本帖最后由 皇柝 于 2010-4-11 16:47 编辑
扫描目标:
KFVL【2010.03.15】共计100个样本
第一轮:只开病毒库,无启发、高启
右键扫描KFVL
一共仅仅扫出31个样本
第二轮:病毒库+启发,不开高启
右键扫描KFVL
居然还是只扫出了31个样本?无语
第三轮:病毒库+高启
右键扫描KFVL
出了90个样本
第四轮:病毒库+启发+高启
右键扫描KFVL
依然是90个
第五轮:启发+高启
右键扫描KFVL
84个?可能统计有误,不过不要紧,大致上已经清楚了
第六轮:纯高启
注:想开纯高启的话NOD32是不给开的,一定要关联病毒库或者启发
总结:
这是给大家在调“实时防护”时的Threatsense引擎参数的时候做的一个参考,看看怎么选择才能做到
“扫描时间”与“扫描效果”平衡,而扫描时间则比较清晰的反映出了“卡机”的程度,事实上看来,NOD32的病毒库其实反而是“对启发的优化”
我是建议勾选病毒库+启发+高启,当然如果配别的杀软的话(比如红伞),那还是把高启关了吧,否则这日子是没法过的了
附一张扫描时的CPU占用图
很显然是单核占用,看来对NOD32对多核的优化并不好
再给大家看看我平时NOD32的实时监控设置
因为我还配了个熊猫云查杀,所以不开高启了,笔记本用基本不卡机
============================万恶分割线======================================
03.17的样本: 这进一步证明了,病毒库很大程度上是对启发的优化,只有一部分是加强查杀能力 所以,NOD32并不很依赖病毒库升级,当然,最佳方案还是病毒库+启发+高启的实时监控
附:熊猫云查杀扫描剩余样本 (仅扫描“病毒库+启发”未开高启的剩余) 剩余16个,为84%
但是用NOD32(病毒库+启发+高启)进一步扫描剩余的16个样本,仅清除了2个 说明这里剩余的14个样本中已有很多被熊猫清除其中威胁 上图中,有9个样本被修改为97字节,说明病毒已被清除
也就是说,实时监控下(确切的应该定义为文件系统实时防护),NOD32开了毒库启发高启+熊猫是可以达到95%的查杀率 如果不开高启是93%,看来熊猫+NOD32还是不错的,可能病毒运行以后还会有所收获,因为动态启发是NOD32的强项,但是实机不敢测试,呵呵,见谅了 | 
[复制链接]
发表于 2010-3-17 08:48:15
发表于 2010-3-17 10:29:14
