浅谈NOD32与HIPS、防火墙的搭配

SUPERODD

这是本人使用NOD32的一些经验，给大家分享一下！
未经同意严禁转载！



首先要说明，如果你是玩组策略或裸奔的高手的话，那你可以直接无视这篇文章了。

如果你是不是用KIS之类已经是4D的安全套装的话，那么至少应该配备1个AV、1个HIPS、1个防火墙。如果你还用一些辅杀的（例如Dr.Web的CureIT和AVG7.5之类的）那就更好了。
EAV不完美。EAV对Rookit技术不敏感，而且对国内的木马反应比较慢，而且检出率也不是很高。另外，千万别用默认设置，不然有你受的。故，要配备一些安防小软件。
建议使用360安全卫士（或超级兔子、优化大师、Windows清理助手）（杀流氓、补漏洞）、彩影ARP（如果你处在局域网的话）、Spyware Doctor（杀木马）。
但是要说明的是，360、超级巡警、卡卡之类的仅仅是安全工具，所谓的防护也只是监视很少一部分注册表而已，不要以为这些号称有“主动防御”功能的东西是HIPS。这些东西你用起来感觉不错，但其实并不然。别以为你能玩转360就是电脑安全高手，但实际上还差得远呢！真正的安全高手是用组策略的！很多人被枪手们意淫出来的东西灌输多了，就认为一个AV再加个360就无敌而又百毒不侵了。只用一个360或其他的东西远远不够！让枪手们去见鬼吧！
HIPS，要玩就玩真的！像EQ、TF就是很正宗、很强悍的HIPS。
关于HIPS，Host Intrusion Prevent System，主机入侵防御系统，通俗来说就是系统的防火墙。和传统的网络防火墙不同，他是防止恶意的程序在你的系统里发生作用。很多新手不明白HIPS有啥用，在此SUPERODD被老手批都要讲一下，HIPS非常重要，假设你的系统是一座城市，那么杀毒软件就是城内的公安，网络防火墙就是外围的边防武警。而HIPS就是隐藏在高处监视城市，防止混水摸鱼进来的坏人作恶的狙击手。很多新手说HIPS老是弹出对话框，烦，其实，这是你的狙击手在请示你是否击毙。当然，狙击手只是一名小兵，他的判断能力不如你这个城市的市长强，所以才请示你，当然，你也需要一双金睛火眼，不然一不小心打死了个便衣警察或税务局的什么的就惨了...很多人嫌它麻烦，而且问一些看起来很高深的东西，所以很多新手干脆不用。这是很危险的。你嫌烦就用EQ+“安静得可怕”规则包吧。
其实平心而论，EAV真的已经很优秀了。能够有效应对各种强悍的蠕虫、和大部分的木马以及部分恶意软件（特指3721之类的）。但是貌似他对Rookit隐藏技术不甚敏感，这是致命伤之一。不知为何，EAV的Web保护也有问题，是关于解压缩文件的，（具体偶不说了，问bdrdc版主去）这个也可能导致病毒的成功入侵。在挂马网页猖狂的今天，没有很好的Web防护体系是一个很大的问题。但是HIPS却能够起到一定的弥补，因为即使病毒成功进入了你的计算机，它也必须运行，一运行，就会暴露行踪，被HIPS发现。现在的HIPS大多都不够智能化，还是需要用户具备比较强的知识。当前智能化做得稍微好一些的是ThreatFire，现在已经有中文版了。这也是SUPERODD在多种搭配中多次提到他的原因。现在能够反HIPS的病毒还不多，（SUPERODD前些日子发现一些能够在关机前几十秒内毙掉EQ的木马，骇人啊！）因此HIPS还是能比较有效地遏制病毒。
关于组策略，其实这个东西是最好的HIPS，而且是系统自带的，并且不占资源。很多新手看到组策略里密密麻麻的一堆字就头昏脑胀了，（其实SUPERODD对组策略也没懂多少，嘻嘻）但是如果你认真去学习，去研究，其实，这个组策略是很优秀的。它还甚至可以起到一些防火墙的作用呢！
还需要说明的就是NOD32的生存能力太弱，不能像喀吧那样可以直接安装到带毒的机子上，也不能象诺顿一般进程被结束后5分钟不到就“春风吹又生”。两下子被病毒结束掉egui.exe和ekrn.exe两个进程然后基本上就等于扁掉NOD32了，接着再来个映象劫持什么的，然后另一台电脑前的黑客小朋友就笑了...（说实话，NOD32的egui.exe进程甚至可以用任务管理器直接结束掉，Orz ）
大家还提到的恶意软件也是NOD32的一个死敌。有时恶意软件也能杀AV不眨眼的。而且而已软件大多很凶悍，NOD32又如此脆弱，Eset该向尤金大哥的卡巴斯基学习啊！能杀病毒、木马不能杀恶意软件算啥啊？国内诸如鸭壶助手、3721之类的流氓头两下子就进来了～如果你用IE7就还好一些，什么，你用IE6？ OTZ
因此，没有HIPS只用NOD32也是很危险的。
如果你认为单用一个AV也行，这就是大错特错了。如果你与病毒的斗争经验够强的话你甚至可以只用扫描工具+HIPS+墙就行了，扫不出来的可以手工杀。只有AV是远远不够的。别以为没人会去对你的机子进行网络攻击，如果是这样，那些黑客天天都在喝三鹿啊？那么多的端口扫描工具干嘛的？找IP又为了啥？玩？
只用HIPS+墙，可以；只用AV，不可以。因为AV只能对本机病毒发生作用，而不能对网络攻击发生作用。那么多肉鸡怎么来的？很多人都是不用防火墙，然后自己的机子被入侵了还不知道，自己还沾沾自喜——“嘿，我的机子真快。终究有一天，会有黑客找上门来的。这里指的是网络防火墙。只有EAV不足以抵挡来自网络的攻击。这里SUPERODD要喊出偶们的国骂：TMD！中国的互联网这个鬼地方，像DNS、ARP、DDoS之类的网络攻击层出不穷，系统里没有一个防火墙是很危险的事。且不说DDoS这么凶猛的攻击，要是没有防火墙，一个ARP欺骗就足够了。
在千禧年来临时，SUPERODD还是一个电脑盲。当时只听说过病毒这邪门的东西很厉害，能让电脑坏掉（后来才知道这是CIH）。可是，偶当时却不知道有一样东西和病毒一样可怕，那就是网络攻击。当年第一个因为DDoS攻击而崩溃的就是雅虎，然后是亚马逊等知名网站......当时雅虎仅仅遭受50台计算机组成的“僵尸网络”的DDoS攻击就挂了。今时今日，再想用几十台机子对某个知名网站发动DDoS攻击已经不可能了，可是对普通的家庭、办公用户来说却绰绰有余。通常是找一些肉鸡，用ARP欺骗之类的方法入侵，远程植入木马，然后组成僵尸网络发动DDoS攻击。中国是“肉鸡”大国，是世界上受“僵尸网络”影响最严重的国家。而且很恐怖的是，在你看着这篇文章时，可能你的机子已经成了肉鸡，正在向某个“僵尸网络”集结，准备发动网络攻击。中国内地960万（如果偶没记错的话）的肉鸡就是这样来的！
听到这里你可能已经对各种网络攻击毛骨悚然了。“哇塞，会不会有人对我发动DDoS攻击啊？”可能多数人会这么问，但答案是否定的。虽然DDoS攻击威力巨大，一般防火墙难以防御（像冰盾之类的专业墙可以抗住DDoS），但是对一台机子发动DDoS不划算，万一只是网吧或一些手机营业厅只用来下载MP3的呢？所以黑客不会这么蠢，对一台个人计算机发动DDoS攻击。DNS攻击现在已经不怎么难防御了，而溢出攻击又难度太大，所以黑客们一般选择ARP攻击。ARP欺骗是个很老的话题了，自从有了TCP/IP协议的那一刻起它就存在了。曾起何时，ARP不过是大学校园的“赖皮”学生用来争抢IP的一种技术手段而已！而现在利用ARP攻击方式盗取密码的事情数见不鲜！由于ARP攻击导致频繁掉线的事情频频出现，让人很恼火。国内已经有很多专门防ARP的墙，如360ARP、彩影、金山ARP之类的，但是要有效才好。别听说XX墙很厉害，你就去用，其实还是那句——适合自己的才是最好的!
还有很多网友提到的良好的上网习惯也很重要。其实这仅仅是一些看起来不起眼的身边小事。比如说不上黄色站、不追看八卦新闻、不点一些看起来很有噱头的网页、上完网清理缓存、删除历史文件和Cookies等等。这些都能让你受益匪浅。
别以为光有良好的上网习惯就好了，其实，AV+HIPS+墙+良好上网习惯才是最好的。重点旨在HIPS和上网习惯。习惯不好，再无敌也终有中招的一天（但不是说习惯好HIPS和墙就没用了）。AV实际上是最次要的。病毒哪里来？网络。抵御病毒最关键的就是HIPS和良好的上网习惯，至于应对网络攻击的防火墙又是另外一回事了（网络病毒入侵≠网络攻击）。
不要以为自己的AV或360不报毒就是安全，自己感觉好就是安全。其实如果你换个别的AV或辅杀的查一下可能就又揪出一堆病毒来。所以像Dr.Web的CureIT和卡巴斯基的AVP Tools之类强劲的扫描工具就必不可少了。危机感是必须的，但是不是让你患上AV强迫症。经常注意升级病毒库，并偶尔做一次全盘扫描，这都是很有益的。
当遇到HIPS、防火墙或NOD32不能运行时时不要慌着重装系统，先看看他们的目录下是否有ws2_32.dll这个文件，有的话一定要用粉碎机碎掉。这个东西会阻止他们运行。再不行就下载Autoruns来看看是否被映像劫持了，注意用之前一定要将它的主程序改名（譬如改成Aut0runs.exe）。如果这两招都不行的话就看看进程列表里是否有NOD32、HIPS、防火墙的进程，如果没有，那么就可能是病毒在不停地结束他们的进程。这时你会非常地卡。你不妨可以试一下http://bbs.vc52.cn/thread-47569-1-1.html的方法，用嗑毛豆3保护进程。如果还不行的话就重装吧。
有人说NOD32或一些智能HIPS会报QQ工具栏之类的是危险程序，其实，他们并没有报错。这些ActiveX插件、IM都不是安全的程序（譬如0day漏洞），他们可能成为黑客入侵的一扇门。不要慌慌张张地喊“错杀”，排除不了再说也不晚。
新人切勿凭自己的主观意识去判断进程好坏，这是很危险的。正常的程序一般会有图标，（譬如QQ会有企鹅的图标）而大部分病毒程序却是没有图标的，只有很少一部分“钓鱼型”病毒（骗你点击）会含有一些引诱性的图标。新手要注意HIPS拦截的程序的程序名，大部分智能HIPS（规则类HIPS就什么都拦，新手不建议用）都能分辨出并放行系统进程（如svchost.exe、system、System Idle Process等），当他们拦截到类似“rundl132.exe”的程序时就要当心了。新手往往容易以为“system.exe”这类的伪装者是正常的系统进程（系统的system进程是没有“.exe”后缀的），所以请睁大你的眼睛。
关于2.7版的NOD32，SUPERODD觉得如果不是电脑古董到连512M内存都没有（要是你的电脑连256M内存都没有的话请问你怎么上来卡饭的？），应该尽量用3.0的。2.7也有2.7的好，譬如说资源占用小、引擎成熟、扫描高效等。但是相比起3.0，2.7还是有它的缺陷所在，譬如对国内的木马还是不太感冒。2007年熊猫烧香袭来时，2.5版的NOD32还是扛住了，但是面对2008的“毒王”磁碟机和“老二”机器狗，2.7还是没有3.0来的高效。
偶还发现NOD32可以和一些特定的杀毒软件共存。譬如装了EAV再装avast的话avast的监控会被废掉，变成纯绿色的扫描杀毒软件。
佐罗昨天半夜冒了个险，在EAV+嗑毛豆3的情况下尝试装小红伞（以前试过小红伞+嗑毛豆3），一切搞的心惊胆颤，但还是成功了。唯一的遗憾就是偶的机子太差了，至今未完成任何一次扫描...囧
虽然不是说杀毒软件装得越多越好，但是多出的杀毒软件可以作为你防御的第二把手，并肩作战。如果机子没有1G内存以上建议不要玩这样的“杀毒软件的SLI*”。

*注：SLI的全称是Scalable Link Interface(可升级连接界面)，它是通过一种特殊的接口连接方式，在一块支持双PCI Express X16插槽(注意这里只是插槽而不一定都具有16条PCI Express Lanes)的主板上，同时使用两块同型号的PCI Express显卡，以增强系统图形处理能力。


搭配有3个原则：
1.适用性
这世界上没有绝对的安全组合。如果是例如一些企业的财务部之类安全性要求高的电脑，但是却单用EAV，那无疑自取灭亡。但又如果是一些配置相当古董的机子却要用EAV+OP+TF，那也是自作孽。要选择适合自己的，如果不满意，还可以多换着用试试。反正精睿里的资源一大堆，又是免费的，不用白不用。可是不要只是换着玩，一天重装几次系统，那可是在慢性地杀害你的硬盘。

2.兼容性
例如KAV8.0和ZA7.0就会有严重的冲突，甚至可能导致蓝屏。当发现兼容性不行时，应立即卸载。假若兼容性问题太严重（像蓝屏、无法进系统之类），如果有Ghost就Ghost，或者用WINPE来卸掉不兼容的，实在不行就BIOS引导光盘重装系统。千万不要用ESS等有防火墙的安全套装再另外搭配防火墙或安全套装！例如ESS和OP或ZA搭配就会有严重的冲突。切记！

3.安全性
假如只用EAV的话，碰上局域网的ARP很容易就挂掉了。假如只用ESS的话一个免杀就可以把它毙掉了。所以，我们不能只追求流畅和兼容性，还要注意安全性（用X星的网友们注意了哈）。偶们需要的，是在安全、兼容与流畅间取得一个平衡。

SUPERODD

好了，废话不多说，往下看吧！




1.ESS单独。（适合电脑盲，电脑配置差）
至少也能挡住多数病毒。虽然迟早得中毒身亡，但有比没好。关于ESS的弊端可以看这里。用ESS的同志一定要勤看顶置和高亮的帖，多学习组策略。

2.ESS+SSM。（适合有点安全知识，电脑配置差）
引用某高人的话说，ESS的墙很差，但不是很弱。ESS貌似没有应用程序防护和注册表防护的，所以要拉上SSM小朋友。正好也补上了SSM小朋友文件防护的不足。

3.EAV+嗑毛豆3.0（适合安全知识较强，英语好，电脑配置一般）
免费的嗑毛豆3.0内置了HIPS，还是很强悍的。加上EAV如此优秀的杀毒软件比较安全。当然，如果你不是看到进程之类的东西就头晕的话。嗑毛豆无论从哪一方面都是不容置疑的。

4.EAV+PC Tools(Look'n Stop)+EQ Secure或ThreatFire（适合有一定安全知识，电脑配置一般）
EQ乃国内一相当出色的HIPS，相当厉害。免费的PC Tools墙很好，很优秀。LNS内核相当强劲，但是它是免费的且很易用，尽管不能跟嗑毛豆、ZoneAlarm和OutPost平起平坐。PC Tools和EQ更是一对完美的搭档。

5.EAV+OutPost或ZoneAlarm+ThreatFire（或EQ）（适合安全高手，电脑配置好）
不用说了，都是相当杰出的产品。注意！WindowsXP SP3下千万别同时用ThreatFire和OutPost，会造成键盘和鼠标无法使用！

6.EAV+微点 （适合有一定安全知识，电脑配置一般）
相辅相成，EAV弥补了微点不能扫描的缺点，微点弥补了EAV没有墙和主动防御能力不足的缺点。这个组合就算你不是高手也能较轻松地玩转。

7.EAV+风云+ThreatFire（适合安全知识较强，电脑配置一般）
风云墙乃国内崛起的新星，搭配TF不错。

8.ESS+EQ Secure+安静得可怕规则包（适合电脑盲，电脑配置较差）
这个估计是最省心的了，新手用这个，摆脱HIPS的“对话框综合症”吧。

9.EAV+EQ Secure（或ThreatFire）+嗑毛豆2.4（适合安全知识较强，电脑配置一般）
嗑毛豆2.4是中文版的，英语不行的网友不用发愁了，她和3.0也一样强大，只是没有HIPS而已。所以要用EQ或TF。无论是EQ还是TF都是相当出类拔萃而又强悍的HIPS。

10.EAV+Sandboxie沙盘+嗑毛豆2.4（适合安全知识较强，电脑配置一般）
不知道沙盘是什么东西的网友赶紧到HIPS资源整合索引这里恶补吧。嗑毛豆2.4免费且高效，是网络防护的不二选择。

11.EAV+沙盘+OutPost（适合有安全知识较强，电脑配置一般）
OP是一款强而有力的防火墙，Matousec成绩相当优异，很强悍，很专业，加上沙盘，拒毒于门外。

12.EAV+ThreatFire或EQ Secure+PC Tools（适合有一定安全知识，电脑配置一般）
同样出自PC Tools的TF和PC Tools防火墙都是HIPS和防火墙领域的佼佼者。EAV的监控相比2.7有利一定的进步。

13.NOD32 2.7+Sandboxie沙盘+PC Tools（适合安全知识较强，电脑配置较差）
2.7版的NOD32还是老当益壮的，用沙盘来对付网络的各种威胁，2.7作扫描，PC Tools防火墙，不失为一种不错的选择。

14.NOD32 2.7+嗑毛豆3（适合安全知识较强，电脑配置较差）
用这个组合需要很强的知识，因为2.7的防御体系有一定的缺陷，导致防御重任落在嗑毛豆3的Defense+上了。Defense+成熟，稳定。

15.NOD32 2.7+ThreatFire或EQ Secure+PC Tools（适合有安全知识较强，电脑配置很差）
智能化程度较高的TF，可以比较有效地弥补2.7版NOD32的缺陷，LNS内核的PC Tools和同出名门的TF可是一对“黄金搭档”。

16.NOD32 2.7+Returnil+PC Tools（适合安全知识较强，古董电脑）
Returnil的作用与影子系统相似，用粉碎机把PCT、NOD32和系统文件等统统“杀清光”，重启后又恢复正常。此组合在一定程度上损伤硬盘（因为Returnil和影子系统之类的还原软件会让硬盘重复读取一个扇区，导致该扇区寿命变短）。

17.NOD32 2.7+微点（适合有一定安全知识，电脑配置较差）
微点其实就是类似嗑毛豆3之类的HIPS+防火墙安全套装。微点没有扫描功能，这是个遗憾。NOD32 2.7的正好补上。

18.NOD32 2.7+SSM+嗑毛豆2.4（适合安全知识较强，电脑配置较差）
2.7版的NOD32和3.0版一样都没有注册表防护以及完善的应用程序防护，而SSM正好弥补了。相对于很多HIPS，来自俄罗斯的SSM在资源占用方面还是做得不错的。嗑毛豆2.4也完全可以承担防护网络攻击的重任。

19.ESS+ThreatFire或EQ Secure（适合有一定的安全知识，电脑配置一般）
TF和EQ是当代智能HIPS中最杰出的代表。无论如何，TF和EQ都当之无愧。与ESS搭配时需要注意排除。另外ESS的墙需要根据自身状况好好设置一番。

20.ESS+Sandboxie沙盘（适合有一定的安全知识，电脑配置较差）
沙盘是另类的HIPS，是主动御敌于门外。ESS只承担杀毒和防网络攻击而已。


21.单用EAV或NOD32 2.7
很危险。除非你是玩组策略、沙盘、冰刃之类的高手。不是所有的人都会玩这些东西的，很多新手听到说“我也单用EAV，感觉不错”之类的屁话就傻乎乎地单用EAV了，然后自己的机子成了毒窝还浑然不知！





本文中所要用到的资源以及相关知识：
精睿 ESS & EAV 【中文商业特别版+纯净版-官方升级】
防火墙知识、资源、帮助及教程汇总索引
HIPS资源整合索引
PC Tools的产品下载
魔法盾 EQSecure网站
东方微点网站
病毒加壳技术与脱壳技术
Windows映像劫持技术（IFEO）介绍以及常用解决方案
精睿HIPS安全防护套餐第一期

术语表：
EAV=Eset NOD32 Antivirus（3.0）
ESS=Eset Smart Security （3.0）
嗑毛豆=COMODO
EQ=EQ Secure
SSM=System Safety Monitor
PCT=PC Tools Firewall
TF=ThreatFire
OP=OutPost
ZA=ZoneAlarm

与NOD32相兼容的杀毒软件列表(不定期更新)：
PC Tools Antivirus
Avira Antivir Free Antivirus
avast！Home Edition
Dr.Web CureIt
AVG Antispyware 7.5




欢迎大家拍砖！

******************************************************************************************

囧，把自己的文章转来卡饭不算抄袭吧？偶在卡饭可是个新人，请大家多多指教！

谢谢！你的支持就是偶更新的动力！


                                                                                                                                   谨此献给卡饭
                                                                                                严重郁闷的SUPERODD写于2008.12.28


附赠一首NOD32之歌

听雨轩主人

沙发支持佐罗!

夏日的风

你知不知你很烦的啊，这里来的人哪个需要你这样来教的。建议锁帖

asinasina

建议修改下字体颜色
浅浅的看不清楚
来支持下

SUPERODD

原帖由 夏日的风 于 2008-12-28 22:47 发表
你知不知你很烦的啊，这里来的人哪个需要你这样来教的。建议锁帖

偶哪里得罪你了?

The EQs

我才发现我属于电脑盲。。。。。。。。。。很好。。。。我闪人。。。。

Beloved

9.EAV+EQ Secure（或ThreatFire）+嗑毛豆2.4


comodo 2.4？

现在基本上都是3.0或者3.5了吧

ijackie

好古老的文章， 但还是顶，呵呵

SUPERODD

原帖由 ahu2422 于 2008-12-28 22:55 发表
9.EAV+EQ Secure（或ThreatFire）+嗑毛豆2.4


comodo 2.4？

现在基本上都是3.0或者3.5了吧

是啊～
2.4岁然古董，但贵在中文...
囧