ESET目前针对个人用户开发了三款产品,按照级别从低到高可分为”ESET NOD32 Antivirus”(EAV), “ESET Internet Security”(EIS), “ESETSmart Security Premium”(ESSP)。EAV是最低级的ESET产品,只包含文件实时监控,ESET云参与的扫描和主动防御功能,不包含个人防火墙;EIS相比于EAV,新增了"防火墙","网络攻击防护","僵尸网络防护","网络连接扫描","网银保护","浏览器隐私保护"和"Android设备保护"(虽然没什么用);ESSP是全方位的保护,从官网上看,他具有敏感数据保护,密码管理器和防范新威胁(ESET云沙箱)功能。
ESET的优点(部分引自@renyifei)
(1) 查杀能力强: ESET最大的优点就是查杀能力强,ESET的启发式引擎如果自称第二,那么没人敢称第一。通过分析文件的代码和特征,ESET 能够检测尚未被入库的恶意软件。许多杀毒软件都会将收集到的病毒样本逐条添加,但是ESET不需要,他凭借着特征码识别技术,仅凭一条特征码就可以识别多种病毒及其变种,也许这可能会带来误报,但是ESET很好的控制了这种情况。在恶意软件更新迭代越来越快的情况下,当其他厂家在给病毒一个一个入库的时候,ESET可以做到通杀,即使病毒库很久没有更新,ESET也能检测出病毒的变种。ESET NOD32设计了一个高效的内核,作为一个单独的、高度优化的引擎,提供统一的安全保护,防止不断的更新病毒、蠕虫、间谍程序的恶意攻击。ESET NOD32拥有先进的ThreatSense技术,可通过对恶意代码进行分析,实时侦测未知的病毒,让您时刻走在病毒编写者的前面。
(2) 不依赖云,从AV-C的报告中可以看出,ESET即使在断网的环境下也能保持高查杀率,这与ESET的本地高度精简病毒库有关。不过也有云拉黑的报法”Suspicious Object”,但是十分少见。
(3) 脱壳能力,抗混淆能力强。别说普通的压缩壳UPX, Aspack,就连保护壳ZProtect,ESET都照样能给你脱了,也就是说,简单给样本加壳是没法免杀ESET的。
(4) 高效的内存防护,ESET算是最早引入内存防护的安全软件了。对于没有内存防护的安全软件,要想做到免杀只需要写一个dropper把恶意代码解密后放到内存里跑就行,但是ESET有内存防护,这种免杀手法对ESET无效。ESET会扫描内存并检查是否有恶意代码,如果有的话就会结束掉对应的进程。内存防护还可以防御越来越流行的无文件攻击技术。
(5) 拥有AMSI扫描功能,AMSI(Antimalware Scan Interface)是微软推出的一种接口,用于帮助防病毒软件和其他安全软件在运行时扫描和分析脚本及其内容。
ESET的缺点
说完优点也该说说缺点了,毕竟没有什么是完美的。
(1) 难以对付活动威胁,也就是带毒清除效果不好。一旦病毒运行起来,ESET将难以将其清除,只能将其强制删除或放入隔离区,但是经本人测试,隔离效果并不尽如人意。
(2) 主动防御非常弱,这里的主动防御应该指的是杀毒软件的行为分析,我在样本区混了好多年,基本没有看到过ESET主动防御发威过。
(3) 更新慢,ESET的服务器在海外,病毒库下载速度简直是龟速(尤其是第一次安装时下载的),好在日常更新时,更新的病毒库体积都很小,也就弥补了速度慢的劣势。
ESET功能介绍(以及相关设置怎么调?)
1, 文件系统实时防护
也就是我们常说的监控功能,ESET在内核中挂了hook,会扫描每一个新增、更改以及准备运行的文件
(1) 恶意软件检测,这里说的恶意软件就是纯纯的病毒,而不是什么灰色软件,黑客工具。可以看到这里有三个挡位,分别为"具有攻击性"(Aggressive,实际上应该翻译为"激进"),均衡和"注意",这三个挡位只会影响ESET的机器学习引擎(ML/Augur)的灵敏度,而不会影响ESET的启发式扫描。我这边建议是选择"具有攻击性"挡位,虽然说几乎没有什么区别。
(2) 潜在的不受欢迎的应用程序,比如说广告软件,这三个档位代表三个灵敏度,这里就不介绍了。对于在国内的用户,建议是选择关闭,只要应用涉嫌捆绑或者包含广告,或者说这个程序是用易语言编写的,ESET都会报毒,日常使用误杀比较严重。
(3) 可疑应用程序检测,实际上就是报壳,ESET如果遇到一个程序被加了强壳,但是ESET脱不掉也没法通过云,启发式分析和特征码分析判断文件是否安全,那么他就可能会报壳,ASProtect, Enigma, VMP壳等,ESET都会报壳(比如说Win32/Packed.Asprotect.JA 可疑应用程序 的变量),需要注意的是,有一些程序为了避免被破解,用的是合法强壳,那么ESET大概率不会报;有些病毒为了逃避检测,但是用了泄露的加壳程序来加壳,那么ESET会直接报这个程序是特洛伊木马。后者与"可疑应用程序检测"无关。
(4) 潜在的不安全的应用程序,比如说远程控制软件,KMS软件等。如果你的电脑用的是KMS激活,那么激活软件可能被误杀,那么你可以把"潜在的不安全的应用程序检测"关闭,或者手动给KMS软件添加排除。还有一些破解软件会被认为是黑客工具,也会被杀。不过开启"潜在的不安全的应用程序检测"可以防止合法的远程控制软件被白利用。利弊请自行斟酌。
2, 防火墙和网络攻击防护
这方面没什么好说的,ESET的防火墙不卡网,功能也很强,就是有一些冷门的软件比如说nginx, openspeedtest会被ESET阻止,如果有误报可以到设置->网络防护->解决阻止的通信 添加排除。
3, ESET SysInspector
这是一个可以查看系统详细信息的工具,如果你觉得你自己的电脑中了病毒,但是ESET又扫描不出来,你可以打开这个工具,并查看相关日志。
如果某些项目有风险,并且你是专业人士,你可以进行手动杀毒。
关于ESET使用的一些问题
1, 我应该使用哪个版本?
答:如果你习惯了Windows自带的防火墙,你可以选择EAV。如果你电脑没有防火墙或者想升级防火墙,你可以选择EIS。ESSP价格较贵,不建议使用(富哥请忽略并V我50)
2, 中文版和英文版有什么区别?
答:语言不同(废话),查杀方面,英文版对于易语言基本是通杀(要把潜在不受欢迎的应用程序检测打开,报法通常是 a variant of win32/flystudio unwanted application),中文版对于易语言来说宽容很多,除非说这个程序本身就被检测为恶意(报法是 Win32/Flystudio.*** 特洛伊木马),否则不会杀易语言。It is recommended to use the English version if you are able to speak English.
3, 关于激活码的问题
答:在ESET在推出全球激活码之前,eset各代产品都能通过用户名和密码激活,ESET各代用户名和密码是通用的,没有语言、版本、地区的限制。激活码可以去官网购买或者去淘宝买,淘宝买便宜一点,但是激活码有几率被吊销。如果你购买了正版激活码并且登陆了ESET账户,那么即使你卸载软件或者重装系统,只需要登陆账户,授权许可仍然有效,不需要购买新的激活码。
4, 试用版和正式版有什么区别?
答:试用版用户名和密码激活ESET后,除了会在主界面和弹窗上显示试用版外,功能与正式版没有任何差别。
5, 论坛里下载的特别版和官方版有什么区别?
答:论坛的特别版移除了许可文件校验,缺点是不能从官方服务器上下载更新,只能从私人服务器上下载更新。除此之外,论坛的特别版不是很稳定,会有一些bug。对于长期使用用户建议使用官方版本,对于在虚拟机中测试的用户,论坛的特别版是一个经济实惠的选择。
6, 预发布更新和普通更新有什么区别?
答:此处的预发布更新类似预览版本,一些新组件新功能会提前通过预发布更新带给用户,但是ESET不能保证这些新组件的稳定性,个人用户还是建议使用普通的更新,等组件稳定了再用。
7, 怎么关闭开机扫描?
答:ESET的启动项扫描包括两种,一种为用户登录后的启动项扫描,即开机扫描,另外一种则是病毒库更新之后的启动项扫描,此功能对于一般人来说开了也无伤大雅,对于认为此功能没啥用、或对开机启动速度敏感的朋友们,由于ESET在设置中是没有关闭开机扫描这个选项的,下面是关闭这个功能的方法:
打开ESET主界面,选择工具,计划任务
去掉两项"系统启动文件检查"前方的钩即可。
9,性能排除和检测排除有什么区别?
答:简单说,性能排除,是你基本确定知道不是病毒,而且监控扫描这个文件需要消耗大量资源时的排除。扫描排除是你知道是不是病毒或者误报,从监控中排除的文件。
10,ESET LiveGrid是什么?
摘自ESET帮助界面:
ESET LiveGrid®(建立在 ESET ThreatSense.Net 高级早期预警系统之上)利用 ESET 用户在世界各地提交并发送给 ESET 研究实验室的数据。 通过提供可疑的样本和原始的元数据,ESET LiveGrid® 使我们能够立即对客户的需求作出反应并使 ESET 能够持续应对最新的威胁。
ESET 恶意软件研究人员使用该信息生成全球威胁的性质和范围的精确快照,以帮助我们将注意力放在正确的目标上。ESET LiveGrid® 数据在我们设置自动处理优先级时起着重要的作用。
此外,它还实施了一个信誉系统,可帮助提高我们的反恶意软件解决方案的整体效率。用户可以直接从程序界面或右键菜单通过 ESET LiveGrid® 提供的额外信息来检查正在运行的进程和文件的信誉。在用户系统上检查可执行文件或压缩文件时,系统会首先将其哈希标记与数据库中的白名单和黑名单项进行比较。如果发现检查的文件位于白名单中,则该文件将被认为是干净的并进行标记,以便从日后的扫描中排除。如果发现它位于黑名单中,则将根据威胁的性质采取相应的措施。如果未发现匹配项,则将彻底扫描该文件。基于此次扫描的结果,文件将被分类为具有威胁或不具有威胁。此方法对扫描性能有着显著的积极影响。此信誉系统甚至在恶意软件样本的特征通过更新的病毒库传递给用户计算机(每天多次)之前,就可以对这些样本进行有效检测。
除了 ESET LiveGrid® 信誉系统,ESET LiveGrid® 反馈系统将收集您的计算机中与新检测到的威胁相关的信息。这些信息可能包括出现威胁的文件的样本或副本、该文件的路径、文件名、日期和时间、威胁出现在计算机上的过程,以及有关您的计算机操作系统的信息。
声誉:一个从 1 到 9 的数字,表示文件的安全程度:1–2(红色)为恶意,3–7(黄色)为可疑,8–9(绿色)为安全,否则为未知。
流行度:有多少台计算机向 LiveGrid®报告了可执行文件。
首次出现:当可执行文件首次出现在连接到 LiveGrid®的任何计算机上时。
引自@Raven95676 ,有删改
不过也不是说被ESET认为可疑的文件就一定可疑,一般来说是安全的,比如说图中的QQ安装包。
对于恶意软件,要么显示未知,要么显示恶意。
关于ESET各类的提示
1, 检测到ARP缓存投毒攻击:一般这类提示出现在校园网中,这一般是因为内网中有另一台设备占用了你的ip地址,不需要担心。如果你觉得这类通知打扰到了你,你可以在设置中把ARP缓存投毒攻击检测关闭
2, 扫描时提示"无法打开": 每个杀毒软件杀毒时都会遇到打不开的文件,只不过它们都不提示,ESET会告知用户有哪些文件打不开,因为有些系统文件防护是极为严密的,不会让杀软进入扫描的。
有些系统文件可能被加密保护,也是为了防止被病毒篡改,所以杀毒软件打不开被拒绝访问是正常的。
也有可能是电脑中了Rootkit木马,这类木马运行在Ring0中,会阻止杀毒软件读取自身。
3, 部分应用无法联网:那是因为ESET认为此应用程序联网不安全,所以禁止了程序联网。
你可以前往设置->网络防护->解决阻止的通信 解除阻止。
4, ESET报潜在的不受欢迎的应用程序:
其实并不是误报,ESET报的不是病毒而是PUP/PUA(potentially unwanted Program/Application,潜在不受欢迎的程序)
因为很多安装程序里面有推广软件的行为或者捆绑安装。虽然不是强制安装或者静默安装 但是通常情况下捆绑推广就属于可能不需要的程序了,因为eset本身不能判定这个程序是不是你想要的 所以才会有这个提示。可以去设置中关闭"潜在的不需要的应用程序"检测。
[复制链接]
发表于 2024-9-25 13:38:12
发表于 2024-9-25 14:55:19
