微软御用金牌杀手Nod32解析

solomoncafe

Nod32是Eset公司推出的一款非常优秀的杀毒软件，他在各个著名的杀毒软件测试评比中获奖无数，特别是在一些全球发展的企业用户最看重的VB100%测试中表现非常好。创造43次参加VB 100%测试仅仅3次失手的神话。今年又是光荣的全平台通过（今年同样全平台通过的只有四家）。最近三年的VB100%测试，Nod32今年和前年都排名第一，获得VB100%白金级推荐，只有去年被老牌的企业级巨头厂商CA超越，屈居第二。因此，Nod32被安全业界称为金牌杀手。

    对于中国大部分用户来说，Nod32是一个陌生的名字，对于业界的很多安全专业人士来说，只是在看各个著名评测中经常看到他的名字，也知道是微软在拥有自己的杀毒软件前一直在内部御用的杀毒软件，却一直无缘真正的拿到他来体验一下他的能力（不但他以前没有中文版，Eset公司对于盗版的升级ID也封杀的厉害）。

    这种情况从去年年底开始有了根本的改变，香港二版科技开始代理Eset公司的产品，并迅速开展了在大陆、港台和新加坡推广，并发布了官方的简体和繁体的中文版。软件提供30天的试用。更让我们激动的是，从今年六月开始还提供了免费申请90天升级ID的活动，只要一个电子信箱就可以申请！

    这种情况下，很快Nod32就在大中华区的网络上掀起了讨论和研究的热潮。各大安全论坛都纷纷开始讨论Nod32的使用技巧以及他杀毒防毒能力的优劣。很快也就有了大量的Nod32的FANS。
Nod32强大在那里？

    说了这么多Nod32，不少普通用户恐怕还不知道他好在那里？Nod32的强大首先是在他先进的杀毒理念。下面是Nod32的软件架构图（摘自官方网站）
下面分别介绍一下Nod32的一些强大的模块

    Nod32对各种安全威胁的防护首先是靠入侵监测系统AMON，看了下面的设置图就知道，Nod32在后台监控的时候，发现有文件在开启、新建、执行的时候就进行扫描。由于他的ThreatSense扫描引擎非常先进，哪怕是电脑配置较低，AMON模块在后台监测的时候也对系统运行基本没有影响。(见附件）
   
   DMON模块是监视微软Office软件的模块，通过监视微软提供的API来验证宏病毒，是专门对付宏病毒的利器。EMON是通过MAPI接口监视微软Outlook的电子邮件收发模块（由于我用Foxmail，这个就没有启动了），IMON模块是网络监视模块，在Winsock的等级来防止恶意代码进入电脑，只要发现你所看的网页有威胁内容，就立即做出反应，同样由于ThreatSense引擎的的先进，你浏览网页的时候就根本感觉不到停顿，Nod32对于网络的监测防护是非常全面的，他在网络监测方面的功能在我试用过的软件中只有McAfee8.0!企业版比他强大。可以通过底层来拦截各种网络威胁(见附件）

IMON模块可以运用先进的Winsock技术来从网络底层就进行拦截（用AutoRuns检测）(见附件）
  Nod32的网络监视模块非常灵敏，这是我用IE从某论坛下载一个rar压缩附件的时候，还没有下载完，IMON就识别出压缩包里面包含木马！按停止就阻止下载。(见附件）
  Nod32模块就是手动扫描模块，有四种扫描模式可以选择。由于其ThreatSense扫描引擎的非常先进，他的扫描速度惊人！我用默认设置对我的C盘进行全盘扫描，总共扫描了90111个文件，只花了10分钟！是我所有试用过的杀毒软件中最快的。（注：是第一次做全盘扫描）(见附件）
   下面的镜像部分是为了局域网其他的Nod32更新做镜像和自己备份升级文件用的，后面的更新，日志，系统工具等模块都是比较常见的，也体现不了Nod32的强大所在，没有必要详细介绍了。

    最新的2.7版也给了大家不少惊喜，增加了Anti-stealth功能，支持反 Active Rootkit tool，可以防范活动中的Rootkit tool！（Rootkit tool是目前黑客活动经常用的入侵手段）另外还加强了区分病毒对象的清理能力（可惜现在暂时还没有中文版提供）。

    经过上面的介绍，大家对于Nod32的速度和系统资源占用的控制一定印象深刻，由于NOD32 的大部分代码都是用汇编语言编写，所以执行效率极高，官方网站所宣传杀毒软件换Nod32有如感觉硬件升级也不是夸张。但是这只是他优秀性能的表象，由于他曾经是微软御用的杀毒软件，和微软关系良好，一定程度上拥有微软的系统源代码，所以在Windonws系统下非常稳定，也没有冲突问题。

    同时Nod32在各个重要杀毒软件测试中屡屡得奖还有一个重要利器，那就是他拥有目前最成熟稳定的启发杀毒技术，所有的文件在他检测的时候如果没有发现病毒库中有匹配的特征码就进行代码的启发预测分析，这样可以防止大部分未知威胁，不象目前市场上大部分靠特征码识别杀毒的软件那样，只要病毒一变种或者经过加壳处理就无法识别了。同时由于Nod32启发杀毒的技术成熟，误报的程度很低（误报率高是Dr.Web和Avira等强启发软件的通病），我使用这一段时间内，也碰到过在浏览网页或者读取外来磁盘时候他利用启发杀毒发现病毒或木马的情况，经过后来的验证我发现他报的启发病毒都是准确可信的，还没有发现误报的情况。对于大多数的电脑知识不那么丰富的普通用户而言，启发式杀毒软件的高误报率绝对是一种折磨，对于企业而言，经常误报的杀毒软件也是管理员的噩梦，成熟稳定的启发杀毒也是Nod32被微软选用的重要原因。

    关于Nod32的启发杀毒，我曾经做过试验，用记事本打入一些可以自动删除文件的DOS指令。结果把这个文本文件刚刚保存就被Nod识别为包含威胁代码并删除。几个月前单位网络出现维金泛滥，卡巴斯基当时就没有防住（第二天更新后可以对付了），Nod32却凭借其启发杀毒立即识别并处理了。也有网友把某个流行病毒加了一个比较复杂的壳给我做测试，结果轻松过了卡巴斯基和诺顿企业版（手动扫描都发现不了！），在我的电脑上一解压就被Nod32凭借他强大的启发功能发现了！虽然诺顿也有启发，但是他的启发确实和Nod32不能相提并论。

    Nod32的每次升级文件也很小，一般只有100k上下。每天大概静静的升级一次，升级后只是在右下角出现一个小小的提示。系统资源占用又是这样小，在你根本感觉不到的情况下默默的为你服务。就象一位著名的专家对杀毒软件提出的要求那样，属于那种安装即忘的优秀软件！

    试用中感受到的不足
    上面说了Nod32的种种好处，但是经过在网络上这一段时间的讨论和研究使用的经验，网友们也发现了他的一些缺陷，首先是杀木马能力比较弱，虽然在官方网页上也做出了解释，说病毒和间谍程序是Nod32杀除的主要目标，木马不是。但是现在木马已经越来越成为网络的重要威胁，现在国内的很多网页，甚至是QQ空间都被人挂了木马，杀木马的能力应该是杀毒软件必须要加强的（文章写作中惊见中国银联的官方网页也被挂了木马！当前的网络安全状况由此可见一斑）。还有就是由于Nod32的病毒库比较小，加上真正进入中国市场时间很短，对中国流行的病毒样本收集也不是很全，虽然他的架构先进，启发杀毒能力也很优秀，但是当前很多新的威胁单纯靠启发似乎不是特别稳妥……

    还有一个是服务上的问题，一些专业网友经常热心的向各个著名的杀毒软件厂商上报杀毒软件不能识别的病毒样本，据他们反应，Nod32官方对上报的病毒样本反应是很慢的（而相应的对比就是据说卡巴斯基只有几个小时就有反应，升级后的病毒库就可以查杀了），估计对国产某些特色病毒木马反应慢这也是原因之一吧？

    虽然Nod32现在还有一些不足，但是相信由于他的软件架构先进，发展的潜力很大。相信只要进一步充实病毒库和木马库，加强对国产病毒样本的收集和处理，。Nod32会越来越完美，也会在中国市场上有越来越好的表现。

    NOD 32各方面表现的评级

系统资源占用★★★★★

杀毒速度★★★★★

稳定★★★★★

系统底层支持★★★★★

未知病毒杀除★★★★☆

网络病毒防护★★★☆

新病毒反应速度★★

杀木马能力★★☆

病毒库★★

foxhound

貌似有人发过的啊~~~~~

locici

几百年前看过的帖子！

欠妳緈諨

晕，转我的帖子，连图都懒得转过来

lin13

楼主要厚道
转帖要注明～

danger

转帖啊。。。。。

水木

转了一个老帖

hlm444

转了一个～～

我是养鱼人

转帖也注明一下出处和原创者啊。保护知识产权！