簡介
NOD32是近年在全球迅速冒起的一個防病毒產品。
NOD32非常輕巧易用,因其驚人的偵測速度及卓越的性能,它已成為許多用戶和IT專家的首擇。
事實上,經多家檢測權威確認,NOD32在速度,精確度和各項表現上已擁有多項的全球記錄。
國外很多很權威的防病毒軟體評測給了NOD32很高的分數,在全球共獲得超過40多個獎項,包括VirusBulletin、PCMagazine、ICSA、Checkmark認證等,更加是全球唯一通過53次VB100%測試的防毒軟體,高據眾產品之榜首!產品線很長,從DOS、Windows9x/WindowsMe、WindowsNT/WindowsXP/Windows2000,到NovellNetwareServer、Linux、BSD等,都有提供。可以對郵件進行實時監測,占用記憶體資源較少,清除病毒的速度效果都令人滿意。
ESET的由來與歷史
ESET這一名稱最早來源於埃及神話中的女神Isis。Isis又稱作Aset或Eset,是地神Geb和天神Nut的女兒,是主管愛情和富庶的女神,也是負責治療和魔力的女神。
Eset在英文中的理解可以理解為EssentialSolutionAgainstEvolvingThreats(針對病毒進化而必備的解決方案)。ESET公司是一家致力於計算機安全領域的世界知名企業,迄今已有20多年的歷史。開發總部在斯洛伐克的Bratislava,銷售總部在美國西海岸的聖迭戈,在英國布里斯托、阿根廷伊諾斯艾利斯設有辦事處,代理商遍及世界各地。ESET公司的旗艦產品ESETNOD32,擁有TreatSense高級啟發式引擎,具有占用資源小、掃描速度快、低誤報、少用戶干擾、自我保護好,可有效防範未知病毒於未然的特點。ESETNOD32引領業界啟發式判斷的最高技術,屢獲業界殊榮和讚譽,暢銷110多個國家和地區。
說起NOD32名稱的由來,有一段很有意思的典故。ESETNOD32的最早版本開發於斯洛伐克出現第一個電腦病毒時的1992年。當時有一個非常有名的連續劇正在捷克的電視螢幕上播放,片名是“NemocnicanaOkrajiMesta”,英文名是“NemocnicanaOkrajiDisku”(城市邊的醫院)。第一個電腦病毒攻擊位於磁碟最邊緣的啟動扇區,殺軟程式又好比磁碟醫生,因此ESET就以“NemocnicanaOkrajiDisku”(斯洛伐克)的縮寫NOD來當做反病毒軟體的名稱,英文意思是“HospitalattheEdgeoftheDisk”(磁碟邊的醫院)。
當然,今日的ESETNOD32反病毒軟體從原來的NOD不斷完善並融合入許多新一代的技術。最早誕生的是16-bit版本,名稱叫做NOD-ICE,後來率先支持32-bit系統的版本出現後,便改名為NOD32。"NemocnicanaOkrajiDisku32”(捷克斯洛伐克語),意思即"NOD32"從此誕生。
今日的ESETNOD32支持多種平台、語言和套用環境,包括64位系統和NAS方面的產品,以及企業用的集中化管理機制。ESETNOD32比其他競爭產品提供更好的防禦能力、更快的掃描速度,更值得一提的是,占用極少的系統資源,保持通過50次VB100%的世界記錄,屢次榮獲世界級大獎,是個人於企業反病毒的首選產品。ESETNOD32的新一代產品ESETSmartSecurity,重新編寫和最佳化了原始碼,集成了防火前、反間諜、反垃圾郵件等模組,並繼續保留了ESETNOD32輕、快、準、狠的特色。
概述
為了保證重要信息的安全,在平靜中呈現極佳的性能。不需要那些龐大的網際網路安全套裝,ESETNOD32就可針對肆虐的病毒威脅為您提供快速而全面的保護。它極易使用,您所要做的只是:設定它,並忘記它!(Installitandforgetit!)
全面的保護
單獨地運行病毒、黑客軟體、廣告外掛程式和間諜軟體的防護程式會拖慢您的計算機,並難於進行管理,必將帶來安全問題。小心那些臃腫的網際網路安全套裝,它會占用您計算機數百兆的空間。它們的存在是因為商家把現有的產品捆綁在一起。相反,ESETNOD32則設計了一個高效的核心,作為一個單獨的、高度最佳化的引擎,提供統一的安全保護,防止不斷的更新病毒、蠕蟲、間諜程式的惡意攻擊。ESETNOD32擁有先進的ThreatSense®技術(專利申請中),可通過對惡意代碼進行分析,實時偵測未知的病毒,讓您時刻走在病毒編寫者的前面。最小的影響
ESETNOD32節約記憶體和硬碟上的資源,讓它們為更重要的套用服務,本軟體只有11M,平均占用23M的記憶體(根據檢測狀態會有變化)。Threatsense®每次更新(包括啟發式邏輯和病毒特徵碼)通常都只有20KB到50KB左右。選擇ESETNOD32將更加有效。
最快的掃描
強大的安全防護絕不拖慢計算機。ESETNOD32是用大量的彙編語言編寫而成,因其最快的偵測速度和高效的查殺能力而連續地獲獎,平均比其競爭對手快3到34倍(源自:VirusBulletin)。選擇ESETNOD32可提升您的計算機性能。
簡單的管理
ESETNOD32會自動進行自我更新,如果您是個人使用或是家庭辦公的話,您根本不用去管理它。對於大型企業,我們提供了強大的遠程分散式的網路管理,管理員可以集中部署、安裝、監測和管理成千上萬的ESETNOD32工作站和伺服器。最小影響和最快的速度可以得到的最好的保護。ESETNOD32能夠多層次地保護你的組織,在桌面、檔案伺服器和郵件網關。都能為您提供最佳的解決方案。
啟發式實時偵測
啟發式是最有效的安全保護,病毒程式的防護必須要在其對計算機造成影響前實時地進行。那些時刻等待著病毒特徵庫更新的防毒軟體會給攻擊打開一扇窗,稍不留神就有可能給您造成災難性的後果。ESETNOD32則憑藉其ThreatSense®技術,將會關閉這扇窗,而不像大部分依靠特徵庫更新的防毒軟體。
ESETNOD32通過實時分析套用軟體的執行過程來判斷是否存在惡意企圖,可以提前地偵測並攔截病毒威脅。而且,在大多數情況下不需要進行病毒特徵更新。與此相反,多數的其它防毒軟體只會在他們的用戶受到新病毒攻擊後的幾個小時發布病毒特徵。
對多種威脅的保護措施由下列模件提供:
檔案實時監控(AMON)常駐記憶體的掃描器,它會自動的掃描計算機將要訪問的檔案。
ESETNOD32手動掃描器(按用戶要求進行掃描),可選擇要掃描的檔案和磁碟分區。也可以計畫在某個空閒時間自動掃描。
網路監視(IMON)常駐於記憶體,在Winsock級來防止惡意代碼入侵電腦,它會掃描網際網路瀏覽網頁(HTTP)、以及POP3電子郵件協定。
MSOffice檔案實時防護(DMON)通過監視微軟提供的API,在打開office檔案時首先檢測檔案是否被感染(包括在IE上打開office檔案)。
MSOutlook電子郵件保護(EMON)一個輔助的模組,通過MAPI接口與電子郵件客戶端軟體協同工作,比如MicrosoftOutlook、MicrosoftExchange。
業界優勢
哪種防毒軟體擁有最強的可以查殺未知病毒?
AVC公布5月數據,NOD32再度奪魁
國際著名反病毒軟體評測機構AV-Comparatives日前公布了2007年5月之反病毒軟體評測結果,在測試的17款知名反病毒軟體中,ESET NOD32獨家獲得最高的ADVANCED+等級。
AV-Comparatives是位於奧地利的國際性獨立測試機構,為保證評測的獨立性與公正性,所有測試項目均不接受任何贊助。AV- Comparatives的測試項目分為手動掃描(On-demand Comparative)和主動式智慧型檢測掃描(Retrospective / Proactive Test),每年各進行2次,此次公布的是便是主動式智慧型檢測掃描成績。
與其他幾家評測機構相比,AV-Comparatives最突出的是對未知病毒的偵測及防護能力的測試,由於目前的很多病毒都會針對故意避開防病毒軟體的檢測,所以目前主流的防病毒軟體都加強了主動防護能力,只是各家所採用的技術和叫法不盡相同。
基本的測試方法為:凍結防病毒軟體及病毒庫3個月,然後以這3個月內出現的新病毒作為樣本。考核標準主要有兩個:一是識別出新病毒的偵測率,另外則是“誤報”數量,最後根據表現給出STANDARD(一般)、ADVANCED(優秀)、ADVANCED+(最佳)三種評價。
此次評測中的部分軟體測試數據如下:
在本次測試中,NOD32以68%的主動偵測率以僅3%的差距排名第二,第3名BitDefender則相差20%。但是在另外一項重要指標——誤報率方面,排名第一的AntiVir達到18個,而NOD32隻誤報2次。因此AV-Comparatives給予NOD32本次測試唯一的ADVANCED+ 稱號。
僅占極少資源、不拖系統速度、掃描速度飛快,再加上極高的主動偵測率和極低的誤報,都是一款優秀的防毒軟體必備的條件,不過從此次的測試結果來看,目前能同時滿足這些條件的防病毒軟體並不多。
NOD32 連續地被世界最主要的防病毒測試機構評為:零日威脅的最好防護。
AV-Comparatives.org 是位於奧地利的國際性獨立測試機構,專業測試防毒軟體對未知病毒的偵測及防護能力。
AV-Comparatives.org 提供一個實時測試結果,列出那些能夠在第一時間偵測出病毒爆發的廠商。
AV-Comparatives中立測試機構AV-Comparatives.org是Andreas Clementi提出的防病毒研究計畫,由Innsbrucker Kompetenzzentrum / Computernotdienst贊助支持。AV-Comparatives.org的“回溯/前懾測試” 對11種不同的防病毒軟體進行比較,測試它們對當今威脅中複雜的零日威脅的識別能力。這項測試嚴格地使用了當前的In-the-Wild病毒樣本和其它各類惡意軟體、木馬程式、病毒和蠕蟲樣本,這些樣本都對Windows和其它的作業系統構成威脅。為了更有效地測試這些產品的前懾保護能力,該機構使用最新的病毒樣本,在產品不升級病毒特徵庫的情況下進行測試。
十一月的研究顯示,對於在前三個月出現的八種新病毒,Symantec、Trend Micro 和Kaspersky並沒有通過前懾偵測發現它們當中的一種,使他們的客戶在商家提供病毒特徵升級之前處於風險之中。McAfee在沒有升級的情況下只偵測出一種病毒。ESET的 NOD32在對新病毒的偵測上多了四倍,在測試中所使用的所有新樣本中要比別人多出95%,樣本中包括In-the-Wild威脅、後門程式、木馬程式和其它的惡意軟體。這是AVComparatives.org在2005年中第二次對該項目進行的測試。在這兩次測試的過程中,NOD 32的高級啟發式技術,前懾性偵測出59個In-the-Wild病毒樣本中的50個(85%)。
圖表顯示了一些防病毒產品的啟發式偵測的準確性和性能。這些數據源自防毒產品是否能夠在未升級病毒特徵庫的情況下偵測出一個給定的病毒。如果偵測出,則啟發式偵測就被認為是成功的(注意:在有些情況下,巧妙提取的病毒特徵可以偵測出未來的變種)。
產品優勢
在速度上,NOD32保持輕巧及極快的偵察速度。根據VirusBulletin多次的測試,NOD32的掃描速度大約比其它市場競爭者高出2至50倍。大部分曾經使用過其它防病毒產品的用戶都能感覺其不同凡響的表現能力。注意:要避免未經授權的更改,設定參數能夠以密碼作保護。如果電腦會被一些經驗嘗淺的使用者使用,這個功能是十分方便的。要取消密碼保護,請按沒有密碼按鈕。
在資源占用上,NOD32(2.7版本)整個程式的安裝大約只占用7至8兆的記憶體空間,在安裝後,大約占用28兆的記憶體空間,比其它同類產品占用的記憶體少約三到五倍。
雖然占用的空間比較小,它的性能卻毫不遜色;在偵測率上,NOD32在VirusBulletin上雄距榜首,已經連續53次獲得VB100%獎項。同時,NOD32是連續8年在偵測上全無遺漏任何一種ItW(In-the-Wild)電腦病毒━成為世界上唯一有此成績的防病毒軟體。
NOD32已經獲得超過60多項獎項,包括53次獲得VirusBulletinVB100%的獎項,CheckMarkLevel1,2,Trojan,Spyware,ICSACertified,PCMagazine,PCUser,IDGInfoworld,UKConsumerAssociationBestBuy,mikroDatorn,WINTOTAL,Deloitte&ToucheFast50,ISO9001等。
在AV-Comparatives的獨立測試中,ESETNOD32總是能夠在所有測試品牌中取得最佳成績。“ESETNOD32是所有獲得Advanced+獎項的佼佼者,在最近的五次測試中都取得了最高的榮譽。這意味著在近12個月測試的所有產品中,ESETNOD32擁有最佳的主動偵測惡意軟體的能力。”
ESETNOD32隻占極少系統資源,不會影響電腦速度,能帶給您升級硬體般的感受。ESETNOD32掃描速度全球領先,高達40MB/s以上,這樣在用戶掃描系統就不必再漫長等待。而且,在防毒軟體業界無出其右的啟發式技術也確保了發現未知病毒的有效性,並且尤其難能可貴的是在高效率啟發未知病毒的同時保持了極低的誤報率。
產品特點
2007年11月5日,Eset發行了EsetSmartSecurity──集成了防病毒、防間諜軟體、防火牆和防垃圾郵件的網際網路保全套件。與賽門鐵克的NortonInternetSecurity及卡巴斯基實驗室的KasperskyInternetSecurity等同類型產品競爭。EsetSmartSecurity安裝僅占用40MB可用的硬碟空間,這比其他公司同類型產品的高硬碟空間以及記憶體占用率差別很大。
國外很權威的防病毒軟體評測給了NOD32很高的分數。在全球共獲得超過40多個獎項,包括VirusBulletin,PCMagazine,ICSA認證,Checkmark認證等,更加是全球唯一通過53次VB100%測試的防毒軟體,高據眾產品之榜首!產品線很長,從DOS,Windows9x/Me,WindowsNT/XP/2000,到NovellNetwareServer、Linux、BSD等,都有提供。可以對郵件進行實時監測,占用記憶體資源較少,清除病毒的速度效果都令人滿意!
NOD32反病毒套裝,ESETSmartSecurity包括了Antivirus、Anti-Spyware、PersonalFirewall和Antispam.
更新特點:
內置防火牆和反垃圾郵件模組;
增強用戶界面視覺效果;
針對普通用戶和高級用戶的2種操作模式;
增強的自動清除能力
榮譽與認證
2008ESETNOD32是全球唯一全部通過“IntheWild”蠕蟲和病毒檢的防毒軟體。2009年12月第59次獲得VB100認證,自1998年5月至今,一直是該獎項全球記錄的保持者。
2008年8月,VirusBulletin公布了最新的評測結果,ESETESETNOD32防病毒第59次獲得VB100%認證。
《中國電腦教育報》是教育機構影響力最大的大眾IT媒體。7月14日,其對十款主流防毒軟體進行了全方位評測,ESETNOD32安全套裝,以其優異的表現,以綜合成績第一的分數,獲得了“編輯推薦獎”,由此再一次證明了它堅實的實力。
國內著名IT媒體《電腦商情報家用電腦》於2008年6月,對6款知名防毒軟體進行了綜合評測。ESETNOD32安全套裝,憑藉其對資源的控制度,全盤掃描的速度和超強病毒查殺能力,最終獲得“編輯推薦獎”,充分證明了其獲得無數大獎的實力。
20
2008年5月ESETNOD32再次獲得了AV-Comparatives的ADVANCED+獎項,迄今為止ESETESETNOD32共獲得10次ADVANCED+獎項,遙遙領先與其他同類產品,並被評審2006年,2007年年度總冠軍。
最近對ESET的產品作了深層次的監測,ESETNOD32仍像以往一樣毫無瑕疵,沒有遺漏任何一項,ESETNOD32毫無懸念地再一次獲得了VB100獎項。
2008年4月,ESETSmartSecurity榮獲美國《消費者文摘》 (ConsumersDigest)雜誌“最佳購買品”(BestBuy)獎章。美國消費者文摘最佳購買品指的是那些最具購買價值的產品。當然,這不意味著該產品是同類產品中最便宜的一種,也不意味著它是最最知名的品牌。消費者文摘最佳購買品是指那些具備優秀性能﹑特徵﹑功效,樣式美觀,耐用性好,使用方便,且含質量保證和售後服務備受消費者特殊青睞的全國範圍內可獲得的產品。
聖迭戈—2008年3月10日訊息:世界主動防禦檢測技術的領導者ESET公司,再次榮獲獨立防毒軟體研究機構AV-Comparatives.org評出的Advanced+獎項,這是ESET連續第四次獲得此項殊榮。
經過PCLabs中國實驗室測試後,根據相應類別的評分標準給出評價,與同類產品全面對比,ESETNOD32綜合表現優秀,被選為“PCMagazine編輯選擇產品”。
由於ESETNOD323.0版的產品第一次出現在VB100測試台上,其時尚和巧妙的布局繼續給人留下深刻印象,而測試過程也極其簡單和有趣。2007
AV-Comparatives選定2007年度最佳防病毒軟體的條件是,需要具備高檢測率,包括多複雜多態性病毒的檢測率、高行為判斷檢測率、低誤報(最好零誤報)、掃描速度快、資源占用少、不引起系統崩潰或當機、沒有惱人的bug等優勢。2007年中,以下產品均獲得三次以上的ADVANCED+獎項:卡巴斯基和ESETNOD32。以下產品在2007年度各項分類測試中綜合成績最佳:ESETNOD32(11)、卡巴斯基(10)、GDATAAVK(10)、賽門鐵克(9)、F-Secure(9)。其中GDATAAVK和F-Secure是多引擎產品,多引擎產品的劣勢是掃描速度較慢,對系統資源的消耗相對較高,誤報的可能性也相對更多一些。綜合各款防毒產品的性能和表現,2007年度綜合評比獲勝者再次由ESETNOD32獲得。
2007年度《電腦愛好者》最佳新銳獎
ESETNOD32迄今為止已連續第47次通過VB100,比其它任何一款安全軟體通過的次數都多.從1998年5月後的VB100測試中,ESETNOD32沒有遺漏任何一個流行病毒.
2007年,ESET被列入"INC500強公司"名錄。美國《Inc》雜誌每年會評選出全美前500家成長最快的私營企業,對當今的超級企業明星所獲得的突出成就進行表彰。長久以來,INC500強公司名單被視為美國最佳企業的陳列櫥,同時,它也是最先發現和識別如今已家喻戶曉的公司諸如微軟﹑Oracle公司﹑Timberland(天木藍)公司﹑Patagonia公司和Domino'sPizza(達美樂比薩)等。INC500強是窺探美國民族未來的視窗,它們將引領著美國的發展蒸蒸日上。
ESETNOD32防病毒軟體在07年10月的Netware6.5平台測試中,沒有遺漏任何“Inthewild”病毒,並且沒有產生誤報。因此VirusBulletin再次授予ESETNOD32防病毒軟體VB100認證。
VirusBulletin,October2007
ESETNOD32防病毒軟體憑藉優異的性能和完善的保護獲得了《計算機套用文摘》的高度評價:ESETNOD32資源占用低,並不是以減少功能為代價。相反它通過檔案監控、OFFICE文檔監控、郵件監控和網路監控為電腦安全建起了銅牆鐵壁,讓病毒、木馬無門而入。因此, 《計算機套用文摘》授予了ESETNOD32防病毒軟體“編輯推薦獎”。
ESET即將進行全面檢測的產品已經抵達VB測試台,這些測試將仍舊在熟悉的界面下進行,並通過了所有Windows測試。
VirusBulletin2007年8月
ESETNOD32又再一次輕鬆通過VB認證的全面測試。
VirusBulletin2007年6月
國內著名IT媒體《電腦商情報□家用電腦》於2007年5月,對6款知名防毒軟體進行了綜合評測。ESETNOD32憑藉其在查殺能力、資源占用,掃瞄速度、易用性、售後服務各個環節的優秀表現擊敗其它產品,最終獲得“編輯推薦獎”。 《家用電腦》表示“ESETNOD32防病毒軟體雖然進入國內市場僅僅一年多,但憑藉其出色表現已成為不可忽視的一員”。
ESETNOD32是另一款使用Dazuko進行檔案實時監控的產品,並且像其他此類產品一樣,實時監控可以簡單、快速和有效率地設定。
VirusBulletin2007年4月
備受期待的MicrosoftVista是繼5年前XP推出後第一款主要Windows新產品(不包括WindowsServer2003,因為它只是在Windows2000Server基礎上添加了一些新的XP創意元素)。
VirusBulletin2007年2月
這個獎項是依據讀者投票情況授予的。在大量反病毒產品中,ESETNOD32最受歡迎,獲得了來自讀者和IT用戶最多的投票支持,打敗了其他競爭產品,如Symantec、TrendMicro和McAfee。
榮獲2005與2006Linux&OSS最佳解決方案編輯推薦大獎(連續兩個年度獲獎)。
2007SC雜誌讀者票選獎(2007SCMagazineReadersChoiceAwards)今年共有超過500項提名。ESET成功進入了最佳防惡意軟體解決方案類的決賽。最終優勝者將於2007年2月6號在舊金山希爾頓酒店宣布。
與360的合作優勢
ESETNOD32+奇虎360的優勢何在?
近日,ESETNOD32中國區總代理二版科技攜手奇虎360,推出“ESETNOD32防病毒360專用版”。或許大家早有所聞,ESETNOD32已經連續53次通過VB100%測試,他在病毒查殺方面的能力可見一斑。那么本次與360合作,對於普通用戶來說,會帶來哪些切身的感受呢?
俗話說“汽車好不好,發動機最重要”。同樣的,防毒行不行,也要看防毒引擎強不強。現在病毒、木馬橫行,變種更是數不勝數。傳統的防毒軟體在面對變種時,需要再次抓取這些樣本,然後再提取特徵碼,加入到病毒庫,用戶在更新病毒庫之後即可查殺了。為了彌補這種效率低、周期長的查殺方法,國外的殺軟廠商已經開發了更優秀的查殺技術:啟發式技術。它能夠智慧型的根據程式的行為來判斷是否是病毒,並進行查殺。ESETNOD32的ThreatSense.Net啟發式引擎融合了基因碼技術、虛擬機技術、代碼分析三大技術,構建起立體的防護架構。即使不更新病毒庫,也能發現大部分的變形病毒和大量的未知病毒。依靠這顆強勁的“心”,使它在掃描速度、查殺能力上都獨占鰲頭。
病毒庫數量越來越龐大,對系統資源的占用也肯定是越來越大。所有殺軟中,只有ESETNOD32的安裝包和病毒庫更新數量是最小的。如果你的機器配置還是256MB或更小,你盡可以去試試ESETNOD322.7版本,保證讓你身“輕”如燕。占用資源少這一點,尤其適合筆記本電腦用戶使用。
目前和奇虎合作的ESETNOD323.0版本(ESETNOD32Antivirus),在界面的易操作性、病毒的自動攔截、清除方面都是非常簡潔的。可以說,我們安裝好之後什麼都不用去配置,就可以最大程度地給電腦加上一道安全門檻。
奇虎的360安全衛士功能想必大家都已經很熟悉了吧。大家裝好系統後,是不是經常用它來修補系統漏洞呢?很多病毒都利用系統漏洞、軟體漏洞大舉入侵,360安全衛士修復這個可是絕對拿手。網上一番暢遊後,記得用360安全衛士的惡評外掛程式的清理功能喔!現在做網路生意的都是廣告衝擊一波又一波。當然不要忘了隱私是最重要的——“清理使用痕跡”,短短几秒鐘讓你立刻放心。360安全衛士提供的都是非常實用的功能,而且是永久免費,一點不假!
最後建議大家每周做個定時掃描,這點用ESETNOD32的定時任務就可以省心了。
看到這,想必大家也清楚ESETNOD32+360安全衛士的優點了。ESETNOD32占用資源少,輕便部署,防毒、清除變種木馬能力異常強勁;而360安全衛士又能清除廣告外掛程式、修補漏洞。這次兩者強強合作,國內用戶肯定欣喜,特別是低配置機器的用戶也可以大飽口福了。
啟發式引擎定義的規則
現代的啟發式引擎主要面對的是:木馬、間諜程式、下載者、已知惡意程式的變種等。現在,啟發式引擎很少去分析代碼,因為這些東西一般都是由高級語言的編譯器 做成的,從代碼風格上和正常程式沒有太多區別(高級語言編譯器一般以代碼最最佳化為目標,而病毒的代碼則一般以混淆分析者為目標)。即便代碼風格異常,也有 可能是加殼所致(殼一般是由彙編寫成的)。相反的,剛才提到的引入表、數據段中的字元串、資源,成了重要的判斷依據。
以下載者為例,下載者一般是一個體積小巧的程式,用來下載一個體積更大、功能更完善的木馬。針對這一特點,啟發式引擎可以定義如下規則:
1、本身體積很小。
2、引入表中引入了URLDownloadToFile。這是一個下載者普遍用來下載程式的API,但在正常程式中卻很罕見。
3、數據段中存在形如“http://****/***.exe”的字元串。
4、引入表中不存在CreateWindow等用於創建視窗,和用戶互動的API。
而針對一些進程插入式木馬,則可以定義這些規則:
1、引入表中存在CreateRemoteThread,這是進程插入木馬普遍採用的API,但在正常程式中很罕見。
2、資源中存在一個DLL檔案。可以認為是運行中將要釋放的,並進一步檢查這個DLL。如果這個DLL符合其他特徵就加重可疑度。
3、引入表中不存在CreateWindow等用於創建視窗,和用戶互動的API。
可 以看到,這些規則都是非常經驗化的,並不是說滿足這些規則就一定是惡意程式,只是很有可能。實際實現起來當然沒有上面說得那么簡單,比如,API的調用除 了靜態調用外還可以動態載入。而且還要考慮誤報的問題。比如,可以計算“可疑API數目/總API數目”,避免一定的誤報。
關於“加殼”: 在我看來,加殼倒也未必是啟發式最大的障礙。因為本來就不分析代碼~~加殼帶來的最大影響是一些保護殼會對引入表加密。對於啟發式引擎,一定要把它解密。 對於多層加殼,啟發式引擎可以認為兩層以上的多層加殼為病毒,正常程式很少會這么做。這樣的話就可以理解為什麼有殺軟把所有加了北斗殼的檔案都認為是病 毒,因為除了在中國,用北斗加殼的正常程式幾乎看不到。
ADVANCED+等級
日前,國際著名反病毒軟體評測機構AV-Comparatives公布了2008年11月的反病毒軟體主動偵測測試(Retrospective/ProactiveTest)結果,在參測試的16款知名反病毒軟體中,ESETNOD32防病毒軟體獨家獲得最高的ADVANCED+等級。AV-Comparatives是位於奧地利的國際性獨立測試機構。其測試項目分為手動掃描(On-demandComparative)和主動偵測測試(Retrospective/ProactiveTest),每年各進行2次,此次公布的是便是主動偵測測試成績。
與其他評測機構相比,AV-Comparatives最突出的測試莫過於其主動偵測測試(RetrospectiveTest)。由於不少新病毒設計上已故意避開防毒軟體採用的特徵碼檢測(Signature-basedDetection),因此大部分防毒軟體都加入了直接分析毒行為來判斷未知病毒的主動防禦(ProactiveProtection)。而主動偵測測試便是對防毒軟體主動防禦能力的檢測。
為了使得測試能最好的反應實際情況,測試採用如下方法:凍結防病毒軟體及病毒庫4個星期,然後以這4個星期內出現的新病毒作為測試樣本。測試的標準主要有兩個:一是識別出新病毒的偵測率,另外則是“誤報”數量,最後根據表現給於STANDARD(一般)、ADVANCED(優秀)、ADVANCED+(最佳)三種評價。
在本次測試中,ESETNOD32防病毒軟體以51%的主動偵測率名列前茅。雖然其偵測率不是最高,但在另外一項重要指標——誤報率方面,防病毒軟體卻顯示出了其誤報極低的優勢。測試結果顯示,ESETNOD32防病毒軟體就算4個星期不更新病毒庫,還是能檢測出超過51%的新病毒,而且極少產生誤報。因此AV-Comparatives給予ESETNOD32防病毒軟體本次測試唯一的ADVANCED+稱號。