前些时间在坛子里曾说,要发一帖为NOD 32“平反昭雪”,虽然说得有些夸大其词,不过实为心中有感。。故不得不发。
认为NOD 32我是在去年3月份左右,当时的NOD 32在众多网友眼中被看为和咖啡一种类型,监控灵敏而著称!在网上口碑也还不错,但是随着时间的推移,NOD 32在众人的眼中逐渐演变成“防毒一流、防马二流甚至是三流、四流”的杀软。中国的网络安全的情况大家都清楚,堪称“木马世界”毫不过分,于是就有了众多网友称NOD 32水土不服,或从自身设计理念而言不适合国内使用。从现在的情况看,我个人认为,NOD 32在国内的人气已明显看到下降,我认为有几种原因:
⒈所谓无风不起浪,关于NOD 32对国产木马的情况是杀软fans说的最多的情况之一。从我个人的使用情况来看,NOD 32在2006年3月份时对最常见的QQ大盗熟视无睹确实让我吃惊不小(咖啡亦如此),但是在其它方面的使用上并未有什么过大的损失,可能也和我的上网习惯有关,我长年四季碰不到什么毒,连历年的冲击波、震荡波、现在的威金、熊猫一个都没有碰上。。也就是说对国产木马无视的状态确实存在,但这么现象的存在因为时间和技术的改进已明显已有好转,这个我后面再说。
⒉这第二种原因嘛,其实是一种心理因素。因为一些网友在使用NOD 32过程中中过不少木马,因而弃用,且在各大论坛上发表散发NOD 32对木马无视的情况,这里面也包括一些枪手在内,当然,有些用户也是真实感受,这个大家心理都清楚。首先我们要看一个“中木马”问题,我想说的是,中木马NOD 32不报我们每一个使用NOD 32的朋友都必须承认,因为很多人在使用中也确实中木马,而且有些用户堪称中了不少,包括我在内。这个问题是一个很难说清楚的问题,它有几种情况:比如你能确定你后来用别的杀软杀出的木马全是活马吗?如果你天天进XX网站,你说时间长了中了很多,我认为是正常现象,这个我不作解释,这个道理大家都明白。还有一个就是我刚刚说的,NOD 32确实有马查不出,但是我再问,有哪款杀软可以说我就可以全部查出?所以,这是一个很难说清楚的问题。这所以会中很多马有上网习惯问题,也有NOD 32查杀的问题,主客观问题都存在。于是很多正想试用NOD 32的网友一听这么一说,我可以说,很多人都胆战心惊,对试用NOD 32起了打消、犹豫的念头。时间一长,恶性循环,以讹传讹……,于是NOD 32在现在很多国内网友心中就是杀马太差的印象。
⒊第三个原因也很明显,就是NOD 32在各大样本区的表现。可是说在样本区的表现NOD 32一直不尽如人意。从我的“样本”测试来看,有这么几种情况,一是死马。这个名词我不用作解释吧?大家都知道。二是基本上都是右键扫描来判定NOD32是否可以查杀的根据。三是活马,NOD32确实不报。
第一种情况,死马问题,这个可以排除,不报是NOD 32的最为常见的方式,本身无所谓。
第二种情况,是右键扫描问题,我这里可以给大家引用三个帖子作反证:
http://bbs.kpfans.com/viewthread.php?tid=38005
http://bbs.kpfans.com/viewthread.php?tid=38093
http://bbs.kpfans.com/viewthread.php?tid=46278&extra=page%3D1
10楼
http://bbs.kpfans.com/viewthread.php?tid=46624&pid=500081&page=1&extra=page%3D1#pid500081
3楼
http://bbs.kpfans.com/viewthread.php?tid=48700&page=1&extra=page%3D1#pid526654
这个不再多说了,大家自己看,这种例子我自己在试的时候确实非常多,只是考虑到下面说的第三种情况和长期试毒的后果,所以不敢多试。
之所以后来敢运行病毒测试,是因为在安装2.7英文版时看到了帮助文件里的对新加功能(不受欢迎软件)的说明:
Potentially unwanted applications are programs that might not actually pose a security risk; these applications usually require a user's consent before installation. They may affect your system's behavior in the following ways:
a) showing windows that would normally not open
b) activation and running of processes hidden to the user
c) increased consumption of system resources
d) change of search results
e) communication with the application provider servers
PS:蝎子说,2.5的时候就这样,我补充一下,可能是我当时没有作这样的测试。。并且从2.7的更新来看,应该在这方面比2.5加强了不少。
第三种情况就是真正的木马,NOD32无视。这种情况也是客观存在的。因为有些病毒和恶意程序如果运行之后不能及时发现并被删除,会产生非常非常严重的后果(比如,重启之后会发现整个硬盘被格式化等等),所以我自己也不敢在样本区多试……。
所以说样本区本身就是一个非常复杂的情况,它涉及到病毒、木马的有效性。也同时涉及到各个杀软自己的设计理论问题,所以有时会有不同的结果。个人认为,排除病毒、木马的有效性不说,仅仅就右键扫描来判定NOD 32是否可查杀样本不完全说明问题。问题就在于不是每个人都用工具一个一个运行试,也不是每个朋友都对病毒体本身进行提前分析它自身的有效性。所以NOD 32目前在样本区的表现并不是真正的面目。因为里面真象、假象都有。。
关于有朋友提到为什么监控不报,而查杀可以发现问题,我想其中的原因之一就是帮助文件中所提到的:
IMON 有兩個不同的運作模式: 主動或被動模式。在被動模式 (更高兼容度), 檔案的每個下載部份都會送到目標軟件而IMON會保存一份暫時的複件。在送完最後一個部份之後, 整個檔案便會被掃描。如果發現入侵, 會出現一個警告視窗, 同時與該個網站的連線亦會被中斷。這個做法有一個壞處, 就是已下載的部份可能會包含有害的程式碼。另外, 如果程式不斷要求下載受感染的檔案, 程式可以使用已下載的資料, 並只要求下載剩餘的部份。在這個情況下, IMON 可能不能發現餘下部份有可疑的地方。
在主動模式 (更高效能), IMON 會先下載和掃描整個檔案, 然後才傳給目標程式。這個步驟比較安全, 因為如果發現入侵的話, 目標程式不會收到下載檔案的任何部份。這個做法有一個壞處, 就是程式不能即時接收所有資料, 因此不能正確地顯示下載狀態。因為, 如果下載在五分鐘內仍不能完成, 在系統的狀態列便會彈出一個小視窗, 顯示下載的進度。主動模式不適合需要持續資料交流的檔案種類 (例如是多媒體, 即時下載的影像或音效)。
伺服器兼容性選項讓你將某些伺服器設為較高兼容性, 這個設定將獨立於瀏覽器的設定。
NOD 32到底性能怎么样?从我自身的使用体验角度来说,我还真没有底。因为我不能天天用自己的电脑来运行病毒和木马。我只能说的是,对于一般普通用户而言,NOD 32还是一个不错的选择。如果你天天到处去一些XX站,那我想说的是,装个第三方的防火墙,并备份好系统,且作好随时可以牺牲的准备。因为这个时候什么杀软都不能和你说完全没有问题。
这几天NOD 32好消息不断,官方重新开通免费申请90天正版ID、国内服务器正式建立并提供了更新、并且有消息透露说还将建设病毒收集服务器、病毒百科等项目,以便协助NOD32能针对国内网络环境,提供更优秀的防毒能力。对目前众多NOD 32 fans来说,的确让人振奋,虽然NOD 32的的确确存在这样那样的问题,可是相信时间不用多长,我们还将看到NOD 32在中国的更好的进步。
对于网上长期说的NOD 32上报从不回复的问题,见本论坛(卡饭)国外其化杀软版块NOD32区的置顶帖,相信会让你的看法有所改观:http://bbs.kpfans.com/viewthread.php?tid=44678&extra=page%3D1
好了,呵呵。说实在的,在坛里这么久,发的主题帖真是少得可怜,在这之前才一共6帖。。。。在写这篇印象使用记之前,相继在电脑报官方论坛发了KIS 60设置帖和在本论坛(卡饭)发了一个红伞的设置帖,虽然水平质量有限,也没有什么技术性含量,但是希望能与大家一起分享体验和感受一件让人高兴的事,希望以后能再有机会分享彼此的经验与感受。先写到吧。。。
最后说一句,如要转帖的朋友,请在转帖时注意出处和作者,否则后果自负!谢谢!
[ 本帖最后由 曲中求 于 2007-2-6 03:14 编辑 ] |
发表于 2007-1-30 23:47:38
发表于 2007-1-31 00:19:55
发这么多不嫌累哦...
楼主