Sophos Home 功能、UI展示&介绍

761773275

之前一直没人介绍Sophos Home的功能，其实骚护士防御挺骚的现在就简单介绍下
控制台有网页翻译，就不用我多介绍了，不算复杂

1.实时扫描，监控：
-Sophos 是基于云的实时扫描，本地的AI，而且监控灵敏度无法调节（我猜是存取时扫描）
-监控发现威胁后会提示并终止程序，然后几秒钟或数十秒删除（我个人猜测是将信息上传至云端并隔离）
-AI会杀破解，但误报不算高，不知道是不是Sophos识别我是China，自动在监控哪里排除了PUA AI（这样有可能会减低AI检测）我取消了排除

-云杀（网差有几率会漏）试过实机不杀，到虚拟机就杀了


-AI检测 ，可以通过检查文件的行为，预测文件是否为恶意的预执行【貌似还会调用、依赖病毒库】


-这里提示处理完成

-检查到大量威胁通知


2.AMSI防御 （Sophos AMSI Protection 、Win10）

-Sophos的带有AMSI扫描、保护 ，可以防御脚本攻击


3.漏洞利用保护


4.行为防御（HollowProcess）漏洞防御应该也是这样提示、

-下图防御（有可能是注入）发邮件官方给出的解释是这样的：
-HollowProcess是一种技术，在这种技术中，受信任的应用程序（如explorer.exe）
或者svchost.exe——被加载到系统上，仅仅作为恶意代码的容器，，，---类似于代码注入，执行恶意代码，在信任的程序下被掩盖，并-且可能逃避防御和检测分析。https://www.sophos.com/medialibrary/Gated%20Assets/white%20papers/Sophos-Comprehensive-Exploit-Prevention-wpna.aspx



5.反勒索软件（CryptoGuard）
-之前领悟过骚护士的强大了https://bbs.kafan.cn/thread-2187345-1-1.html
-护士的CryptoGuard可以检测勒索软件并且回滚操作、文件（根据加密技术的类型）回滚必须CryptoGuard能检测出来 才可以滚，佛则gg
-曾经测试过白加黑勒索，护士CryptoGuard可以杀，不愧是老HitmanPro了

-个人觉得CryptoGuard反应还是很快的，拦截点靠前，而且这种拦截界面很合我口味[:01:]
-白加黑ps：护士不是单纯靠桌面诱捕的，所以之前测的白加黑也拦截了，不过跑规则就导致反应慢了。（加密了点，确信）



-CryptoGuard 回滚（当时骚货这里反应逆天）



6.HIPS
-骚护士是有HIPS的，不过是虚的，继承了HitmanPro，但没有把他全部发挥出来，改成了类似主防的东东（个人猜测是用打分的方式判断）暂时没发现有隔离，只是仅仅阻止 （控制台也不会有提示，HIPS是最迷的）拦截纯靠运气
-只有双击才会触发


7.网页防御、过滤


-下图这里是拦截了黑名单

-下图是过滤了你自己设定类型的网页

-遇到挂马


8.恶意流量检测（MTD）

-检查来自非浏览器应用程序的所有HTTP通信，检测到异常流量会显示一个早期指示，表明可能存在新的恶意软件

因为检测到恶意流量，这是24小时后的自动扫描



9.隐私保护、网上银行

-保护你的摄像头，防御键盘记录器
-当有软件试图访问您的网络摄像头时，Sophos 会提醒您。您可以阻止此操作，也可以允许该操作





10.扫描

-骚护士本地软件只能快速扫描，如需全盘扫描，右键我的电脑 选择Sophos扫描仪，网页端也可以远程扫描，不过个人用不上

-快速扫描

-全盘扫描


-控制台一键扫描（不确定是那种扫描）


11.隔离区隔离区在控制台，需要前往控制台恢复，如图





12.说下怎么优化下Sophos因为真的挺卡的，22个后台[:01:]


-我是这样的，先全盘扫描一次，不过我不知道有没有减缓存。。扫了还是挺卡的
-然后到软件里面把一些你信任的大型软件给排除了，例如这样



13.其他
1-目前行为防御和HIPS只有企业版实现开关，个人版无法设置


2-会强行设置管理员提权提示



3-自我保护BUG
在本地关闭自保后不理，过段时间重启或者云端自动恢复，会导致监控、保护一直提示没有打开，要手动关一遍自保再打开才恢复正常。



4-病毒文件过大 ，会导致监控检测后可能要等很长时间才处理（可能后台要上传）
5-卸载建议关了自我保护才卸载，不然有几率中奖（我就中过）
中奖意思是卸载了提示重启，然后重启了骚货还健在，没卸载到（因为自保），然后无限轮回。。。
https://bbs.kafan.cn/thread-2118404-1-1.html
而且官方貌似没有傻瓜式卸载程序，有个麻烦点的：
https://support.home.sophos.com/hc/en-us/articles/115005679923-Unable-to-install-uninstall-Sophos-Home-Windows



=============================================

总结：
优点：
1. UI好看，现在谁不看脸[:01:]
2. AI检出率还不错的，样本区表现还是属于正常水平，不算差，也不算好
3. 反勒索很强，反应很快，还有回滚（回滚才是精华啊）[:14:]

缺点：暂时不推荐使用（原因）
1.误报破解是常事，解除还要上官网。。官网抽风了还要挂工具上
2.云不稳定，AI有可能会连接云，监控不报，然后扫描就报了。。暂时没发现漏毒（执行会一定扫）
3.还是云不稳定，发现了毒慢吞吞不清，等的我烦（直接删了毒[:01:]）
4.装了之后明显明显拖慢了系统，开机15秒变25，是我用了这么多的杀软最卡的，，我觉得Sophos要好好优化了，客服挺好的
5.还有很多其他小问题，这要用了才知道，我一时也说不出来，例如扫描没有进度条，扫到那个文件，主防杀了文件不描述是什么组件杀的。。

-护士样本上报：https://support.sophos.com/suppo ... sion?language=zh_CN

如有补充，可以在评论区回复

温馨小屋

学习学习，以前只知道骚护士企业版牛逼，别的一无所知

761773275

温馨小屋 发表于 2021-2-13 23:58
学习学习，以前只知道骚护士企业版牛逼，别的一无所知

最近我一查才知道Sophos静静的变牛逼，软件大概半个月大更新一次

yiohar

不是我的cylance才号称是AI杀毒吗？你这AI介绍的哈哈哈

65d0c2

yiohar 发表于 2021-2-14 11:04
不是我的cylance才号称是AI杀毒吗？你这AI介绍的哈哈哈

智量：我呢？

761773275

yiohar 发表于 2021-2-14 11:04
不是我的cylance才号称是AI杀毒吗？你这AI介绍的哈哈哈

他的翻译
Artificial Intelligence (Machine Learning)   

企稳向好

护士的ML还是不错的，误报可以接受，检测率比较高。就是PUA的ML误报高些，之前的模型把我的360急救箱给端了

静影沉璧

不错，已经搞了个企业版玩玩

761773275

静影沉璧 发表于 2021-2-14 13:04
不错，已经搞了个企业版玩玩

我觉得现在企业版UI不行，弹窗是win10自带，好难看，，


之前那个好点

a8855942

22个进程。DG拦截也 靠前。