|
|
初用NOD32系列杀软有必要了解的事(12月修改版)转帖自精睿论坛:http://bbs.vc52.cn/viewthread.php?tid=12271&fromuid=151752
(有删减)
原作者:哇哇。。(OTAKU)
关于版本
1、同样是NOD32 3.0 EAV是不带防火墙的 ESS是带墙的 但ESS的墙个人不建议使用
(ESS 3 672版本以下防火墙epfwtdi.sys提权漏洞,建议升级至684,EAV及2.7,4.0不受影响)
2、NOD32 4.0已经发布 同样属于EAV及ESS版本号 加入了部分ESET的工具类组件
(参见:ESS Beta 4.0.68.0的设置及功能说明http://bbs.vc52.cn/thread-53634-1-1.html)
3、NOD32 2.7是当年成为微软部分部门使用的杀软,其设置等和3.0后版本不同,组件可自定义安装,比较适合超级烂机,有破解无限版——但不晓得维护更新到何时
4、以上三个版本,查杀率3.0后的新版稍高,但3.0和4.0相同,都改进了反隐形驱动等,如无特别需要,优先考虑
5、小版本号:HOME,BUSSINESS都是主机产品,查杀率和功能一致,而NOD32企业版并非BUSSINESS版,个人用户并不适合,企业版没有查杀的比较优势
关于升级
1、ID是NOD32 3.0注册码的统称,私服则是私人搭建的升级服务器 ID是你使用官方服务器时用的大部分私服都是免ID的
2、ID分为EAV和ESS两种及通用版
2种ID都是EAV-@@@@@@@@的格式(除了30天试用版内置的ID:esstrial25/vqwe8e7u77)。
3、私服多数不需要ID即可升级 但是大多数私服和官服有时间差距 官方升级都需ID
4、关于病毒库及升级
以往周六周日NOD32休息很少升级但也有特别情况,升级可以使用ID获取器、填入ID或申请活动等
关于杀毒(防水,欢迎意见)
1、NOD32是启发式杀软
所谓启发式,并不是某些枪文所说的最新技术,启发式分析的使用已经有十年之久。
处理恶意软件时,启发式分析使用基于规则的方法来诊断一个有潜在威胁的文件。分析引擎的工作是基于自身规则库的,它依据规则检查恶意软件存在的可能性,当找到一个匹配的规则时可能就会被标记为可疑文件并进行处理。
7、NOD32的误报
病毒的识别是介于两种要素的平衡:避免漏报(没有检测出存在的病毒感染)和误报(错误地报告不存在的病毒感染),启发式分析的精确度依赖于预设规则的强度。使用启发式的杀软是不太可能完全消除误报的,如果对误报的控制可以为相当部分用户接受,那么规则库本身要做出某种妥协,这一点所有使用启发式技术的杀软都很难避免。
回顾来看,NOD32的确发生过误报,但毕竟是正式进入名录的杀软,对官方迅雷和正常的修改版、QQ修改版之类并不会毫无节制的报毒。应当说,其对误杀的控制保持在一定水准。
8、NOD32的查杀
启发式杀软可以添加行为拦截器和监控器,以及完整性检查来改进自己的查杀,但是查与杀是两个问题:前者,依赖保持长久以来对新进规则库定义的准确高效,后者,则牵涉到两个情况:查杀后是否能清除,及在木马程序替换为合法系统必须的程序时,安全软件是否只能删除文件,而不能修复文件(这一点很少看到NOD32等多数主流杀软修复)。
这些都不是以往的成绩可以决定的,现在的水平也决定不了将来,需要跟进病毒的演进进行完善,目前,NOD32的查杀率首先并不算到低,可以肯定的是,比起国产三杀以及国际三大有曾有效率乃至水准上的优势;清除引擎在2.7时代确有问题,目前新升级的版本也已有所改善。
但是,对于国产的高级木马及病毒,NOD32等通过定义了多组特征码,虽然给免杀造成了一定的工作量,但并不能说是彻底的解决办法,需要辅助。结合软件的易用等考虑,对普通用户来说,目前的某些版本是可以做到适合部分需求的,同时查杀也保持相对国内所谓企业主流的一定优势。
注意:NOD32默认配置没有开启高启发,默认配置无法防御部分U盘病毒等。
注意:NOD32不查杀恶意软件如3721,雅虎助手等。
8、NOD32的病毒库为何相对小
早期的启发式扫描使用经过优化的简单检测模式,它只搜索目标中可能存在特定病毒的部分文件。(如果一个病毒只将核心代码存储在被感染文件的头尾,就没有必要扫描整个文件),其后,特征库(不再仅包括文件头之类,也包括输入输出表等)的演进了这一思路,一句话,启发式技术不需要将所有病毒本体全部纳入病毒库中,病毒库因而相对小。
因此,病毒库的大小不是总与杀毒有关。
关于占用
1、NOD32不是占用的神,比他占用小的杀软很多 这已经说了很多次了 不太明白不要紧,错误认识要不得
关于ESS的墙和NOD32 HTTP防护
1、不建议新手开始就用ESS 如果没有程序控制的要求 墙的防御目前恐怕内网还是ANTIARP等合适
精睿半数的用户反馈源自ESS的墙 EAV是比较安全的选择 如果有程序控制等需求,建议参考辅助安软一节
2、HTTP防护以后官方是否可考虑只对几个特殊浏览器进程标注
3.0的一些版本开始,HTTP防护经常拦截某些中国特色软件如迅雷、QQ等访网,如果发现个别程序无法访网或很“卡”,请去HTTP防护内打X。
NOD32的HTTP防护同绝大多数杀软一样,是扫描器的HTTP防护,没有溢出防护,没有0day防御等。
关于辅助安全
1、不要同时安多个大型杀毒软件
所谓大型:套装,带墙,带HIPS,带HTTP防护。涉及系统核心,冲突很难避免。
如果是单纯的扫描器杀软一般可以考虑,如AVIRA C,DR.WEB等,但不保证在所有平台上都完全兼容。
2、EAV+什么样的防火墙(ESS不能加常见的个人防火墙)
一类软体只能解决一类人的需求 这里只是建议 如果转贴可以考虑省去
根据偏重需要对号入座,不用全安,重复多了安软比病毒还可怕
反ARP:ANTIARP个人版,风云防护墙
程序出站控制(普通用户):PC TOOLS Firewall;Vista firewall control
包过滤(进阶用户):CHX,8signs(都玩到这个份上也不用我说了吧)
程序出站控制(进阶用户):ZA防火墙,OP防火墙,风云防护墙,LNS防护墙+规则包,PC TOOLS Firewall+规则包
4D hips(进阶用户与上一推荐二选一):COMODO CIS或FW;PROsecurity或今后的RTD PRO;中网S3,OA防火墙,GesWall
3、NOD32+什么辅助
一类软体只能解决一类人的需求 这里只是建议 如果转贴可以考虑省去
根据偏重需要对号入座,不用全安,重复多了安软比病毒还可怕
反挂马(普通用户) :畅游巡警(IE浏览器),Noscript(火狐、FLOCK浏览器等),REMOVE IT(傲游浏览器)
反U盘病毒(普通用户) :AntiURun,超级巡警U盘巡警
反间谍和恶意软件(普通用户可选做非启动常驻辅助):金山清理专家(如果不继续变臃肿的话),360,Spybot - Search & Destroy多语版
反间谍和恶意软件(进阶用户可选做非启动常驻辅助): A2,Lavasoft ad-aware,Ashampoo AntiSpyWare 2,COMODO BOCLEAN
其他(普通用户):,IPsec策略,Dr.web CureIt!,小红伞 C版,小红伞、DR.WEB等绿色右键版
反挂马(进阶用户):linkscanner(全浏览器),ZoneAlarm ForceField(英文,IE及FIREFOX),RefControl,(火狐、FLOCK浏览器等)
其他(进阶用户):Threatfire,IKARUS CMD Scanner,Returnil Virtual System,SandBoxie
4、ESS是带墙套装,加装常见的个人防火墙绝大多数要冲突,安装前也应卸载其他的。 |
|
IP卡
狗仔卡
发表于 2008-12-28 10:49:14
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-1-2 13:26:19