NOD32详细设置 欢迎讨论

mrkan

ＮＯＤ３２详细设置
ＮＯＤ３２安装包提供三种安装模式：典型，高级，专家级。个人认为用典型即可。回为高级和专家级的设置都可以在安装完成后设置。
在Windows Vista下，运行安装文件要点右键“以管理员身份运行”。这样可以让ＮＯＤ32核心进程和控制中心直接获得超级管理员权限以管理员权限运行。

mrkan

重新启动后，就可以设置了。Vista系统中开机要确认管理员权限。
首先打开NOD32控制中心
NOD32 2.7 是一款很有型的杀毒软件，界面和通常的杀软很不一样。
首先是对安全威胁保护模块的设置
1 AMON
AMON （文件系统监视器）是一个常驻内存的文件扫描程序（每次开启电脑后便会在系统内存中工作）。每次开启电脑后，自动执行AMON是对恶意代码最基本的防御。除非有特殊情况，不建议停止AMON的运行。

mrkan

点击设定开始AMON的设置：
a.侦测选项卡设定的是实时监控所要扫描的文件。
执行扫描于开启即打开一个文件时执行扫描，若发现病毒则停止文件运行。新建表示文件新建时，NOD32会自动检测该文件是否含有病毒。执行表示该文件在执行时，NOD32会自动检测执行该文件所需要的所有DLL文件。因为有的时候文件本身并不含毒，但是其要求加载的文件可能不安全，执行就是出于这样的考虑而扫描。
媒介方面没什么好说的，全勾就是了。
引导区是硬盘的一个很重要的区域，网上对此有比较详细的说明：http://baike.baidu.com/view/648604.htm 所以NOD32很重视引导区的扫描。在这里建议把这两个都勾上。尤其是在访问时一定要扫描引导区。
按扩展名扫描可以按要求排除指定扩展名的文件。因为NOD32是很执著的，遇到压缩文件它会一层一层解压下去直到看到原文件为止。而像.rar .zip .txt等文件即使含有病毒代码也不会造成感染。实时监控对这些文件过多的扫描会加重系统的负担降低运行速度却没有太大的作用。所以建议把它们排除在外。需要指出的是这里只是排除的监控对文件的后台扫描，由于选中的“执行扫描于开启 新建”选项，在用户执行解压缩或打开时监控还是会对文件扫描。而且对于从网上下载的文件NOD32都会执行检查。所以把这些文件排除并不会造成监控的漏洞，而且还可以把NOD32敏捷的优势充分发挥出来。至于最下面的两个选项建议就按默认设置就可以了。




[ 本帖最后由 mrkan 于 2008-3-8 15:12 编辑 ]

mrkan

b.下面是第二个标签选项，用来更进一步设置文件的扫描。
病毒库就是传统的特征码扫描，是一种快捷而准确的扫描方法。但是无法对付新病毒。
智能侦测模式是一种非常复杂的算法并能侦测出未知的病毒。
广告软件（不会执行恶意动作但是会从网上下载广告信息的小程序）、间谍软件（把个人资料传到网上的程序）和危险软件（可能会被用于恶意目的的工具）都是讨厌的东西。
可能是不想要的应用程序（不受欢迎的软件）是对并没有打算恶意的广告的分类（提供一个最终用户许可协议，要求同意安装，卸载干净等等），不过由于多种原因，人们也许在他们的系统上不需要这些广告软件
有潜在危险的应用程序已经重新被命名为可能是不安全的应用程序（简称PUsA）可能是不安全的应用程序被用于对商业的（合法的）软件的分类，例如键盘记录器，远程访问工具，密码破解工具以及像恶意软件作者捆绑在他们的作品里面的程序。
（以上资料来自NOD32中国官方识论坛的EQ2的帖子http://www.nod32club.com/forum/viewthread.php?tid=27917&highlight=%2BEQ2 ）

加壳程序：指某些为保护程序完整性而外加的一种保护性代码，这类代码有可能隐藏病毒特征，导致杀毒软件无法及时反应，勾选此项后，NOD32就可以识别大多程序外壳，克死病毒。
自解压文件：由于病毒被压缩后，一般杀毒软件不会侦测到压缩包中所含有的深层病毒，而自解压文件包可能通过处理脚本来运行压缩包中的病毒，因此，用户点击自解压时，有感染病毒危险，勾选此项，有利于避免感染此类病毒。
高级智能侦测模式是ESET公司开发的一种最新技术的仿真代码，它可以显著扩展NOD32的智能侦测能力，使它可以无需更新就能侦测出新的威胁。因为仿真需要时间，所以只有在创建新文件或者修改已有文件时使用AMON的高级智能侦测模式。另外，使用高级智能侦测模式有增加误报率的风险。
另外，这里还有一项优化扫描，指的是NOD32在空闲时是否侦测，用户应该勾选此项以节约内存。
c.操作选项卡设定当AMON扫描到威胁时的处理方法。
禁止访问并显示含有操作选择的窗口警告：表示一旦杀毒软件侦测到用户点击的文件含有病毒，就立即终止进程并提示用户该文件含有病毒！让用户选择是否继续进程或者清除病毒或作其他操作
禁止访问：杀毒软件一旦发现该病毒，即禁止用户访问该文件以防止感染病毒
自动清除：NOD32发现病毒后，会不经过任何提示，直接清除病毒，但会在日志中记录
移动新建文件到隔离区：假如该病毒文件为新建立的文件，将由杀毒软件直接转移到隔离目录，以便用户作进一步的处理。
这里建议选择第一项。
d.排除选项卡设定不扫描的文件。如果没有特殊要求就不要动它了。在NOD32帮助文件里可以看到其设置。
e.安全。
当侦测到病毒时，一些可执行的操作将会显示在病毒警告窗口中。用户可以从安全选项卡中选择如下有效的操作：
清除-尝试从文件中去除感染，保留原始文件
删除-完全删除被感染的文件
重命名-重命名被感染的文件（文件仍然是受感染的，但不再可以被执行了）
取代-以一个安全的样本取代受感染的引导区
这里建议都点选了。
后面的两项除非是高手，否则也不要改动。

mrkan

二、DMON
DMON是NOD32防病毒系统的一个插件，用于扫描在微软office文件及Internet Explorer自动下载的文件（例如微软ActiveX程序）。DMON在AMON外提供了一层额外防护。
设置上与AMON类似。但是二版的工程师们汉化的时候好像总是不怎么小心，这回又把“有潜在威胁的程序”和“不受欢迎的程序”复选框做在了一起。建议都选上。

mrkan

三、EMON
鉴于人们大多很少使用OutlookExpress,，使用OE的人可以看一下，否则直接把EMON关掉就可以了。
EMON的默认设置就已经很到位了。这里我觉得只有一项需要改动。其他的就不赘述了。用户可以根据自己的需要配置。

mrkan

四、IMON
AMON主要为系统及用户操作提供实时和常驻的防病毒监控，而IMON模块则为系统与外界（互联网）之间的通信提供防病毒监控。
a.POP3
标记电子邮件时强烈建议选择仅感染的邮件。如果按默认设置的话，在所有邮件后面都会有标记，这样看上去会很不爽。
POP3协议使用端口-POP3协议使用端口号的列表（默认为110），在一些特定的情况，你可能需要增加额外的端口号（例如你要使用反垃圾邮件过滤器）。
注意：为此IMON会在Winsock（套接口）层运行，无法检测995端口的加密SSL通讯。另外，增加其它协议（例如MAPI、FTP等等）使用端口也不会使IMON检测那些通讯。
标记邮件时建议选择仅感染的文件。
其它的设定就没有必要更改了。在默认情况下，IMON会用最高效能模式运行。这可以确保POP3扫描器的所有功能得到发挥，但是，有些邮件客户端可能无法在这个模式下正常工作。如果接收电子邮件遇到任何问题，请尝试将滑块移动到中间位置。如果这样做毫无作用，请将兼容性水平设定为最高兼容性。在这种水平下，IMON将完全不干预接收的电子邮件。如果侦测出病毒入侵，会弹出一个警告窗口，但IMON不能采取任何操作，你需要手动从邮件客户端移除该邮件。
需要指出的是POP3扫描针对的是所有的POP3类型的软件。不仅仅是OutlookExpress。本人亲测对于FoxmailPOP3也起作用。

mrkan

b.HTTP
在主动模式（更高效能）下，IMON会首先下载和扫描整个文件，然后才传给目标程序。这个步骤比较安全，因为如果发现入侵的话，目标程序不会接收下载文件的任何部分。缺点就是程序一次接收完所有的资料，因此不能正确地显示下载状态。因此，如果下载在五分钟内仍不能完成，在系统的托盘上便会弹出一个窗口显示下载进度。主动模式不适合某些需要连续数据流的资料类型（例如多媒体、流媒体视频/音频）。
　由于每个人的电脑里程序都不尽相同，所以HTTP兼容设定没有一定的准则。总的来说，对于信任的程序，使用高兼容度可以提高运行效率。打开高效能可以增强木马的防御能力，但是可能造成速度减慢。还可能出现冲突。
c.其它
其它里设置的是一些高级选项。
一般没有必要更改。
有的时候会出现打开NOD32的网络监控造成无法上网的情况。可以尝试“修复”然后重启电脑。扫描器的设定默认是没有勾选“有潜在危险的程序”的。它是考虑到了如果电脑处于局域网中，如果管理员使用工具进行网络管理，NOD32侦测到该工具将会使其不可用。对于一般家庭用户还是全部勾上比较好。

mrkan

五、NOD32
就是NOD32手动扫描仪的设定。NOD32在桌面上的图标其实就是手动扫描仪 。还要声明的一点是最好不要使用桌面图标打开NOD32手动扫描仪。尤其是在Vista系统下。建议从控制中心打开。因为控制中心拥有超级管理员权限。这样可以启动反隐藏功能。如果要从桌面图标启动的话，要用右键“以管理员身份运行”。
a.扫描对像
选择要扫描的分卷文件夹或者文件。
b.扫描日志
日志显示的信息格式和范围可以在 下面列出的 NOD32 扫描日志页面中设置。窗口底部的滚屏（上卷） 复选框影响日志显示的效果，如果选中它，窗口中显示的信息将会自动向上滚动，否则就只能通过窗口右侧的垂直滚动条来浏览日志文件。窗口下部的信息条里会显示当前正在扫描的文件。在扫描操作进行时窗口右下角区域中会显示一个不断翻滚的符号。
c.操作
按默认操作即可，即文件内存引导区都“通知用户选择操作”对所有设定档都采取此设定。

mrkan

d.设定和设定档
NOD32的设定档是很有特色的一项功能。它为不同的安全需求定制不同的扫描方案。
但是对于普通用户来说，过多的设定档并没有多大用处，反而容易弄巧成拙。个人认为NOD32只要“控制中心（Local）”，“深入分析”和“右键扫描”几个设定挡就够用了。其他的反而显得繁乱。
1、控制中心设定档-Local
在控制中心直接点击“本机”便可以直接选中所有硬盘并按控制中心设定档-Local进行扫描。
这里汉化的不一致。界面上的是“本机”，设置里的是“本地磁盘”。但含义是一样的。
这里是我认为比较合适的设定。由于“本机”是要做快速的全盘扫描，所以压缩文件，和高级智能侦测模式都可以略过。那个列出所有文件如果不是特别需要的话还是别选了。记得当年我第一次用NOD32时，不知怎么就选上了，然后扫描完后让我从36000+个文件中自己找17个病毒