ESS--迟到的体验（持续添加一些ESS常见问题或相关技术介绍）【更新：5.7】

心情一隅

      在对ESS进行设置时，我们常会接触这么一个词：加壳。对这，很多朋友可能略微知道些，但不是很清楚。在此我从zwl2828的”虚拟机脱壳，启发式，主动防御“这篇帖子中摘了些关于加壳、脱壳技术的介绍，希望能让大家对杀软有个更深入的了解。

      好的杀毒软件，重要在引擎的优秀，病毒库越大，杀毒速度肯定会降低。因为病毒库杀毒的过程，是引擎把判断能力交给病毒库，用病毒库与指定的文件进行对比判断。
   
       其实病毒库与杀毒引擎没有直接的关系，杀毒引擎的任务和功能非常简单，就是对指定的文件或者程序进行判断其是否合法。而病毒库，只不过是对杀毒引擎的一种补充，那个过程，就是杀毒引擎对文件或者程序判断。明白这一点，就应该知道，好的杀毒软件，重要在引擎的优秀，病毒库越大，杀毒速度肯定会降低。因为病毒库杀毒的过程，是引擎把判断能力交给病毒库，用病毒库与指定的文件进行对比判断。

加壳、脱壳

1、什么是加壳
   
        所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序)，以达到缩小文件体积或加密程序编码的目的。

        当被加壳的程序运行时，外壳程序先被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压缩，并把控制权交还给脱壳后的真正程序。一切操作自动完成，用户不知道也无需知道壳程序是如何运行的。一般情况下，加壳程序和未加壳程序的运行结果是一样的。

       如何判断一个可执行文件是否被加了壳呢?有一个简单的方法(对中文软件效果较明显)。用记事本打开一个可执行文件，如果能看到软件的提示信息则一般是未加壳的，如果完全是乱码，则多半是被加壳的。
为什么黑客能够利用加壳技术来对抗反病毒软件呢?众所周知，目前杀毒软件主要依靠特征码技术查杀病毒。由于加壳软件会对源文件进行压缩、变形，使加密前后的特征码完全不同。

        脱壳能力不强的杀毒软件，对付“加壳”后病毒就需要添加两条不同的特征记录。如果黑客换一种加壳工具加壳，则对于这些杀毒软件来说又是一种新的病毒，必须添加新的特征记录才能够查杀。如果杀毒软件的脱壳能力较强，则可以先将病毒文件脱壳，再进行查杀，这样只需要一条记录就可以对这些病毒通杀，不仅减小杀毒软件对系统资源的占用，同时大大提升了其查杀病毒的能力。

2、 脱壳

      马甲”能穿也能脱。相应的，有加壳也一定会有解壳(也叫脱壳)。脱壳主要有两种方法：硬脱壳和动态脱壳。

      第一种，是硬脱壳，这是指找出加壳软件的加壳算法，写出逆向算法，就像压缩和解压缩一样。由于，目前很多“壳”均带有加密、变形的特点，每次加壳生成的代码都不一样。硬脱壳对此无能为力，但由于其技术门槛较低，仍然被一些杀毒软件所使用。

      第二种，是动态脱壳。由于加壳的程序运行时必须还原成原始形态，即加壳程序会在运行时自行脱掉“马甲”。目前，有一种脱壳方式是抓取(Dump)内存中的镜像，再重构成标准的执行文件。相比硬脱壳方法，这种脱壳方法对自行加密、变形的壳处理效果更好。

3、虚拟机脱壳引擎(VUE)技术

      对于病毒，如果让其运行，则用户计算机就会被病毒感染。因此，一种新的思路被提出，即给病毒构造一个仿真的环境，诱骗病毒自己脱掉“马甲”。并且“虚拟环境”和用户的计算机隔离，病毒在虚拟机的操作不会对用户计算机有任何的影响。

      “虚拟机脱壳”技术已经成为近年来全球安全业界公认的、解决这一问题的最有效利器。但由于编写虚拟机系统需要解决虚拟cpu、虚拟周边硬件设备、虚拟驱动程序等多个方面的困难。

diaojf

非常好，赞一个。
听说目前有免杀高手在研究虚拟机和常规运行环境的区别，而且很有成果！

其实做免杀的高手对杀软的好坏更加的有发言权。

diaojf

现在试试离线升级。
看现在是3055版本：



我把C:\Program Files\ESET\ESET Smart Security目录下7个病毒库删除：


008那个库是防火墙的，删除了，ESS会提示“规则”错误，虽然可以处理好，可是我也嫌麻烦，就不删了。
在用3048版本的恢复病毒库：
OK，已经恢复：


现在开始离线升级到3055，离线包在此：



开始：



OK，成功：




这里主要是告诉大家一个如何恢复病毒库至老版本的办法！

[ 本帖最后由 diaojf 于 2008-4-26 00:59 编辑 ]

diaojf

我要晕倒了，怎么前边的2个图不显示呀？

补充在这：

1、




2、

心情一隅

哈哈，多谢diaojf的补充！
26号回家了一趟，今天才回来。家里不能上网，只能通过手机上，但经常打不开。没法，有段时间没更新了，有愧“基本每日一贴”啊！
今天开始，继续了解ESS吧！
掉积分【就是diaojf，哈，我给他取的外号，希望他别介意，呵呵呵】对NOD32是很有研究的，如果碰到有什么解决不了的问题可以向他请教。虽然看我也在NOD32发发帖子，好像还挺内行的，呵呵，其实呢，我懂的不多，大多只是搜集整理而已，和diaojf比，根本不是一个档次啊！
有问题尽管向他请教吧！嘿嘿！

心情一隅

对这个帖子，我是比较喜欢的。只要用着ESS，我就会一直更新下去的。这帖子，就当作是自己备用的问题集合帖，以后有问题，自己也可翻阅查看，呵呵！所以，我也希望大家能分享自己的问题和解决的方法。

luyou006

进来学习一下。。不错不错赞一个。。o(∩_∩)o...
我电脑里用的是卡巴斯基。不过NOD32安全套装我是在虚拟机软件里尝试的。很好。o(∩_∩)o...。

心情一隅

曾有朋友对同时开启ESS个人防火墙和Windows防火墙是否兼容和是否有必要同时开启多个防火墙提出疑问。在此我撇开同时开启多个防火墙是否有必要的问题，谈谈ESS防火墙和系统自带防火墙的兼容性问题。

在Windows XP2以后的版本中，Windows防火墙默认是开启的：



在Windows防火墙没有启动的情况下，安装ESS后，“安全中心”会有ESET防火墙已启用的相关提示：



但当在Windows防火墙已经开启的情况下安装ESS，则我们会欣喜的看到：两者和平共存



结论：ESS的防火墙可跟Windows的防火墙同时开启，并可彼此互相切换。

补充：Windows防火墙的开启：依次单击“开始”、“控制面板”、“网络和 Internet 连接”，“Windows 防火墙”，然后在“Windows 防火墙”窗口中选择“启用”。


[ 本帖最后由 hanyu6382 于 2008-5-1 21:11 编辑 ]

diaojf

哈哈，楼主又开始更新了，

心情一隅

原帖由 diaojf 于 2008-5-1 21:24 发表
哈哈，楼主又开始更新了，

呵呵，是啊！在病毒测试区承包了ESS的病毒扫描测试，最近都在那逗留着。