也许启发强但eset其实比较弱离几个巨头还有距离

atg

       看了几个关于nod32技术的帖子，基本了解了它启发的运作，“除了常规病毒特征码检测外，NOD32基于TS启发式引擎的检测技术还有2种。1、静态启发。静态启发这一块含有2种技术。第一种是基于病毒库中已有的特征码对比，并在静止状态下通过简单的反编译，核对病毒头静态指令来识别病毒。第二种就是基因码检测（国外的叫法），类似于国产杀软的广谱查杀技术。主要是从各病毒变种中找到一些相同的非连续的程序代码，制作出通用的家族启发规则，内置于NOD32中。一旦在对比中发现可疑文件含有的部分代码符合或接近此家族启发规则，就进行报毒。这对NOD32来说，还算是小儿科的。真正厉害的是它的动态启发。2、动态启发  动态启发远比静态启发要先进和复杂很多。它辨别病毒的方法并非依靠任何特征数据库，而是在档案扫描时主动地拆解与分析档案的执行码，并使用虚拟机技术，给可疑文件构建一个虚拟仿真的运行环境，诱使它在杀软的模拟缓冲区中运行，如运行过程中检测到可疑的动作，则判定为危险程序并进行拦截。这种方法对加壳病毒依然有效，但如果控制得不好，会出现较多误报的情况。动态启发因为考虑资源占用的问题，因此目前只能使用比较保守的虚拟机技术。”
      虽然我现在用ess，但是这两天一直对它不是很信任，一直对nod32到底有没有动态启发一直抱怀疑态度，就是因为cici做的一个免杀过了nod32静态，并且运行也不报····  刚来样本区晃，发现eset真的没有那么强，很多别的如咖啡，nis能扫到的它扫不到，它就靠上报···启发真的强吗？有人说过nod32启发强，病毒库超弱，难道其他如咖啡的报毒都是靠病毒库？抛开月神不讲，咖啡的引擎能杀出的东西nod32很安静的不动，我真不明白它启发强在什么地方， 退一步，就算它启发强，我们要看最后它能杀多少吧，不能说50个样本，杀了20个，但是20个全部靠启发就说明这个好吧，就如同现在国内有个无病毒库专门靠启发杀毒的软件不记得叫什么了，卡饭测评上有，它的启发比eset好像还要好，但是没人会去用，因为无病毒库，查杀率低，eset启发强，有病毒库，但是查杀还是不高，这就是为什么有nod32不杀马的谣言，因为用nod32的人大部分都中过马！除了上网习惯好的，有几个人敢单奔ess？ess不加hips完全就是想中招
     但是我又觉得eset的东西不会这么差，于是猜想，真正厉害的动态启发是不是只有在双击运行某个文件的情况下才被激发，计算机内新建文件或者右键扫描不被激发（可是新建文件的扫描已经是高启了啊，难道高启不包括动态启发？） 但是就算是这样，为什么好几个病毒人家咖啡，铁壳或者avg直接就报了，你非得运行一下？

      不知道同等情况下 咖啡家庭版，卡巴2011，哪个占用低（nis还是温柔了点）， 最低的比ess高多少，但应该不会比nod32高太多吧？

     我在8楼论证了eset就完全是靠查杀率吃饭的，可是eset查杀率现在并不特别出众，可能有不对的地方，还请大伙指教。但是平心而论，在低占用（不太清楚4.2低不低）的同时保证查杀率这风格上它还是不错的，像ikarus，gdata，查杀很高，误杀高，最痛苦的是占用还高，三高······  小红伞的占用不高，查杀高，但是误报也高，eset做到了一个平衡。

      所以要换杀软的建议卡巴2011（如果像某人告诉我的它占用比较低）或者是咖啡家庭版（亲历），不要相信什么内存占用低，那都是物理内存，虚拟内存也要看，而且现在都是2g内存，谁还在意那么点内存，关键是它的技术卡不卡电脑，这点上eset就做的很不错，内存占用也不低，但是非常流畅，不卡。eset应该整合个云，加个hips就完美了，eset现在占用的资源也不是早期的那么低了就怕整合了这些它就卡了。 所以以现在的eset加个智能或者半智能hips，我觉得就很好，很喜欢，因为这样ess启发不了的hips可以拦截，但是单奔ess绝对不行。
     


       不希望此贴引口水，真的只是想我们这些eset的fans一起来讨论讨论它的一些技术。
       ps：小白一下，在样本区下样本时，它网页防护直接阻止了，我还没下样本，它是怎么分辨是病毒的？

hj5abc

你用mcafee nis就不上报？
你没看到symantec一天的更新量。
你没看到EAV杀得出来而MC杀不出来的？
nod的启发不是执行时的启发 那已经是行为防御的范畴 如同卡巴的PDM PANDA的TP
至于网页的那个诡异启发，监控也有这样的问题，从2.7就有
而且不是所有都这样 你发现只是 statik genetik 或某些nuwar等会这样 可能是nod的特殊启发 而且误报多多

atg

首先有个问题， 咖啡家庭版的资源占用和现在ess4.2比起来怎么样？

   然后，以前没统计过，但是刚才在样本区，粗略测试了下，有7个样本nod32不报，其中5个咖啡都报，并且不是5个全部是月神，有咖啡凭自家引擎启发的。
   
   再说普通的情况，不仅仅是我和我朋友的体会， 很多网友也讲了，用nod32总是中招，而咖啡没遇到这样的情况，我想国内还没那么多咖啡的五毛吧······   我现在用ess 也加了个tf，这样觉得放心些

atg

说实话，我相当喜欢eset 的ess，而且是不知道为什么喜欢它·······

hj5abc

我很久不装AV 所以不清楚资源占用。
然后 这个是小范围测试 你不好拿捏准确性
再说普通情况，那是你的亲身实践  我也不好说什么 但是 你确定很多人用的是家庭版？企业版的话是有一些内置规则 或者也发挥作用了 这点eset拿来比就无可比性了

hj5abc

所以说到最后 还是查杀率 对新病毒反馈速度 这些是实际的东西 其实启不启发不是用户正真关心的问题了

hj5abc

还有你之前说那个用eset经常中招或中U盘病毒之类
我想起以前用nod有一个弱点 就是默认对被访问的文件不打开高启发 所以才有很多人说报了但也感染了 因为那可能只是杀了病毒的生成物
不知道ess现在还会不会这样

atg

嗯，我的几个同事都是用的家庭版，因为普遍觉得8.7卡，很多人说防重于杀，其实什么是防？ 有两种，1你下载下来一个文件即本机新建文件，或者网页上的脚本之类，这需要防，靠查杀率，对吧？  2，没查出来，你运行，行为防御报了。   就这两种，而eset没有行为防御，所以eset的防也是靠查杀率，那么eset就完全是靠查杀率吃饭的，而eset的查杀主要靠病毒库和启发，因为它虽然有云，但是很基础，它查杀率其实是很一般的，很一些像小红伞，avg，骚护士，ikarus，没法比······综上所述，要eset，还不如要个有监控，而且查杀相当高的杀软·········我为我得到了这样的结论很无语····· 毕竟太喜欢eset了~~~~~

小魔鬼

发现eset真的没有那么强，很多别的如咖啡，nis能扫到的它扫不到，它就靠上报···
此话大错啊。。。咖啡和nis可都不是靠扫的，要比扫肯定扫不过eset。eset查杀高应该和启发还有那个ts上报有关系

裂空我爱杰

看了几个关于nod32技术的帖子，基本了解了它启发的运作，“除了常规病毒特征码检测外，NOD32基于TS启 ...
atg 发表于 2010.7.10 02:14

说实话，不太同意。。ESET杀马还是可以的。最近加强了特征码，还是很不错的。
虽然ESET和4A相比差很远，哈哈