原创：来自NOD 32 2.7右键扫描不报，运行报的测试报告！

显示全部楼层 · 发表于 2007-1-31 15:24:30

近期有部分坛友对NOD 32右键扫描不报运行报的安全性提出质疑，于是我用自己的电脑今天就做了二个测试，

第一种测试：

第一步，将测试前的系统ghost恢复到我刚刚重装系统时的状态，保证无毒，系统为雨林木风1.85国庆纯净版。然后装上NOD 32和小红伞，双双关闭监控。重启之后，更新病毒库，然后直接运行样本木马Downloads，然后重启（因为主要是测试NOD 32，所以设置了NOD 32开机自动监控，关闭小红伞开机监控）。重启之后发现，NOD 32前后弹出11个红色提示框（我没有删除所提示的木马程序），之后没有动静。

第二步：用红伞扫描，报告如下（有三个警告）：
⒈C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\M8JUO3AR\zaq7[1].exe
   [DETECTION] Is the Trojan horse TR/Crypt.FKM.Gen

⒉C:\Program Files\Common Files\System\IDrivers.pif
   [DETECTION] The file name contains an executable file extension disguised as a harmless one HEUR-DBLEXT/Crypted

⒊C:\Program Files\Common Files\System\temp[8].exe
   [DETECTION] Is the Trojan horse TR/Crypt.FKM.Gen

全部忽略以后，再用NOD 32扫描，结果如下（共有4个），见图0：

这里我们可以看到，两个杀软报的文件各不相同，那么我们这次来一步一下验证：
首先，红伞报的第一个和第三个（zaq7[1].exe和temp[8].exe）NOD 32并没有报告，经我运行，发现是死马，见图1：

但是第二个如果运行NOD 32就会弹出N个红框框，这意味着什么？大家都清楚。。。帖个图上来，见图4：

于是潜在的危险找到了，NOD 32对这个程序毫无反应。但是这个程序危害在哪里？就目前来看，MS主要危害在第一次运行样本会自动执行。。它是一个隐藏文件，但第一次运行以后不会开机自动运行，活是活的，可惜是个痴呆。。。见图2、3、5：

第二种测试就简单说下，还是用恢复的刚重装备份的干净系统，这次用NOD 32开启监控，红伞关闭监控的状态下运行样本，在运行样本后，大概过了10秒左右，NOD 32开始弹出11个红色提示框（这次我删除了弹出提示的11个木马），之后安静。再用NOD 32扫描，没有报一个木马。再用小红伞扫，其报告结果和第一种测试一样。

从中可以看出什么问题？我个人认为，NOD 32对此样本本身的确和某位坛友所说那样，不报样本本身，而报downloads过来的木马，但是的确没有给我惊喜，我并非强词夺理，因为即使如此，NOD 32还是很好的保证的系统的正常运行，也确实符合了NOD 32“只杀活，不杀死”的作风！但是小红伞的表现也非浪得虚名，因为红伞能在第一时间对样本自身进行查杀，从而避免了潜在的危险。它俩的作风不一样，一个是宁杀勿纵，一个是见机行事。看你的爱好了。：）

样本地址：http://bbs.kpfans.com/viewthread.php?tid=46624&extra=page%3D1

PS：请下楼的坛友注意一下，适当的讨论是好现象，但不要有什么过格口水战之类的行为，否则我会采取一定的措施！谢谢！

另，如转帖请标明主题帖的出处和作者，否则后果自负！谢谢！

[ 本帖最后由曲中求于 2007-2-6 02:19 编辑 ]

显示全部楼层 · 发表于 2007-1-31 15:25:29

强烈支持

NOD没有那些人说的那么差的

显示全部楼层 · 发表于 2007-1-31 15:42:08

补上了样本地址，差点连这个都忘了。。真是大意。。。。

显示全部楼层 · 发表于 2007-1-31 15:45:15

NOD对马现在确实还不怎么样....

显示全部楼层 · 发表于 2007-1-31 15:58:11

是觉得运行这个样本报了2个？其实是报了11个。。。。

显示全部楼层 · 发表于 2007-1-31 16:07:59

宁杀勿纵的好，目前设置红伞默认删除，见到它报谁就杀谁，至今也没有问题，已经把网际快车，QQ音乐文件，一个系统文件杀掉了，不过它们都还可以正常运行

显示全部楼层 · 发表于 2007-1-31 16:12:20

楼上的已明显有杀毒综合症。。。。

显示全部楼层 · 发表于 2007-1-31 16:19:15

不是

是现在我对NOD的感觉

显示全部楼层 · 发表于 2007-1-31 16:30:28

呵呵，说实在话，我倒觉得还可以，可能是没有达到你预期的效果吧！

从这次测试中我也终于明白了，为什么有一次我用NOD 32时只开了一个QQ和朋友闲聊，但是NOD 32无故弹出N个红色警告框的原因了。。。。。那时俺比现在还菜。。。没有办法！！！

[ 本帖最后由曲中求于 2007-1-31 16:34 编辑 ]

显示全部楼层 · 发表于 2007-1-31 17:34:15

太谦虚了吧

[讨论] 原创：来自NOD 32 2.7右键扫描不报，运行报的测试报告！

本帖子中包含更多资源

评分

回复 #4 ly250094040 的帖子

回复 #5 曲中求的帖子

回复 #8 ly250094040 的帖子

回复 #9 曲中求的帖子