想问几个关于NPE的问题

jiao轩

我想问问NPE是不会扫描压缩包内部的吧？另外，系统检查是扫描内存吗？
rk扫描以及排除rk扫描，为什么rk扫描要重启？
还有，撤销操作，NPE会把文件备份到哪里？系统的快照要怎么使用？

问题有点多……对铁壳了解有限，建议铁壳区写一帖专门介绍NPE~~~

①月②⑩㈢

首先，请你了解NPE的定位，它只作为一个急救用的工具，除非你的系统受到病毒破坏，正常情况下无需使用。之前，NPE的测试员针对每天几乎都是100% 的的成绩做过解释，NPE基本高启发来检测系统文件，再通过结合云端白名单排除误报。另外，请不要以扫描区的成绩来决定杀软，也不要以一个杀软的角度来看待NPE，它只是一个急救工具。因为这些只是扫描！不代表综合能力，NPE应该只扫文件，不扫压缩，原因很简单。压缩包没解压前木有危险，只有解压后才有危险。

qiuzhengru

请LZ善于搜索，以前佳哥写了一篇介绍文的。
传送门：http://bbs.kafan.cn/forum.php?mod=viewthread&tid=755767

jiao轩

回复 3楼 qiuzhengru 的帖子

多谢，解决了不少问题。但是rk与排除rk扫描是跟主动模式一样的吗？这个是新版才有的，文中无介绍。为什么rk扫描要重启？NPE会在什么扫描？
另外，系统快照文中只是说不勾选不让清除，没有说备份文件怎样恢复，也没有说保存的位置，哪位大大能告诉我？
用的来说这篇东西还是挺不错的，只是版本有点老。

jiao轩

回复 2楼 ①月②⑩㈢ 的帖子

多谢提醒，定位我是清楚的。我只是想对NPE加深了解

wjcharles

jiao轩 发表于 2011-3-6 19:28
我想问问NPE是不会扫描压缩包内部的吧？另外，系统检查是扫描内存吗？
rk扫描以及排除rk扫描，为什么rk扫描 ...

npe是系统救援工具，扫描只是救援过程中必需的能力。跟扫描器的定位有所不同，可能因为压缩包里的不会感染系统所以不扫描。关于npe的引擎见此贴http://bbs.kafan.cn/forum.php?mod=viewthread&tid=807524
包含rk扫描的话重启后npe的驱动smr161.sys的加载顺序会非常前，大概在第10位左右（记不清楚了），需要重启应该也是这个原因
npe的备份位置应该在C:\Users\Administrator\AppData\Local\NPE，其中每次的扫描结果日志都以xml格式保存，与SReng的扫描日志类似，包括驱动、服务、进程、启动项、浏览器、网络等等，当然还有可疑项目。LZ可以扫描一次看看日志就知道了

jiao轩

回复 6楼 wjcharles 的帖子

多谢提醒，看来是太多人拿NPE杀毒了…它的定位我是清楚的，我只是想了解一下。
最后你说的那个路径不是保存日志的吗？快照怎么没看见？莫非是我看漏了？

wjcharles

jiao轩 发表于 2011-3-6 22:37
回复 6楼 wjcharles 的帖子

多谢提醒，看来是太多人拿NPE杀毒了…它的定位我是清楚的，我只是想了解一下。 ...

你指的是系统还原点吧？npe自带的还原只是恢复npe的修复操作，跟一般杀软类似，但还会提醒你创建系统还原点。那个文件夹里的.etl文件很大，不知道是不是npe自带的还原数据。

jiao轩

回复 8楼 wjcharles 的帖子

是的，系统还原点，在什么位置？
另外那个病毒还原是跟日志放在一起的吧？
再次感谢～

wjcharles

jiao轩 发表于 2011-3-6 22:49
回复 8楼 wjcharles 的帖子

是的，系统还原点，在什么位置？

不用客气
这还原点是windows的功能，文件位置应该跟npe无关吧？我没试过，就不清楚了

npe自带的还原文件肯定是跟日志放在同一个文件夹，但.xml的日志不大可能是容器文件，感觉不是.etl就是.dat。