ESS--迟到的体验（持续添加一些ESS常见问题或相关技术介绍）【更新：5.7】

心情一隅

          ESET推出新版本了，是安全套装，呵呵，大动作啊！心痒痒的，终忍不住“诱惑”，把KAV+ZA组合给搁在一旁了（不过还是有点迟了）。
   
    我最早使用的国外杀软就是NOD32，为什么会选择她呢？呵呵，我想大家都能猜出来吧。因为江湖盛传：NOD32乃杀软界一绝世高手，招式简单，但却能杀敌于无形之中。呵呵呵！“资源占用小，杀毒能力强”这是这些年一直流传下来的关于NOD32的评价。其实现在想想，那些评论也不尽然。虽然NOD32不怎么占用资源，但也绝没有像网上流传的一些评论那样：在所有主流杀软中资源占用最少。所以，希望刚开始接触ESET的朋友，千万不要抱着“NOD32资源占用最少，杀毒能力最好”的想法去使用这款杀软，否则对你，对ESET都不好！
         
          ESET走的是“稳”的路线。在那么多杀软中，NOD32的误报率是很低的，虽然误报率低，但其对病毒的查杀也一点不示弱。这就是我喜欢ESET的原因。

    因为每个杀软公司的理念不同，走的路线也不一样，所以我们也不必拿着ESS四处和别的杀软对比。这样是比不出什么结果的，到最后只是徒增烦恼而已。因为每款杀软都有着自己的优势和不足，只要ESS能不断发展，进步，对我们这些喜爱ESET的人来说就已经是很令人开心的事了！

相关目录：
  

2楼：软件安装

3楼：初识ESS

4楼：ESS高级设置

17楼：ESS的更新问题（4.15添加）

21楼：全面解析NOD32独有ThreatSense Technology技术（4.16添加）

22楼：开启ESS的压缩包监控功能（4.17添加）

24楼：解疑ESS家庭版和企业版（4.19添加）

28楼：高级虚拟机启发式分析查毒技术（4.20添加）

32楼：局域网-无法访问网上邻居解决方法（4.22添加）

38楼：ESS与EAV2.X和3.X的区别（4.24添加）

41楼：加壳、脱壳技术介绍（4.25添加）

43楼：测试EAV病毒库需要的技巧（diaojf于4.26添加）

48楼：ESS防火墙和Windows防火墙的共存问题（5.1添加）

51楼：去官网对照病毒库版本时需要注意的问题（5.2添加）

53楼：解疑ESS实际查杀数超出文件总数的情况（5.4添加）

56楼：白名单和黑名单的添加/编辑/删除（5.7添加）

    通过翻阅一些帖子，我会持续添加一些ESS的常见问题（尽量避免与ESET版块的集合精华帖重复）和安软的相关技术知识。

   在与大家分享的同时，我也乐着沉浸在学习安软知识的快乐中！喜欢的朋友可以偶尔回来瞧瞧，看是否有自己喜欢的东西。同时，我也希望大家能分享一下自己遇到问题的解决方法，在此先谢过了！

[ 本帖最后由 hanyu6382 于 2008-5-7 23:51 编辑 ]

心情一隅

哈哈，发了一大堆感慨，还没说到正题，下面就说说我这些天来使用ESS的感受吧（相关设置有参照各大论坛上的一些精华帖与好贴）。

一、安装

进入安装界面后，有两种模式选择：“典型”和“自定义”。一般选择典型安装就可以了。

“自定义”安装相对“典型”安装多了以下四步设置：

[ 本帖最后由 hanyu6382 于 2008-4-13 14:50 编辑 ]

心情一隅

二、初识ESS


安装好后，和很多朋友一样，我有些惊艳的感觉：软件变漂亮了！虽然ESS还谈不上华丽，但给人的感觉就是：舒服，绝对的舒服！


进入软件后，其默认显示的是标准模式，该模式下主要功能一目了然，适合新手使用。对于想深入了解ESS相关设置的用户，则可切换至高级模式。

标准显示模式提供易用的基本程序功能，可用于基本管理。

对照普通模式和高级模式我们可以看到，在高级模式下，右上方多了菜单栏，Ess左边的
“防护状态”、“设置”、“工具”选项也增加了子选项。两种模式提供的信息与设置有了很大差别。在高级模式下允许使用EES 的所有可用选项和工具。

PS:[不知大家注意到这么一个细节没有：当你把鼠标移至上时，就会弹出该选项或是该功能的相关说明。这给用户带来了很大的便利。从这个微小细节设计，让我看到了ESET越来越人性化的一面.]

[ 本帖最后由 hanyu6382 于 2008-4-13 15:32 编辑 ]

心情一隅

三、ESS的高级设置

PS：因为每个人的防护理念都不一样，下面的设置仅供参考。

   “文件系统实时保护”中“ThreatSense 引擎参数设置”：把“对象”中的“加壳程序”和“选项”中的“高级启发式扫描”都打上勾。如果你十分确定此时计算机内无病毒，可以不必打勾，这样将提高EES扫描的速度。因为以后所有文件的新建或修改，ESS 将启用“用于新建文件和已修改文件的其它ThreatSense 参数”的设置，里边已经含有“加壳程序”和“高级启发式扫描”（如下图）

【小知识：ESET NOD32的ThreatSense引擎加入了高级启发式技术 (Advanced
Heuristics echnology)。它是一种主动防御(Proactive Protection) 技术，不依靠任何特征数据库，而是在扫描时主动地拆解与分析执行码，并将程序临时释放到TEMP 目录，在虚拟的仿真系统环境里执行它，观察是否包含任何具危险性的恶意行为。启发完毕自动删除临时文件。在理论上使用兔子等虚拟磁盘软件将TEMP 目录设置到内存会加快高启速度。
当然了，启动“高级启发式扫描”，RAR解压缩会降低速度。注意：启发式扫描是被动防御技术，高级启发是主动防御技术。】

关于ESS的右键扫描：如果我问这么一个问题：对插入的U盘，我如何判断是否含有病毒？

    听到这问题，或许大家就笑了：这还不简单，右键点击U盘，选择“使用ESET Smat Security扫描”。呵呵，此时我可要笑了：如果U盘含有病毒，通过这办法可以清除吗？不行了吧。其实，很多使用ESS的朋友可能会把右键菜单里的这么一个选项给忽略了：“高级选项”。这也不能怪大家，乍一看，怎么也无法把“高级选项”与ESS联系在一起呀。所以，希望ESET能在以后的版本中能在“高级选项”前加个大眼睛的标志，那么大家如何都不会忽略它了吧！

电子邮件防护：

如果你是用其它客户端，就需要按下图进行设置。同时也可以取消上图“Microsoft Outlook”中“电子邮件保护”内所有的勾，以减轻系统负担。

从下列列表中找到你的邮件客户端程序，如果没有的话，可以点“添加”按钮，将你的邮件客户端路径和可执行程序加到列表中，并打上勾。

为不影响扫毒效果，在“兼容性”设置中，调到“最高效率”：

ESS在默认情况下，只监控下列程序的网络数据：

1、访问网络80、8080、3128端口的程序；

2、在“浏览器列表”中的打勾程序，这时不管此程序链接哪个端口，其网络数据都被HTTP防护监控

如果想扩大网页监控防护，可在“HTTP协议使用的端口”下添加相应端口，或在“web浏览器”中添加程序进列表。

如果此时你用一个不在“浏览器列表”中的程序访问https网站（该网站带毒）且该网站的端口也不在监控范围内（如端口443），则病毒将会绕过“web访问防护”下载到硬盘中。不过不要担心，此时还有“文件系统实时保护”在把守安全大门，病毒仍能被检测出来（前提：ESS能查杀的病毒。废话，如果不能识别，那有那么多防护又有什么用！呵呵，是，是……）。

注意：如果将一个程序手动加入“浏览器列表”，ESS会自动在程序前打勾，此时，如果将勾手动去掉变成空白，保存退出，等你再打开列表，则会发现刚才的程序已不在列表中了，原来ESS会自动将我们自己手动添加的程序在“浏览器列表”中删除。
关于这方面的研究，可以参看卡饭的diaojf朋友的：《讨论：关于EAV HTTP防护的一些心得体会》这篇帖子。

地址：http://bbs.kafan.cn/viewthread.php?tid=231804&extra=page%3D3

当然对于这篇帖子的一些结论我并不完全赞同，大家看完该帖后可以自己求证。

“web浏览器”下的“主动模式”

关于网络的防护，有3种模式，


第1种是不扫描：“Web 浏览器”中的“Internet 浏览器”列表中的程序前边打叉；


第2种是被动模式：“Web 浏览器”中的“Internet 浏览器”列表中的程序前边打勾；第3种是主动模式：“Internet 浏览器主动模式”列表中的程序。


关于这三种模式的介绍及详细说明，可参看卡饭的diaojf朋友的另一篇分享帖，为PDF文件下载（为EAV3.0的设置教程，很详细）。
地址：http://bbs.kafan.cn/viewthread.php?tid=215585&extra=page%3D2

对于个人防火墙我并未进行详细设置，不过在过滤模式中我把“自动模式”切换成了“交互模式”，进行相关规则的学习，制定。

在该选项中，如果勾选“记住操作”然后点击“允许”或“拒绝”后就可创建相关程序的进出站规则。

PS:此时，如果你设置了密码保护，则在规则制定中，需要输入密码（即在勾选“记住操作”选项时会弹出密码输入窗口）。

如果你不创建规则，“暂时记住进程操作”、“允许”和“拒绝”这三个选项的操作都是不需要密码的。

这样的设置给非本机用户带来了方便，不过从另一方面来说，却也给计算机用户带来了安全隐患。因为对非本机用户而言，使用计算机，最重要的是体验，

他们可能会不看提示，一路狂点允许，这样就可能“引狼入室”。

对此，我是建议，在选择“允许”选项时，最好也能加入密码保护，毕竟安全还是最重要的。

更新：现在ESS的更新，给我的感觉就是：快。每次开机联网后，刚使用一会就弹出病毒库已更新的提示窗口。

这几天我观察到一个有趣的现象：ESET的更新频率正在加大

这几天基本保持一天三次的更新。呵呵，不知ESET是否要改变以往的策略，通过加大病毒库更新的频率来弥补特征码查杀能力的不足……

关于“工具”、“用户界面”、“其它”选项我就不再一一介绍了，如果用户想让杀软更符合自己的使用习惯，可以进入相关设置界面进行修改。

    对于“用户界面”里的“设置保护”，我再唠叨几句：通过设置密保，可以很好的保护用户设置参数不被随意修改和防火墙的规则不轻易的创建。但设置密码保护后存在一个问题：让设置变得繁琐。在主界面，每打开一项设置都需要输入密码。这样就给用户带来了很大的不便。在兼顾安全又能撇去那些繁琐的密码输入的方法，那就是：在保护设置里引入“登陆”和“注销”模式。如此不两全其美！

终于要告一段落了，有如释重负的感觉！呵呵！

   希望这篇体验能给各位喜欢ESS的朋友带来帮助！在此，我也希望ESET能不断进步！期待，正式版能给我带来更好的体验。期待……

[ 本帖最后由 hanyu6382 于 2008-4-13 15:33 编辑 ]

blueak

很好的心得，谢谢楼主分享。

58dy

谢谢楼主分享

Guace

欢迎楼主将此帖转到官方论坛
论坛地址看我的签名

心情一隅

呵呵，没问题！只是贴图好枯燥的啊！

fhmarch666

好！顶一个～～～

mark1962

谢谢楼主分享