之外,还有可疑行为检测和系统更改检测,很多人认为个人版也是有这些功能的,可事实真的如此吗?答案即将揭晓。
主动型威胁防护的可疑行为检测和系统更改检测


     大家都知道SONAR的本质是BASH技术,也就是Behavior Analysis and System(Security) Heuristic的意思,而BASH并不仅仅是SONAR,还有其他的效果,在SEP体系主程序文件夹里包含三个bash的相关文件,这是Norton个人版没有的,几个BASH文件是被SEP核心服务加载的,而与用户提供交互的模块是一个名为HPPProtectionProviderUI的动态链接库,而本意是Heuristic Process Protection,这是Norton系列没有的BASH功能。
SEP 12.1.5 BASH独有文件的加载情况


SEP 12.1.5的HPP模块文件HPPProtectionProviderUI


     HPPProtectionProviderUI和SEP独有的BASH文件,是组成主动型威胁防护中可疑行为检测和系统更改检测的模块,当然也控制SONAR的策略,尽管主动型威胁防护中的可疑行为检测和系统更改检测都被称为SONAR功能,可这些功能是依靠SEP独有的BASH和HPPProtectionProviderUI来完成的,而我没有发现Norton有HPPProtectionProviderUI,换句话说,SEP的主动型威胁防护中的系统更改检测和可疑行为检测,很可能是Norton不具备的功能,但是Norton依靠强大的SONAR检测率,在SONAR方面还是更胜一筹的。
     不过SEP的HPP模块或许在某些情况下还是有优势的,尤其是在企业版环境中,这也是SEP的一个特殊优势吧,也是SEP的传统功能,这或许就是SEP中的主防是主动型威胁防护,而不成为SONAR的原因之一吧。


     注意,值得一提的是BASH体系不单单应用到主动型威胁防护,在病毒和间谍软件防护中也是拥有一部分BASH效果的,单独关闭主动型威胁防护是不能彻底禁用BASH体系。

第八节-





PS:本区会因为本帖而再次焕发生机么?

郑重声明:

       本评测全部技术内容由卡饭驭龙撰写,转载请注明出处和原作者。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 9分享 +3 人气 +10 收起 理由
hovereagle + 1 没有想到SEP这次这么给力!感谢分析
田藏锋 + 3 好久没看到这么精彩的帖子了
HEMM + 1 版区有你更经踩: )踩一爪子~
黑鹰99 + 1 赞一个!
bbs2811125 + 1 技术宅折腾党

查看全部评分

本帖被以下淘专辑推荐:

驭龙
 楼主| 发表于 2014-11-11 17:53:44 | 显示全部楼层
本帖最后由 驭龙 于 2015-1-9 10:26 编辑

第一节-优化硬盘占用

     我发现SEP 12.1.5的完整特征库有九百多MB大小,加上放在HUB的后备特征库文件,SEP 12.1.5的病毒特征库高达1.7X的GB大小,实际上是可以清理掉HUB文件夹的特征库的对查杀没有任何影响,具体方法如下。
SEP 12.1.5更新完成以后的病毒特征库大小1.72GB


清理完成以后的大小是900+MB的大小


     具体方法是启动主界面→更改设置→客户端管理→配置设置,然后点击防篡改,取消勾选框,点击确定,就可以将SEP 12.1.5的自我保护关闭。
操作如图所示


     关闭SEP的自我保护以后,访问C:\ProgramData\Symantec\Symantec Endpoint Protection\12.1.5337.5000.105(版本号)\Data\Definitions\VirusDefs\BinHub文件夹,全选文件,之后删除BINHUB文件夹里的全部文件
操作如图所示


     删除后备特征库以后,重新启动主界面→更改设置→客户端管理→配置设置,然后点击防篡改,勾选勾选框,点击确定,就可以让SEP 12.1.5的自我保护重新启动。

     尽管删除后备特征库没有什么副作用,但我还是觉得在系统盘空间充足的情况下,还是不要删除这个后备特征库文件了,毕竟现在也不在乎这么一点硬盘的占用,还是保留比较好,当然删除的话,问题也不是很大。

第二节-功能设置

     实际上SEP 12.1.5的默认设置几乎已经够用了,不需要其他的设置什么的,不过应饭友的要求,我把我的设置情况跟大家分享一下,实际上也没有说什么值得注意的,因为大多数情况下,默认设置足够用了。
病毒和防间谍软件防护设置的情况如下图所示


全局设置中可以把启发式开到主动,最下方的浏览器更改主页,可以把自己浏览器的主页地址输入,这样发现威胁以后,SEP不会改IE首页地址。
下载智能扫描的等级,6或者7都可以,我是选择的7,但我推荐各位设置为6。
自动防护的高级中,一定要关闭文件高速缓存下加载新定义时重新扫描高速缓存,否则更新以后会对硬盘的资源占用很大很大。


个人觉得网络威胁防护的设置默认就可以,我没有改动网络威胁防护的相关设置,默认设置足够了。


主动型威胁防护的设置如下图所示


我把SONAR设置为全部隔离,同时开启主动模式。(注:终止进程前提示和停止服务前提示,请不要勾选,否则的话,SEP会因为等待用户选择而不会立即阻止威胁的活动
可疑行为检测的设置是高风险禁止,低风险提示。
系统更改检测的设置我也是全部设置为提示,不过我也推荐大家设置为仅记录也可以的。

     以上是我个人的设置观点,仅供参考,实际使用上可以根据各自的情况进行相关设置,不必参考我的设置,大多数情况下SEP的设置,默认是够用的,当然也可以部分参考我的设置,也可以根据实际情况修改相关设置。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
白露为霜 + 1 版区有你更精彩: )

查看全部评分

驭龙
 楼主| 发表于 2014-11-11 17:54:05 | 显示全部楼层
本帖最后由 驭龙 于 2015-1-9 10:25 编辑

第一节-扑朔迷离的SAPE

     自从九月份以来Symantec的特征库中出现了名为SAPE.Heur.xxxx数字的报法,个人觉得可能是新启发式体系,姐夫觉得是自动分析的应急码,但由于官方没有公布SAPE的启发情况,现在还无法确定SAPE是什么东西,所以SAPE是很神秘的东西。

     福哥在这个帖子http://bbs.kafan.cn/thread-1786335-1-1.html里放出了被Norton 产品报的SAPE Heur样本,可是SEP 12.1.5却并没有报这个样本,要知道SEP 12.1.5也是使用20141系引擎的,为何会没有SAPE报法?这个是让我有一点摸不着头脑的,要知道通过SEP 12.1.5的特征库更新记录是可以确定SEP 12.1.5是有SAPE Heur入库的。
SEP 12.1.5特征库下更新记录中包含SAPE Heur的定义更新


     我取来五百个11日的样本,让SEP 12.1.5大开杀戒,虽然杀496个样本,但是没有SAPE Heur的报法,其他各种报法都有,就是没有SAPE报法。
查杀的日志如下



     或许真的像姐夫说的那样,SAPE是自动分析的应急特征码也说不定,但是现在官方没有相关信息,本节内容仅供参考。

      我个人猜测这个SAPE的意思,会不会是System Analysis Portable Executable的缩写?如果是这样,那真的有可能是系统自动分析PE的应急特征码,所以我本次的测试才没有出现SAPE Heur的报法,当然现在只是分析而已,最终结果需要等官方的公布了。

第二节-SAPE相关信息

     SAPA.Heur.xxx的报法是从九月份加入的,之后十月份和十一月份开始疯狂的入库,但上一节的测试,我并没有触发SAPE的报法,这是让人有一些摸不着头脑的,接下来我简单的说一下我个人的观点和发现。
SEP十月份的更新日志
http://www.symantec.com/security ... il.jsp?mdid=2014-10

SEP十一月份的更新日志
http://www.symantec.com/security ... il.jsp?mdid=2014-11

日志中有数不胜数的SAPE.Heur.xxxx的报法,添加到特征库之中,可为什么个人版中可以看到SAPE而企业版中却很少见到呢?
我在论坛看到这个帖子http://community.norton.com/forums/sapeheur47bb
官方回复的意思是说这是启发式检测,而47bb代表的是一种PUA的潜在的不需要应用Smartbar报法http://www.symantec.com/security ... 2014-110415-4518-99
原文如下
Thank you for reporting this issue. The engineering team was notified and a new virus definition was deployed on November 3rd, 2014.
This heuristic detection was confirmed to be targeting a Potentially Unwanted App named Smartbar.



     我猜测SAPE.Heur.xxx的报法每个启发编号都代表着一种威胁特征,在拥有完整特征库的情况下,可能会以特征码的名称报法优先,所以SEP 12.1.5测试中没有出现SAPE报法,而Norton的特征库不完整,而且查杀效果更好,所以可以看到Norton报SAPE而SEP不报的情况。

     当然以上只是猜测,官方只是说这是启发式检测,其他并没有过多的内容,因此,本节的分析仅供参考,一切内容等官方公布为准。

     很早以前有一种启发式报法叫W32.SAPE.Cloud,相关链接http://www.symantec.com/security ... 2013-112015-3703-99
个人觉得有可能这次的SAPE.Heur.xxx就是新一代的启发式,说不定以后是为了取代大部分特征码的,这也不是没有可能,当然也有可能像姐夫说的那样是应急的自动分析也说不定,所以我们还是等官方公布相关内容吧,这个话题先告一段落。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
柚子and蜂蜜
头像被屏蔽
发表于 2014-11-11 18:33:15 | 显示全部楼层

         UI没变还是不用
驭龙
 楼主| 发表于 2014-11-11 18:34:41 | 显示全部楼层

界面不代表一切,只要足够强大的内部构造足以
kerlee
发表于 2014-11-11 18:40:04 | 显示全部楼层
用了个人版的架构?
柚子and蜂蜜
头像被屏蔽
发表于 2014-11-11 18:43:13 | 显示全部楼层
驭龙 发表于 2014-11-11 18:34
界面不代表一切,只要足够强大的内部构造足以

   SEP的sonar版本是?
驭龙
 楼主| 发表于 2014-11-11 18:43:20 | 显示全部楼层
kerlee 发表于 2014-11-11 18:40
用了个人版的架构?

主体的程序架构是12.0也就是NIS 21的,但NS 22引以为傲的变化,差不多这个SEP有百分之七十以上,而SEP有的,NS 22不一定有,二者各有千秋了
Miostartos
发表于 2014-11-11 18:43:41 | 显示全部楼层
该死的云信誉抽风
注定无缘
驭龙
 楼主| 发表于 2014-11-11 18:44:19 | 显示全部楼层

8架构 9引擎,混合体,具体内容我明后天更新
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:34 , Processed in 0.142308 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表