装多个杀软会造成NOD启发式监控失败

aoyang

杀软还是装一个好，可就是有那么些人喜欢装多了，以为加强了保护，其实这样得不偿失。

关于近期部分网友反馈的美国安全软件NOD32与微点主动防御软件同时安装在同一系统上，同时开启实时监控后引起NOD32在解压文件时漏报的问题，东方微点公司非常重视，经东方微点公司深入跟踪分析测试，现已查明此现象不是软件冲突，而是由于NOD32文件实时监控系统对不同状态文件采取不同扫描策略导致。

跟踪分析结果简述如下：
NOD32的文件实时监控系统根据被扫描文件的当前状态共分为三种实时监控策略，即NOD32的AMON设置中“侦测——文件执行扫描于”选项中所标明的 “开启”、“新建”和“执行”三种状态（默认设置三个选项同时启用），并且不同状态采用的扫描策略有所不同。本例主要涉及“开启”和“新建”两个状态的实时监控策略。

可能出于减少系统资源占用考虑，NOD32对状态为“开启”的文件采用的扫描策略是，仅使用已知特征扫描，并记录该文件已经被扫描的状态，而不使用启发式引擎扫描。
NOD32对状态为“新建”的文件采用的扫描策略是，同时使用已知特征扫描和启发式引擎扫描。

在同时安装有多种杀毒软件的计算机上，如其它杀毒软件（包括且不限于微点主动防御软件）实时监控优先级高于NOD32，即新解压缩生成文件时，其它杀毒软件抢先对新生成的文件进行监控检测，尔后NOD32使用文件“开启”状态的扫描策略，因此，仅使用已知特征扫描，并记录该文件的扫描结果，而不使用启发式引擎。所以此时NOD32的启发式扫描不会报警。

在其他杀毒软件检测结束后，NOD32可能出于减少系统资源占用考虑，直接查看NOD32上步检测所记录的该文件扫描结果，而不是使用“新建”策略完整地对该文件进行已知特征和启发式扫描。

对此，广大用户可以使用下列方法对上述环境进行自行测试：去掉NOD32的AMON设置中“开启”选项，而保留“新建”选项。此时解压缩文件，NOD32 的启发式会正常报警。因为此时NOD32不再使用“开启”模式的扫描策略，也就不存在“新建”状态下先检查文件扫描结果的过程，NOD32会直接使用特征码和启发式引擎进行扫描。

经过对nod32分别与其他杀毒软件并存的状态下测试，皆存在用户反馈的问题。对此，由于安全软件的特殊性，我们建议广大用户最好不要同时安装使用多种安全软件（包括且不限于杀毒软件和防火墙）。


总结一下就是：凡是实时监控优先级高于NOD32的杀毒软件都会造成NOD32启发式实时监控漏报。
简单测了几种常用的杀软，NOD32三种监控全开（默认设置）和以下杀毒软件实时监控同时使用时，NOD32的启发式实时监控会出现漏报情况：

微点
江民KV2007
瑞星2007
McAfee 8.5i （有些卡机，但是不影响测试结果）
Symantec AntiVirus v10.1.5.5000 （发个牢骚，我测的这版Symantec卸载后居然还有服务在运行。。。）
卡巴斯基 KAV6.0.0.307 （测试时注意安装顺序，要先装卡巴再装NOD32。先装NOD32的话，卡巴不让安装）

测试方法很简单，没必要抓图了。有兴趣的随便找两个样本：一个NOD32报特征的，一个NOD32报启发的。压缩成RAR文档，单用NOD32，解压缩的时候两个都会报警；如果用NOD32和以上杀软同时开监控，解压缩RAR，NOD32只报已知，启发式那个样本就漏报了。

ngh55

用NOD32与红伞同时监控，在前者监控设置排除对红伞进程、系统防火墙和网络防火墙的监控；在后者监控设置排除对NOD32、系统防火墙和网络防火墙进程的监控，没有一点卡的感觉，两者共同工作相得宜章。给我的感觉是好极了！
加上系统防火墙和网络防火墙的保护，打造一个安全的系统。系统已经用了近三年，到现在还没有中过一次标，还是那么迅捷跟初装没什么区别。当然这也和常常进行系统维护：及时打上补丁，定期清理垃圾文件，清理注册表，定期进行磁盘碎片整理，注册表碎片整理，页面文件碎片整理不无关系。

aoyang

原帖由 ngh55 于 2007-4-14 17:58 发表
用NOD32与红伞同时监控，在前者监控设置排除对红伞进程、系统防火墙和网络防火墙的监控；在后者监控设置排除对NOD32、系统防火墙和网络防火墙进程的监控，没有一点卡的感觉，两者共同工作相得宜章。给我的感觉是 ...

你以为这样很安全了，我是从来不会装两个杀软的。

ly250094040

好久不见你这只老猫

adonis219

这个倒是没有试过，谢谢分享~~~~~~~~~~~

傻猪猪米走鸡

我知道了！！谢谢分享，不知道风云防火墙跟这个拉不拉得上关系？？

aoyang

回楼上的，NOD+风云墙==绝对没问题。
你好象都不看帖子内容，看完就你就不会问我这极度简单到无聊的问题了。

东海林将司

360也会使监控失灵

promised

原帖由 aoyang 于 2007-4-14 21:44 发表
回楼上的，NOD+风云墙==绝对没问题。
你好象都不看帖子内容，看完就你就不会问我这极度简单到无聊的问题了。

NOD32的监控已经很不错了
没有必要开两个监控
辅助杀毒的话自己做个绿色就好了
提醒一点
千万不要装了NOD32
在装完整的DR.WEB
再补充一点
咖啡和NOD32一起装
咖啡的监控会失灵的

[ 本帖最后由 promised 于 2007-4-14 21:55 编辑 ]

yzt1004

原帖由 ly250094040 于 2007-4-14 18:15 发表
好久不见你这只老猫

噫嘻～～～～
说一下，我以前给同学装杀软的时候一直用的卡巴+NOD32，结果上次发现一个过卡巴的病毒，，在任务管理器运行得正欢着呢，NOD32一点反应没有。。尝试深入扫描后报告New PE_virus。。。。。。
现在原理算是知道了，，可是NOD32这脾气实在是～～～～！！
就跟右键扫描的时候只提供退出选项一样，精神可嘉，意图可以理解，但是…………