ESET常见问题解答

renyifei

ESET常见问题解答（6.15）
                                                      by renyifei
目录：
前言
1.ESET是什么？/ESET的公司规模如何？/ESET的产品是否值得购买？
2.ESET的优缺点是什么？
3.ESET在日常使用中，有什么要注意的？
4.ESET在样本区的表现如何？
5.ESET与BD/卡巴/小红伞的优缺点对比
6.一些其他问题
后记


前言：
最近卡饭论坛有许多人在国外区和ESET分区问了许多类似于目录里的问题，为了方便坛友对各种反病毒软件进行对比，以及快速了解ESET和找到他们问题的答案，我罗列了以上六种问题及其详细回答，当然这六部分内容不仅仅只限于他们本身，其中还穿插了许多其他内容。
本帖尽量使用通俗易懂的方式叙述，但由于笔者能力有限，难免出现谬误，请各位多多见谅。

①ESET是什么？/ESET的公司规模如何？/ESET的产品是否值得购买？
首先ESET是一款来自斯洛伐克的全球著名反病毒软件（以下全简称杀软），在全世界范围内有一亿多用户，广大的用户也为ESET带来了巨大的收益，这也是他们能够稳定研发新技术和不断防御新威胁的基础。在欧洲风情展（2017）中介绍到，ESET被评为全斯洛伐克经济实力和科技力量最雄厚的科技公司。而公司的规模也是非常之大，在世界各地都有自己的代理商/办事处/分公司。其中中国的官方指定代理商是二版公司。
ESET的图标是一个胶囊，而这也意味着它是电脑的一种治疗工具，这符合杀软的定义。NOD32的大意是磁盘边的医院，因为最早出现在斯洛伐克的病毒攻击的是磁盘边的启动扇区。32是支持32位系统的意思，后来虽然64位系统出现，但是也没有改动。
ESET的产品在国外同种产品中价格较贵，但是在国内属于低价部分，一个有着技术支持的ESET互联网安全套装三年一用户版本只要130人民币左右，这比BD等高价杀软的100元一年一用户便宜了许多。而虽然价格便宜，但是正版授权，技术支持样样不少。
而ESET的产品是否值得购买，我认为大家可以尝试一下，因为不但ESET价格便宜，而且体验也非常好，是一款非常优秀的杀软。



②ESET的优缺点是什么？
首先说一说ESET的优点：
1.一提起ESET，首先我们会想到的就是它的高启发，的确，启发式/高级启发式扫描和DNA签名检测ESET是鼻祖，而也是ESET的代表，虽然其他杀软在近年来也研发并采用了类似的技术，但是无论是样本积累还是技术的成熟度都是远远不如ESET的，这也是为什么ESET的代表是一个机器人。因为高启发的存在，ESET对于一些已知病毒的变种和衍生物的查杀效果非常好，而这能带来什么呢?除了提升了ESET的检出率，更是大大缩减了病毒库的体积，这就像我们上学时代说的，懂一道题就懂了一类型题一样。像ESET这样较为依赖本地库的杀软，它的病毒库和某些近年来不断向云端迈进，大大减少了病毒库体积的杀软相比，占用空间相差无几，十分令人赞叹。

2.ESET的另一个优点就是它的高度集成优化的引擎，大家都知道,Threatsense(以下简称TS）是ESET的检测引擎，但是它却一点也不比其他多引擎双引擎杀软的检出率低甚至还会高得多，现在的杀软有些有两个引擎，一个自家的，一个OEM的，甚至还有一些杀软，有四五个引擎，什么云端的，启发的，本地的，OEM的，甚至修复的也算一个了（笑），姑且不说他们的查杀率有多高，光是这么多引擎，就会在扫描时严重占用系统资源，拖慢扫描速度，ESET就考虑到了这一点，它既不OEM别人的引擎，也不去给别人用自己的引擎，这么做当然时出于技术问题，但也有来自自己自信的原因，因为只有认为自己引擎做的足够好的杀软，才会这么干，毕竟，大家看杀软的第一标准就是检出率啊。ESET凭借着一个高度优化技术先进的引擎，使整个杀软集成在了一起，不仅减少了BUG，也在占用扫描速度上有着巨大的优势。



3.ESET的稳定性也是其优点之一，新系统发布时以卡巴斯基为例（当然我不是黑卡巴，毕竟我也是卡巴的用户），往往需要通过发布新补丁来使得自己完全兼容新系统，但是ESET则不同，它几乎不会对新系统有什么不适应在我看来，它在我的电脑上往往都是流畅的运行着，这让我这种喜欢体验新系统的懒人十分满意而省心。


4.最近ESET11.1新增了一项频繁更新功能，旨在通过更高频率的更新来防范最新威胁，弥补实时响应上的不足，这有点类似于诺顿和Avast的流式更新。这个功能的增加是的EST这种本地化杀软更加高效。

当然，任何事物都不可能尽善尽美，它们都会有缺点，我们必须知道它的缺点，才能扬长避短，更好去使用它
那么我们来说说ESET的缺点：（有争议性部分）
1.论坛里反响最大的问题就是ESET的监控漏毒，什么是漏毒呢，他就是ESET的文件系统实时防护（以下简称监控）对于某些隐藏在压缩文件中或者加壳程序中的病毒检测不出来，从而使得这些藏得很深的病毒没有被检测出来。有坛友可能会问，那我的系统会不会很危险呢？其实不然，我们有两种解决方法，一是把监控的扫描加壳程序，压缩文件都打开，但这会略微影响打开程序和压缩文件的速度，另一种就是不要去在意这种细节，因为你打开压缩文件/加壳程序时ESET的监控会自动扫描脱壳后的文件和解压后的文件，这时候检测到病毒就会提示你，而我们在没有打开这些文件时虽然不会检测到，但是他们也不会有任何行为对吧。

2.另一个缺点就是ESET的默认设置是不够严密的，默认设置全部默认为正常清除，所以在检测时有些病毒只会提示并不会清除，如何解决这个问题呢，把监控的改为严格清除就好了。他在检测到威胁后会自动删除病毒，不用担心ESET会误删重要文件，因为他删除的文件已经进入隔离区，发现是误报删除即可。

3.防护手段较少
大家都知道，ESET的卖点，也是主要的对付病毒的武器就是它的TS引擎，而利用这项技术最频繁的，就是ESET的监控了。这也使得ESET的监控成为ESET最坚硬，最有力的武器。这同时也是第一道防护的屏障。过了这道屏障，虽然还有AMS,HIPS等技术，但这些根据官方的介绍，都是进行一些在病毒运行起来以后的补救措施，而且他们虽然也有监控程序行为的功能，但是相当于bd/诺顿/卡巴斯基的智能多步主防来说还是太不人性化了，不过大家也不要太过担心，ESET的监控还是非常有力的，大家尽可以放心了。

4作为后续手段之一HIPS，也是问题多多，除了BUG几乎没有之外，我想不出有什么可以称道的，首先默认的自动模式使得HIPS形同虚设，智能模式也效果不好，而不支持通配符，环境变量也是很大的缺陷，这使得许多能在科摩多上很好应用的规则在ESET上是不支持的。不过由于HIPS不是ESET最主要的技术，大家也可以不用过分介意的。

5.病毒的清除问题
ESET清除一些顽固病毒的效果据说很差，但是由于我没有碰到ESET检测到杀不了的情况，我对这方面了解不是很深，不过如果大家真的遇到这种情况，可以进安全模式/PE来删除ESET找到的病毒的路径进行强行删除。

③ESET在日常使用中有什么需要注意的地方？

日常使用ESET的互联网安全是完全够用的，我以前在卡饭见过什么ESET+火绒/360安全卫士/科摩多，首先我对这些是持否定态度的，因为从计算机安全学上来说，ESET/火绒/360/科摩多都有HIPS，这将是较为严重的功能重复，在任何电脑上都不应该装有多个杀软，不仅会导致系统卡慢，甚至蓝屏开不了机，是文件丢失，起到了杀软的反作用。
而我以前曾今推荐过HMPA，但现在我也不推荐，ESET有漏洞利用阻止功能，也有IDS，防勒索等技术，再安装这类软件也不会有很多作用。而且前面的几种杀软中我也没有发现比ESET更优秀更加效果好的杀软。在平时我们下载东西时，千万不要按照提示关闭杀软的防护，因为ESET的后续手段有限，一旦关闭监控，你将失去最有力的保护。

④ESET在样本区的表现如何？
在我看来，ESET的表现是极为亮眼的，我在这里再重复一遍我以前在一个帖子里回复的内容，ESET的引擎由于采取了启发式/高级启发式扫描和潜在不受欢迎和潜在有危险程序检测，所有数据相当可观，我记得13号的样本包，ESET当晚就清空而其他杀软都或多或少有几个过了双击和扫描，不仅如此，其他几天的样本包，检出率大多也在90以上。根据我这几天的观察，ESET的扫描就即将接近和持平甚至有时超过卡巴/bd/诺顿的扫描加主防拦截，而ESET虽然在样本区表现很好，但是在真实世界测试中却不怎么出色，这是因为他更贴近于现实生活，样本种类大多也不同，这使得ESET的高启发效果有限。不过我们也不要认为它的样本区结果参考性不高，因为我们最常遇到的病毒来自各种下载站，邮件当中，而这些病毒里面有很多都是较久病毒的变种，ESET对付他们还是绰绰有余的。

而ESET的毒网拦截，我认为是表现平平，没有什么出众的地方，在这里我们需要及时上报，将可疑站点交由ESET实验室来分析，尽早拦截。

⑤ESET与其他杀软的比较
作者使用过很多不同的杀软，我首先用ESET和卡巴/BD/诺顿来比较，这出于我自己的感受，如有介意请跳过此部分

和BD：
共同特点：都较为依赖本地病毒库
优点：BD不如ESET在国内友好，ESET有完整稳定可以更新程序的中文版，而ESET的误报控制在国内比BD好，ESET单论扫描比BD好（基于样本区），价格比BD亲民。
缺点：拦截手段BD多于ESET，ESET没有和BD一样的智能主防，ESET，要设置的地方太多，BD则几乎不需要设置。

和卡巴斯基
共同特点：都对国内环境很友好，都价格便宜。
优点：单论扫描强于卡巴，在新系统上比卡巴稳定
缺点：同样的，ESET没有智能主防，做不到多步防护，ESET的快速响应速度不如卡巴的KSN。

⑥其他问题
上报地址及方法：
1.直接通过工具里或右键菜单上报。
2.ESET样本上报邮箱：samples@eset.sk
发邮件给 ESET,标题写是误报（False Alert），可疑文件（Trojan（特洛伊木马）、Worm（蠕虫）等，如果能写出更详细的名称（如Win32/PSW.QQPass trojan就更好了。）
正文写解压密码，具体行为和迹象。
附件是样本的带密码压缩包。

ESET知识库：https://forum.eset.com/
ESET论坛：https://support.eset.com/
联机帮助：https://help.eset.com/

后记

终于写完了，很累
前面提到了ESET的稳定，但是稳定过了头，就是一种中庸了，面对风云变换的杀软市场，竞争如此激烈，ESET不仅宣传不到位，而且反应迟缓，不仅现在流行的免费版杀软没有，新技术开发上也有点慢，ESET10刚出来时，有了勒索软件防护和模块的大改。但是当我们满心期望的11来了，却只带来了漏洞利用阻止和脚本扫描，我不是说ESET不思进取，但是ESET需要一针强心剂，可能ESET的技术开发更体现在优化已有功能和内在保护结构，但是我们也需要一些可视的新功能来提振信心不是吗？

完
6.15于山西，从浙江回家的车站

B100D1E55

关于一些介绍的不同看法（我不是来踢馆的，只是说说我的看法，望楼主谅解）：

1. 监控漏毒：一直听监控漏毒我真的没遇到过。我不知道是不是有人发现有的时候rar解压出来不报毒右键扫描却报毒。其实这主要是出于性能考量，也就是说文件实时监控不是高级启发，但是执行的时候会自动预先高级启发（其实浏览器等常见入口也会自动高启发）。我个人不建议开启实时监控高级启发，官方默认关闭自然有其道理，请不要开启实时监控高级启发后怪ESET卡顿

2. 严格清除之类的，说到头来是用户交互的变更，和清毒彻底与否无关。关于这点，企业版和个人版很微妙的一个区别就在于ESET近期已经将企业版默认清除设置中的PUA弹窗取消了，改为直接删除，这主要是因为企业环境中服务器往往无人值守，而ESET弹窗又属于超时自动不处理的，为了避免这个问题因此改为自动清除。

3. 防护手段少：不尽然

除了高启发扫描外，还有网络攻击防护、信誉系统、高级内存扫描、漏洞防御、URL黑名单、botnet防御等等。这些在实际测试中都起到过作用比如ESET对宏病毒经常扫描检测不出来，这里先不讨论报毒策略的问题，但是如果有环境双击的话基本上都会被URL黑名单、botnet防御（比如常见的下载者家族）、启发式防护揪出来。ESET属于保守检测的代表，有时候为了防止误报会将查杀后延，直到恶意行为展现再报毒。因此双击测试很重要。此外，常见的测试误区是关闭一些功能测另一些功能的防护效果，但是ESET中功能往往是联动的。比如勒索护盾和云信誉以及文件实时监控联动，而HIPS是AMS的基底，如果关了前置层，后置的可能就废了，所以单独测试某个防护层的功能并不那么简单。对于测试毒网之类的，最好先在干净机器上验证对应的样本的确能成功感染机器后再测试安全软件的效果，URL黑白变化速度很快，有的时候在论坛曝光的时候可能URL已经由黑转白了，反倒没及时拉白的厂商给人一种“能够查杀”的错误印象

ESET设计理念的两个要点在于：低误报和高度自动化。有时候为了达到低误报和高度自动化不得不放弃其它一些厂商的预防措施，比如多步主防（参考其他区多步主防等的误报帖子）、光速拉黑、交互询问/白名单（比如WD的勒索保护）等等。这些虽然对测试成绩很有帮助，但对于普通用户使用来说，误报带来的危害有时候更大，过多交互会降低用户体验，并容易被社工绕过，因此一些防御设计其实经不起仔细推敲。

总的来说，安全性和易用性有时候无法两者兼顾（其实安全和性能也是这么回事），每个产品都有认为合适的平衡点。因此可以考虑多尝试不同的产品找到最适合自己的防护手段。

4. ESET的HIPS虽然监控点少一些（比如不检测键盘钩子），但反过来对win10版本迭代支持好且迅速。监控点和系统兼容性/稳定性也是杀软厂商需要仔细权衡的东西，用一些奇技淫巧监控到的东西（比如undocumented api）不保证在未来系统版本也能稳定运行，系统版本一多产品维护起来就成了灾难。至于通配符的话，官方表示在开发中，但具体推出时间未知

5. 病毒清除的确一向是ESET的软肋，一些恶性毒基本上是感染就放弃治疗的状态，因此ESET还是以防为主。话说回来染毒应该要用专门工具，就像360就有专门团队来维护急救箱以查杀恶性毒（ESET也有SysRescue），毕竟在常规产品中做一些猥琐技巧的对抗不实惠，还是专门对付为好，这是我个人的看法。

6. 对一些测试结果的解读：
有时候仅看测试成绩高低不能完整解读产品的性能，很典型的是这份报告：
https://www.av-comparatives.org/ ... ril-2018-factsheet/
这是AVC的business安全套装测试，这里面包含了两个测试，其中第一个是RWT，第二个是恶意软件防护。ESET虽然在第一个中表现还不错，在第二个中却大跌眼镜：


同一份测试却有着自相矛盾的两个结果……但实际上认真看第二个测试的测试细则的话就知道怎么回事了：

If a product does not prevent or reverse all the changes made by a particular malware sample within a given time period, that test case is considered to be a miss

“如果一款产品没法回滚一个恶意程序对程序的所有影响，那么就认为防护失败”

显然这使得ESET的AMS查杀被完全排除在外。因为AMS一般是病毒初期运行后展开核心代码时才查杀的，而前期的一些系统影响（注册表改动之类的）会残留在系统里。我之前就遇到过某个毒加了自启动之后被杀了，结果自启动项还留在那里。这种情况下ESET没有修复流程、回滚之类的就比较吃亏，虽然本质上还是成功防住了攻击。

7. 对产品合理的预期。
没有一款产品能提供100%防御，更何况一款近乎100%自动化的产品。指望杀软能预知未来查杀新种类恶意毒是不现实的，指望杀软防御能涵盖所有人遇到的风险也是不现实的。对于ESET这种谨慎侦测的厂家而言，有一些毒只能靠擦屁股解决，比如论坛小范围传播的MBR炸弹、一些敲竹杠、恶作剧程序等等。不仅是因为这些程序传播范围小，也因为这些程序涉及到的行为较为常见，很难和普通程序区分开来，而为了防止误报以及用户交互，只能全数放行并阻挡入库的威胁。比如之前毒区那种自制释放bat删除文件的“病毒”，其实管理员也能写这种类型bat进行文件批量处理，总不能连这个一起杀了吧？在这种情况下判毒很困难：如果删除文件是出于用户的本意，那么阻挡就成了误报；如果不是处于用户的本意，那么就应该阻挡。关键是杀毒软件到底怎么知道这个行为是否出于用户的本意？这也是当今防毒技术的一个局限。其他的一些产品或许能防，但如果不是靠入库，行为上大多只能靠用户交互来决策，实际上是用户自己防住了而不是产品防住了

反倒是那些无需入库就能防住小众恶作剧等程序的防护软件，若不是借用用户交互询问来防御，则有很大几率是误报王。这个是我个人经验

在我看来ESET的防御设计思路是很巧妙的：在解决扫描被绕过后续防御问题的时候，和一众厂商常见的单步/多步行为拦截相比，ESET走的是完全不同的另一条路子：内存扫描。实际上要做到内存扫描并不容易，主要是因为扫描内存会导致潜在的严重性能拖累。ESET在其中进行了大量优化才能达到对系统性能近乎没有影响的地步，目前尚未看到其他产品有这样的能力。其实这主要和ESET引擎查杀方法有一定关联，这里我就不罗嗦了。AMS是扫描引擎的延申，拥有着其他厂家持久行为监控所没有的优点，那就是低误报。这里需要注意的是，单纯从行为层面进行查杀有局限（当恶意程序行为和普通程序近似的时候这个问题特别严重，参见微点等多步主防误报的案例），这时候需要对meta等静态信息进行综合评估才能更精确的判断，而AMS恰好能兼顾两者。因此虽然AMS也有对应的局限性，但它的确走出了自己独特的路子。ESET虽然有着“臃肿”的动态启发虚拟引擎，但是其通过各种缓存方法优化常见情况（甚至缓存了虚拟机跑开的文件信息）达到了较好性能，实属不易

WhiteCruel

看完受益良多！感谢楼主整理出这么多实用的资料

Jerry.Lin

前排支持

renyifei

B100D1E55 发表于 2018-6-16 10:52
关于一些介绍的不同看法（我不是来踢馆的，只是说说我的看法，望楼主谅解）：

1. 监控漏毒：一直听监控 ...

已经把你的帖子置顶了，我觉得像这种东西，没什么踢不踢馆，因为各有各的看法，我的理解是这样的，而且我精力知识有限难免会有失误哈哈哈，你这样我很赞同，给别人多一些参考

renyifei

B100D1E55 发表于 2018-6-16 10:52
关于一些介绍的不同看法（我不是来踢馆的，只是说说我的看法，望楼主谅解）：

1. 监控漏毒：一直听监控 ...

但是除了监控，ams，云保护，剩下的防护手段都很孱弱，我只是说默认值，交互hips不提，web这种前端保护我了解不多，我指的是病毒进入电脑后过了监控就会很危险

B100D1E55

renyifei 发表于 2018-6-16 11:41
但是除了监控，ams，云保护，剩下的防护手段都很孱弱，我只是说默认值，交互hips不提，web这种前端保护我 ...

AMS几乎等效于自动主防，虽然运行原理不同。BD过了AVC不也完了？这种情况只能指望云端探针返回遥测数据，然后等待官方响应，其他产品也是如此，若不是如此，也是以额外的用户交互为代价

驭龙

B100D1E55 发表于 2018-6-16 12:06
AMS几乎等效于自动主防，虽然运行原理不同。BD过了AVC不也完了？这种情况只能指望云端探针返回遥测数据， ...

其实我觉得ESET现在应该把HIPS部分彻底砍掉，把自我保护 EB AMS等功能分出来，反正我觉得HIPS规则部分完全是鸡肋，一千个用户里，有十个玩规则的就不错了，鸡肋的东西砍掉不是更好

B100D1E55

驭龙 发表于 2018-6-16 12:14
其实我觉得ESET现在应该把HIPS部分彻底砍掉，把自我保护 EB AMS等功能分出来，反正我觉得HIPS规则部分完 ...

其实我的看法刚好相反，能自定义规则兼顾了专业用户和普通用户的需求。虽然默认自动化，但是也给了手动的选项，我觉得很人性化

此外HIPS是AMS EB等功能的基底，没有HIPS就没有这些东西

驭龙

B100D1E55 发表于 2018-6-16 12:17
其实我的看法刚好相反，能自定义规则兼顾了专业用户和普通用户的需求。虽然默认自动化，但是也给了手动的 ...

我反感觉得鸡肋的是规则部分，EB AMB完全也可以独立，或者在应用层关闭HIPS的规则，反正很久以前玩规则的几家，除了毛豆，基本上都放弃自定义规则了，虽然专业用户喜欢自定义规则，但专业用户还是少数，需要大众化啊，当然我也是个人想法，并没有去强求和建议什么，哈哈

继续工作去了