还是不明白

Hallelujah

刚才问了个关于高启发的问题
http://bbs.kafan.cn/thread-381699-1-1.html

回头看了白皮书，上面有这么两段

与已存在的文件相比，新建文件被感染的可能性相对较高。这正是ESET NOD32 安全套装程序在扫描这些文件时提供额外参数的原因。对于新建文件，在使用普通特征扫描的同时，还启用了高级启发式扫描，极大提升了病毒检测率。除了新建文件，扫描对象还包括自解压文件（SFX）和加壳程序（压缩后的可执行文件）。

为了在使用实时防护的同时把对系统性能的影响降至最小，已经被ESS 扫描过的文件不会再被反复扫描（在被修改前）。但每次病毒库更新后，ESS 都会对其重新进行扫描。这一行为可以通过使用优化扫描选项进行配置。如果这一选项被禁用，所有文件在每次被访问时都将被扫描。

如果真的像上一个帖子所说的，文件修改后第一次扫描是开高启扫描，排除更新病毒库的情况下，再监控该文件，只要文件没有修改，就不会扫描。但是如果设置上如果没有勾选“优化扫描”选项的话，那么每次都会扫描，这个每次扫描是开高启还是不开高启？如果是开高启的话，那不就是全局高启了么，如果不开高启的话，就像我上一个帖子所说的，用侦测率只有10%左右的普通特征扫描是不是既浪费资源又达不到很好的效果？

Hallelujah

我分析应该是这种情况：
以设置全部为默认为例
病毒库更新分两部分，一个是特征码更新，一个是高启引擎更新
对于已经扫描过的，没有修改的文件，白皮书说每次病毒库更新后，ESS 都会对其重新进行扫描。如果ESS只更新了特征码，那么下次监控的时候不开高启扫描，如果更新了引擎，那么下次监控的时候会开高启扫描
如果没有勾选“优化扫描”选项，白皮书说所有文件在每次被访问时都将被扫描，我认为只是特征码扫描。
原因是如果是高启扫描的话，就变成全局高启了，而且在这里高启扫描没用，因为高启引擎更新后第一次监控一定会扫描到这个文件。


如果是这样的话，ESS的病毒库就不单单是高启发引擎的补充了，它不仅仅是补充了高启发杀不了的病毒，最近流行的病毒，尽管高启发能发现，还是要加入病毒库一段时间，用于非高启状态下的监控。过一段事件后再移除

我的想法是这样的，待达人解释