【转帖】重点认清两个国外杀软的脆弱本质：NOD32与驱逐舰（欢迎讨论，但不要激动）

network

【转帖】重点认清两个国外杀软的脆弱本质：NOD32与驱逐舰（欢迎讨论，但不要激动）



我的观点很明确：在国外主流杀软中，最应该被鄙视的，就是nod32和驱逐舰！

先说资源占用问题。
这是一个被NOD爱好者无限夸大和无限自豪的优势。
但是，各位装了NOD的朋友，看看你的任务管理器，NOD占用了多少内存。25M左右！
和他占用差不多的，有没有呢？有！小红伞、大蜘蛛和驱逐舰。其中驱逐舰占用最少，10M左右，安静状态下只有4-5M。大蜘蛛占用也比NOD低，不超过20M。红伞比NOD稍微高一点。

好，说到这里，很多人又要说PF占用。确实，资源占用不能以内存占用作为依据，PF值和cpu占用才是最有参考价值的，内存占用只能体现一个很小的方面，因为卡巴7的内存占用也很低，安静时只有10多M甚至更低，但流畅性上，确实不及NOD。

究竟谁的PF值更高，我没有办法测试，但我可以肯定的告诉大家，驱逐舰是最低的（下面会讲到为什么它很低），NOD32和大蜘蛛不相上下（只是大蜘蛛扫描时很卡，跟强大的脱壳能力有关系），红伞虚拟内存占用比较大，60-70M，但很流畅，不占CPU。

再说查杀率问题。
这是一个被NOD32爱好者用资源占用低的理由而无限掩饰的问题，且不断的以官方说明企图说服其他人。官方说明是怎么样的？我总结一下：高启发、高查杀（N次过vb100%）、低占用。我现在要说的，就是这个高查杀的问题。

VB100%的权威性不可置疑，但是，测试的环境是在欧美，在中国这样网络环境比欧美复杂NNN倍的国家，NOD的高启发能起多大作用？光一个小小的auto，一天变种就几百个，更不用说灰鸽子、机器狗、磁碟机，以及数也数不清的广告软件和流氓插件，NOD能启发几个？

在差不多资源占用的情况下，小红伞的查杀率远远超过NOD，大蜘蛛的查杀率也绝不在NOD之下，且脱壳能力远远超过NOD。这话有人反对吗？没人反对的话，那选择NOD的理由在哪里？只剩一个理由了：中文化！

接着说本地化问题和授权问题。
经过上面的论述，选择NOD，似乎只有本地化这一个理由了。相比红伞和蜘蛛，NOD有中文版，这是唯一的优势（这一点，我很无奈），对于普遍英文水平不高的国人来说，虽然红伞和蜘蛛的界面只有无比简单的几个单词，但是他们仍然习惯于中文界面，于是，像nod32和驱逐舰（驱逐舰为什么劣质，后面说）这等劣质杀软便在中国大行其道，加上随处可见的破解、ID、私服等等，其拥护者与日俱增，让人痛心。。。。
说到授权问题，NOD反盗版力度还是很大的，ID一般用不了几天就被封了，私服也被官方查封。相比之下，红伞免费的C版，基本免费了的P版（常有免费KEY申请），有升级器的蜘蛛，都比NOD升级要来得容易，仅仅因为一个英文界面和本地化宣传，用户数量便拉开了差距。

说累了，举几个例子：
熊猫来袭时，NOD和国产三大一样倒下了，坚挺的是小红伞。（不是倒下那么简单，而是病毒彻底干掉了，破坏了。卡巴当时也不能查杀，但至少没有被病毒破坏自身文件，而后通过快速的升级反应，迅速解决了问题）
AV终结者及无数auto变种猖獗时，NOD表现出了和国产三大一样的脆弱，虽然我并不知道红伞和蜘蛛可以抵御多少变种。
臭名远扬的灰鸽子，NOD经常视而不见，加之没有防火墙，基本无力抵挡。而红伞却表现出非常优异的杀鸽能力，被称为：杀鸽专业户。（在鸽子问题上，NOD还不如金山）
机器狗、磁碟机，这两个更不用说了，NOD的脆弱表露无疑（多数杀软都被过），而且升级反应速度很慢，补救措施迟缓，至今，仍有不能查杀的已知特征。

种种现象让我不得不怀疑：NOD的启发，究竟有什么用？

继续说启发问题。
这是nod一向引以为自豪的技术，正是有这项技术的支撑，NOD的开发真拒绝大规模升级病毒库，而秉承精简原则，至今，NOD的病毒库不超过20万。我不知道NOD的启发究竟属于哪一种，不过据我了解，应该不是行为模拟启发，更像是虚拟启发。可是，没有病毒库的支持，虚拟启发能有多大的威力？能识别多少变种？（启发出来也识别不了，浪费了一个好引擎）
NOD仍然属于传统的特征码杀软，在没有庞大病毒库支撑的情况下，再厉害的启发也是徒然。加上它本身又不带主动防御功能，查杀率能上得去吗？
PS：红伞是行为模拟启发，加上超过100万的庞大病毒库，高查杀率是必然的
        蜘蛛应该是基因启发（和AVAST一样，这种启发，能最大程度修复被病毒感染的文件），借助强大的脱壳能力，找到病毒代码，28万的病毒库也远超NOD
        卡巴属于虚拟启发，同样有50多万的病毒库作为后盾

再说一下自我保护问题。
NOD的自我保护属于自欺欺人，表面上，结束它的进程后，它会重启进程，但是，进入系统服务设置，看看NOD服务项恢复选项卡，你会发现，“选择服务失败时计算机的反应”这个选项，“第一次失败”“第二次失败”后的动作都默认是 “重新启动服务”，也就是说，NOD只是利用了系统自带的一个服务保护功能，使进程被结束后可以重启，并非自身的技术。而在这种设置下，用冰刃多结束几次NOD的进程，就发现NOD被干掉了，启动不了了。（有基础的朋友可以自己测试，图我就不贴了）而真正的自我保护，并不是依赖服务，而是依靠驱动，多数杀软上述服务项的默认设置均为“无操作”，即使“无操作”，你也是无法结束它的进程的，比如卡巴、诺顿等。

最后说一下驱逐舰。
这个东西，用一句不客气的话来说，简直就是垃圾，虽然使用了大蜘蛛4.33的引擎，但并不是一个完整的引擎。我个人猜测，可能只是得到了查杀方面的功能，因此，不难解释，驱逐舰查杀能力不弱，修复能力不弱，可是监控上，连国产三大也不如，也就直接导致，它的资源占用非常的低。
驱逐舰的监控=基本无监控，各位驱逐舰使用者，请尽快抛弃这个高丽棒子的劣质货。

总结：
综合防护：NOD不及KIS、FS、诺顿、趋势科技、麦咖啡、熊猫卫士、BD等著名杀软
资源占用：NOD不及大蜘蛛，比红伞稍低
扫描速度：NOD不见比熊猫卫士也就是panda 快，也不见得比第二次扫描（采用ichecker、iswift记忆技术）的卡巴快
启发引擎：NOD不见得比大蜘蛛、小红伞强
查杀率：NOD不及小红伞、KIS、FS、BD、AVK等强力杀软
本地化：NOD不及卡巴
授权问题：NOD不及红伞，红伞C免费，P也基本免费
防火墙：NOD V3的防火墙不堪一击，和其他套装防火墙有较大差距
主动防御：NOD没有这个功能

结论：NOD没有单独防护计算机的能力，必须配以其他安全软件，比如HIPS类、沙盘类、辅助杀软类、杀马类、防火墙类等。同样，小红伞和大蜘蛛也没有单独防御的能力，但是，小红伞超强的查杀，弥补了这个弱点，在单独使用的情况下，小红伞显然比NOD更安全。

NOD只有一项技术站在世界前沿，那就是高启发，可惜没有病毒库的支撑，高启发也就成了炫耀技术的实验室产物，对提高查杀率没有质的提升。
给NOD的建议：加强病毒特征收集力度；扩充病毒库；加快升级反应速度；加快上报反应速度；多重视一下中国用户。

PS：本人着重推荐的几款杀软
低端配置：小红伞P
中端配置：卡巴 KIS7.0
高端配置：BD2008、FSCS 7.10企业版

以上观点仅代表个人意见，与论坛无关，仅供各位参考，欢迎拍砖！
2008.1.17  发表于雨林木风
小三

sharenet

看了以上的NOD不及... 那为什么是VB100%呢??????????????

network

了解一下。枪手水分多