迅雷调用NOD32扫描的程序

sanyouyou

一直以来有个说法，就是迅雷不必调用NOD32扫毒，下载的文件会被NOD32的文件实时监控扫描。
这个说法在大部分的情况下是成立的：

• 比如下载的普通带毒文件或自解压文件，当迅雷下载到99.9%，会将下载的TD临时文件复制为正式文件，在这个复制过程中，NOD32会启用“用于新建文件和已修改文件的其它 ThreatSense 参数”的规则通过高启发来深度扫描此文件。
• 比如下载的RAR等带毒压缩文件，虽然该文件已下载到硬盘，但你解压缩时NOD32会启用“用于新建文件和已修改文件的其它 ThreatSense 参数”的规则通过高启发来深度扫描解压缩出来的文件。
• 对于已经下载到硬盘的带毒自解压文件，你运行时，默认配置的NOD32会启用“ 启用文件系统实时防护(E)“中的”ThreatSense 引擎参数设置”的规则通过病毒库浅度扫描自解压文件本身，同时启用“用于新建文件和已修改文件的其它 ThreatSense 参数”的规则通过高启发来深层次扫描解压缩出来的文件。
• 同时“WEB访问防护”也会对下载的文件进行高启发式的深度扫描。
  

OK，现在看起来，ESS已经堵死了从网络上感染病毒的全部可能性，不会有什么漏洞，但是非常不幸的事情发生了：

• “WEB访问防护”的设计有bugs，只会对静态页面（HTML页面）下载的文件进行扫描，如果从论坛等动态页面（ASP、PHP页面）下载文件，ESS的“WEB访问防护”根本不会进行扫描，而是将任务交给了“新建文件”规则和“文件系统实时防护”的规则来进行扫描。
• “新建文件”规则和“文件系统实时防护”的规则不知道为什么其效果弱于“WEB访问防护”，尤其是对于某些自解压文件，“WEB访问防护”和“手动扫描”可以检出，“新建文件”和“文件系统实时防护”均不能检出。例子在此：http://www.nod32club.com/viewthread.php?tid=52406&extra=page%3D2
• 综上所述，看来下载的文件还是使用NOD32的手动扫描一下更加保险。
  

下边的程序可以使迅雷自动调用NOD32 V3的命令行扫描程序ecls.exe来进行扫描，这个程序还不算完善，大家将就玩玩吧，如果你下载含有N多病毒的样本包，此程序调用的ecls会造成CPU占用飙高：
使用方法：

这个程序会从注册表读取NOD32的位置并自动使用高启发深度扫描的参数来扫描下载的文件。


其实还有更好的办法来判断文件是否带毒，比如利用log-file=xunlei-nod32.log /log-rewrite 参数生成日志文件，再读取日志文件，比我这个利用CMD回显来判断更加精确，留给后来人研究吧。

zylz1981

这是好文章啊，拜读了！

dd9995

学习了

庄生

下面的程序？

程序呢？

楼主把附件发上来啊

mxf147

学习了

sanyouyou

不见人气等等

依灵

学习了

话说偶很少下载东西

sanyouyou

每人给分

吾与谁归

我是一直没调用的额

Ricty

程序在哪里？