ESS--迟到的体验（持续添加一些ESS常见问题或相关技术介绍）【更新：5.7】

心情一隅

   
启发式实时侦测


      启发式是最有效的安全保护，病毒程序的防护必须要在其对计算机造成影响前实时地进行。那些时刻等待着病毒特征库更新的防毒软件会给攻击打开一扇窗，稍不留神就有可能给您造成灾难性的后果。ESET NOD32则凭借其ThreatSense ®技术，将会关闭这扇窗，而不像大部分依靠特征库更新的防毒软件。

      ESET NOD32通过实时分析应用软件的执行过程来判断是否存在恶意企图，可以提前地侦测并拦截病毒威胁。而且，在大多数情况下不需要进行病毒特征更新。与此相反，多数的其它杀毒软件只会在他们的用户受到新病毒攻击后的几个小时发布病毒特征。

以下文章摘自：http://bbs.duba.net/viewthread.php?tid=21853213
作者：帅的不敢上街

         我们常会听到「某某防毒品牌比其它品牌优胜」、「某品牌屡获权威测试机构最高评价」之类的宣传句子，但说到防毒品牌之间有何差异，却未必人人说得出来。事实上，优胜的防毒品牌采用了怎样的压倒性技术，让它在测试中傲视同齐？这些技术又有何革命性的意义，更周全地保护我们的计算机安全呢？在本篇文章中，我们将会深入剖析 NOD32 专利的 ThreatSense Technology 与崭新的 ThreatSense.Net 系统。

        直至现时，几乎所有防毒软件还是主要透过病毒数据库里的病毒特征数据，以此与扫描中的档案们加以对照，从而把合乎条件的真正病毒区分出来。面对几乎每天都有新病毒或变种出现，各防毒软件也唯有不断进行特征更新 (Signature Update) 与壮大自己的病毒数据库，确保在最短时间内把最新的病毒特征数据收录其中。

        这种处理方法看似简单妥善，但网络世界里出现过的病毒种类高达 7 万多种，即使是仍活跃的品种数目也达到数千种以上；若病毒数据库要一口气全数收录，数据库体积必然非常庞大，就是在扫描系统时进行逐笔数据对照，过程也极为费时。因此，像 NOD32 等较先进的防毒程序，已逐渐改变这种特征检测 (Signature-based Detection) 的防毒方式，进化成采用较新型的普遍特征 (Generic Signature) 检测技术。

        所谓普遍特征，就是指同一病毒族群中的不同变种，多半含有相同的病毒特征。不少病毒最初是以单一品种出现，及后经由其它病毒作者修改或自行演化，最后变化出数十种以上的病毒变种。若以传统特征检测方式处理，病毒数据库便要为每一种病毒变种也制作一笔独立的特征数据；而较新的普遍特征检测，则会从各变种中找出共同之处，包括一些非连续的程序代码，以此制作出通用的品种普遍特征。

        在进行系统扫描时，由于采用较少笔数的特征数据项已能检测同样庞大的病毒种类，因此进行对照工序时便能大大缩短时间。同时，对于由同一品种源头变化出来的新变种，只要吻合该族群的普遍特征条件，即使未更新病毒数据库亦很有可能成功进行拦截。因此，NOD32 更新数据库需时极短，每次更新不过下载 20KB 至 50KB 不等，绝不会加重网络与硬盘的负担。

        不少使用过 NOD32 的用户，都会惊讶它体积纤巧与速度惊人，其中一个成功之处在于 NOD32 采用综合性防护架构 (Integrated Protection)。NOD32 利用单一 ThreatSense 引擎处理病毒、蠕虫、广告软件、木马、间谍软件、网络钓鱼等各类恶意程序，大大简化工序与执行效能。

        某些防毒品牌利用多套独立软件处理不同的恶意程序，整套套件容量高达数百 MB 之巨，这样不单加重了系统负担，复杂的架构也造成管理困难，甚至在重迭的防护机制里造成保安漏洞。相比之下，根据 Virus Bulletin 的测试指出，NOD32 的综合性防护架构的扫毒速度往往比其它防毒品牌快 2 倍至 5 倍，表现非常出众。

        互联网的普及，让新病毒能在极短时间内迅速散播至世界上的每一个角落；恶意程序的作者们在撰写新的病毒、蠕虫与间碟软件时，也致力于如何绕过防毒软件的法眼，包括利用各种组合与包装技术来伪装，好让自己的「大作」可侵入系统大肆破坏。即使采用普遍特征 (Generic Signature) 检测技术，若遇上并非由已知病毒变种而来的新病毒品种，也就是说病毒库内并无有关特征数据，防毒软件还是无法将新病毒辨认与进行拦截。为了更迅速应对危机，防毒品牌无不强调更新病毒数据库之快；但即使行动有多迅速，在病毒首次现身与用户成功更新数据库之间，还是存在一段时间差，这段时间差可由数分钟到长达数天不等，视乎防毒品牌的效率而定。那么，计算机系统在这段时间里不就宛如出现缺口，任由病毒肆虐？针对这种状况，NOD32 的 ThreatSense 防毒引擎里除了具备普遍特征检测外，亦加入了更卓越的先进启发式技术 (Advanced Heuristics Technology)，有效防止新变种的蠕虫与病毒入侵。该技术是一种主动式防护(Proactive Protection) 技术，它辨别病毒的方法并非依靠任何特征数据库，而是在档案扫描时主动地拆解与分析档案的执行码，并在虚拟的仿真系统环境里执行它，以观察是否包含任何具危险性的恶意行为。

       该技术可说与普遍特征检测技术互相补足，构成完美的保安防线。例如，在 2005 年 9 月出现的 Win32/Bagle.DC 与 Win32/Bagle.DD 蠕虫病毒，特性是透过电子邮件方式感染，当时则以每小时 2000 封电邮的速度向外散播；它在设计上故意避开了依靠特征检测系统，使绝大部分依靠特征更新的防毒软件无法作出实时响应。而 NOD32 的 ThreatSense 引擎则迅速发现该入侵，显示了主动式与实时防护的重要性。事实上，在国际权威的主动式防护测试里，ThreatSense 引擎均能成功拦截超过 9 成以上的零日攻击蠕虫与病毒 (Zero-day worms and virus)，表现超卓。

       为了强化 ThreatSense 引擎的准确性与效率，NOD32 在最新版本里加入了崭新的 ThreatSense.Net 预警系统。该系统可说是把 ThreatSense 的优秀病毒分析能力，由个人计算机范围拓展至全球性规模处理；每当客户端的 NOD32 遇到疑似病毒的档案时，便可自动或手动地将该档案压缩加密，并经由电邮寄送到 sample@eset.com，快速地交由 ESET 原厂的相关人员进行分析研究；一旦发现确定为病毒，厂方便可尽快进行后续的处理动作。

心情一隅

可能很多使用ESS的朋友都遇到过这种问题：虽然把压缩包监控勾选上了，但在下载病毒样本压缩包或打开含有病毒的压缩包文件时，ESS并不报毒。只有手动扫描，或解压文件时才会报。

其实，ESET对压缩包的监控默认是关闭的（即使你勾选了压缩包监控），而且在设置选项里也没有提供相应设置。这是一个隐藏功能，要开启关闭这个隐藏功能，则需要修改注册表的键值来实现。具体方法：

打开注册表编辑器，找到下列键值：【HKEY_LOCAL_MACHINE\SOFTWARE\ESET\Eset Security\CurrentVersion\Scanners\01010101\Profiles\@My profile】下的ArchiveEnable，开启监控压缩包值设为1，关闭监控压缩包值设为0。注意：修改完注册表不会马上实现功能开启或关闭，需要再进入ESS设置选项，不用进行任何设置，只要点“确定”即可。

开启压缩包监控后，就可实现对其下载、复制、删除、读取等操作的监控了。

[ 本帖最后由 hanyu6382 于 2008-4-17 13:49 编辑 ]

liang_news

好贴，谢谢分享啊

心情一隅

或许有些朋友会遇到这么一个问题：申请的三个月ESS的ID，未足三个月却显示过期了。对此有一种可能，那就是把该ID用于ESS企业版（商业版）（不包括ID泄露），因为此次活动的ID只能用于官方家庭版：

关于ESS家庭版和企业版（商业版）的区分，如图：

从安装程序区分：

从安装界面区分:

扩充：关于序列号及对应版本的说明

以下文章摘自：http://www.nod32club.com/forum/viewthread.php?tid=38686&extra=page%3D1

作者：nod32官方论坛的 kakala 版主

最近，有很多用户发帖询问ESET产品序列号的有关问题，在此，我将问题作统一说明：

软件的序列号是您使用软件的合法凭证。在您购买软件之后，你需要将序列号进行注册，然后将获得的用户名和密码填写到软件更新设置中，才能获得病毒库和组件更新以使您得到有效的保护。

根据对应版本的不同，您获得的用户名有2种：

1.以AV开头，后跟7位数字，中间以横杠相隔

这种用户名所对应得序列号为ESET NOD32 2.7版序列号，在有效期内该序列可以用于以下版本：

ESET NOD32 2.7
ESET NOD32 3.0

2.以EAV开头，后跟8位数字，中间以横杠相隔
这种用户名所对应得序列号为ESET NOD32 3.0版序列号或者ESET 安全套装序列号。

其中，对于ESET安全套装的序列号，在有效期内可以用于以下版本：
ESET NOD32 2.7
ESET NOD32 3.0
ESET 安全套装

对于ESET NOD32 3.0的序列号，在有效期内可以用于以下版本：
ESET NOD32 2.7
ESET NOD32 3.0

也就是说，您购买的正版ESET NOD32 2.7的产品中的序列号，只能用于ESET NOD32 2.7或ESET NOD32 3.0。 如果您将ESET NOD32 2.7或3.0序列号用于ESET 安全套装，那么ESET 安全套装将自动转换为30天试用模式，在30天之后软件将提示您更换为ESET NOD32 3.0或者购买ESET 安全套装。

注意！您无法从用户名判断该序列号适用于ESET 安全套装或者只能用于ESET NOD32 3.0以下版本。

ESET 安全套装和ESET NOD32 3.0版尚未在国内上市，如果您购买到声称为ESET 安全套装和ESET NOD32 3.0版或其序列号，那么您可能已经成为盗版经销商的受害者。

onesagain

楼主观点不错,比较支持!

diaojf

原帖由 hanyu6382 于 2008-4-19 13:21 发表
或许有些朋友会遇到这么一个问题：申请的三个月ESS的ID，未足三个月却显示过期了。对此有一种可能，那就是把该ID用于ESS企业版（商业版）（不包括ID泄露），因为此次活动的ID只能用于官方家庭版：

关于ESS家庭版和 ...

此言差矣，ESS试用版ID目前可以用于BE版,但仅限于升级，不能下载MSI文件。

心情一隅

原帖由 diaojf 于 2008-4-20 16:57 发表


此言差矣，ESS试用版ID目前可以用于BE版,但仅限于升级，不能下载MSI文件。

多谢指正！ 有些问题的解决方法我只是通过多方收集资料得来，不一定正确。如有什么问题，希望大家指正。

心情一隅

再次转载一篇有关启发式查毒技术的文章，希望对大家了解ESS有所帮助。

文章地址：http://bbs.duba.net/viewthread.php?tid=21859472&extra=page%3D1%26amp%3Bfilter%3Ddigest
作者：帅的不敢上街

启发式=简化虚拟机+简化行为判断引擎

        Heuristic(启发式技术=启发式扫描+启发式监控)重点在于特征值识别技术上的更新、解决单一特征码比对的缺陷。目的不在于检测所有的未知病毒，只是对特征值扫描技术的补充。主要针对：木马、间谍、后门、下载者、已知病毒(PE病毒)的变种。

       启发式技术是基于特征值扫描技术上的升级，与传统反病毒特征值扫描技术相比，优点在于对未知病毒的防御。是特征值识别技术质的飞跃。

      传统反病毒特征值扫描技术，由反病毒样本分析专家通过逆向反编译技术，使用反编译器（ollydbg、ida、trw等）来检查可疑样本文件是否存在恶意代码，从而判定程序文件是否属于正常程序或病毒、恶意软件。在确认程序为病毒、恶意软件后，不同的安全厂商根据自己的标准对此可疑程序样本进行特征提取和样本命名（不同安全厂商有自己规定的特征提取点和样本命名规则）。最后经过测试部门测试通过后，更新到服务器，提供用户的本地病毒库更新。在用户操作系统正常监控或用户手动扫描后，利用杀毒引擎对系统上的文件自动进行特征值提取并与病毒库中已存特征值比对，条件符合即比对结果为真时，即判断此文件为病毒库中记录的特征值对应的病毒名称的病毒（恶意软件）。

       病毒、恶意软件通常最初的指令是直接读写磁盘操作、解码指令，或获取系统目录(GetSystemDirctory)、获取磁盘类型(GetDriveType)、打开服务管理器(OpenSCManager)等相关操作指令序列。这些都是病毒样本分析专家分析中得到的经验。

       启发式技术，在原有的特征值识别技术基础上，根据反病毒样本分析专家总结的分析可疑程序样本经验（移植入反病毒程序），在没有符合特征值比对时，根据反编译后程序代码所调用的win32API函数情况（特征组合、出现频率等）判断程序的具体目的是否为病毒、恶意软件，符合判断条件即报警提示用户发现可疑程序，达到防御未知病毒、恶意软件的目的。解决了单一通过特征值比对存在的缺陷。

       例如：一个可疑程序通过反病毒杀毒引擎反编译后，发现代码中自动释放可执行文件驻留系统目录、伪装系统文件、注册win32服务获取系统管理权限、通过命令行删除自身文件，调用系统组件svchost.exe来开启后门服务，隐藏自身进程并尝试通过OpenSCManagerA、OpenServiceA、ControlService等函数来开启系统自身的终端服务，以便进一步控制计算机。通过这些条件即可判断为恶意软件（后门程序）。

diaojf

原帖由 hanyu6382 于 2008-4-20 23:14 发表
再次转载一篇有关启发式查毒技术的文章，希望对大家了解ESS有所帮助。

文章地址：http://bbs.duba.net/viewthread.php?tid=21859472&extra=page%3D1%26amp%3Bfilter%3Ddigest
作者：帅的不敢上街

启发式=简化 ...

看着是ESS高级启发中第二项的“代码分析”，不是第三项“虚拟机”。
代码分析应该属于静态启发。虚拟机才是动态启发。
讨论中...

looklover

精,,,,,谢谢分享