《ＥＳＥＴ?。危希模常舶踩籽b》試用手記

ＰＣＤ實驗室

喜歡逛電腦安全網站的讀者一定知道，近些年VB100測評比較火。而大家賦予它的美譽也比較多，如安全領域中的“奧林匹克”和殺毒軟件中的“奧斯卡”等，這些都充分彰顯了它的國際權威性和公信力。在VB100嚴格的測評面前，很多國內外知名甚至大牌的殺毒軟件都紛紛落馬。但其中有一款殺毒軟件，在近十年中連續(xù)50次通過VB100測評！不能不說是一個奇跡。它，就是——ESET NOD32。因此，當筆者在其官網http://www.eset.com.cn/中看到有最新的《ESET NOD32安全套裝》簡體中文版免費下載時，就迫不及待地下載來試用，想一探其奧秘。

嘗鮮《ESET NOD32安全套裝》

最新簡體中文版的《ESET NOD32安全套裝》集反病毒、反間諜、反垃圾郵件和個人防火墻于一身，是一個綜合性的電腦安全平臺。它可以偵測、攔截并清理木馬、蠕蟲、廣告軟件、間諜軟件，以及其他網絡威脅，讓我們可以在家、辦公室和移動場所中放心地使用自己的電腦。

安裝《ESET NOD32安全套裝》后，點擊任務欄中那個像眼睛的程序圖標就可以看到其操作界面了。和老版本相比，新版在界面設計上顯然下了非常大的工夫。無論是按鈕還是色調，全都基于時下流行的Vista風格（如圖1）。同時為了適應不同用戶的需要，它還特意準備了“標準”和“高級”兩套界面。通過默認的“標準”界面，用戶能夠完成常用的安全維護操作；通過“高級”界面，可以完成更多的專業(yè)功能設置。

初探自我安全保護

現(xiàn)在的黑客和病毒都很厲害，進入我們電腦后做的第一件事就是“干掉”殺毒軟件，然后再為所欲為。作為國際知名的殺毒軟件，《ESET NOD32安全套裝》的自我保護能力怎樣呢？經過筆者的檢測發(fā)現(xiàn)，它在系統(tǒng)進程中有兩個對應的進程，圖形界面進程egui.exe和核心服務進程ekrn.exe，另外還有一個插入到資源管理器的進程。雖然每個進程的具體功能不同，但當筆者模擬病毒去非法結束一個進程后，它立即會被另一個進程啟動。由此可以看出，《ESET NOD32安全套裝》的自我安全恢復能力不錯。

目前，還存在一種常見的破壞方法，名曰“映像劫持”。譬如“AV終結者”病毒就是利用這一技術來廣泛屏蔽殺毒軟件的。當筆者嘗試運行“AV終結者”病毒時，《ESET NOD32安全套裝》立即發(fā)出病毒警告。在關閉警告窗口后，病毒樣本被清除，系統(tǒng)的注冊表項未被更改，“映像劫持”未能生效。

電腦防御能力測試

1.實時防御測試

任何一款殺毒軟件都必須要能時刻保護系統(tǒng)，使其免受病毒的破壞，當然《ESET NOD32安全套裝》也不例外?，F(xiàn)在由于互聯(lián)網的普及，病毒主要通過帶毒的網頁入侵我們的電腦，還好《ESETNOD32安全套裝》的“Web訪問保護”功能可為我們保駕護航。在測試時，筆者“大義凜然”地登錄了一個帶毒的惡意網站，《ESET NOD32安全套裝》馬上就彈出了醒目的紅色警告窗口，告知筆者發(fā)現(xiàn)最新的Flash病毒（如圖2）。

由于默認清除級別為“標準清除”，所以當《ESET NOD32安全套裝》發(fā)現(xiàn)病毒后會自動在系統(tǒng)后臺將之清除，并移到自身的隔離區(qū)中保存。這樣的處理流程非常人性化，讓用戶在學習和工作之時不受干擾。同樣，它在硬盤中發(fā)現(xiàn)病毒后也會自動清除。

2.病毒掃描測試

殺毒軟件除了實時防御的功能，病毒掃描能力也非常重要，因此筆者找了一個病毒樣本包來做測試。它里面帶有3558個典型的病毒樣本：CIH、“愛蟲”、“熊貓燒香”和“機器狗”等各個時期的病毒代表3000個；“冰河”、“灰鴿子”和“黑洞”等常見的木馬后門程序550個；流氓軟件樣本8個。

首先，筆者用《ESET NOD32安全套裝》對存放病毒樣本的目錄進行掃描（如圖3），它用7分13秒的時間檢測出了3462個病毒樣本。然后，筆者對掃描結果進行分析，發(fā)現(xiàn)漏網的都屬于木馬后門程序和流氓軟件。它們中的大多數(shù)文件已經損壞，不再具有毒性。

3.防火墻的測試

《ESET NOD32安全套裝》和以前ESET NOD32最大的區(qū)別，就是它增加了防火墻的功能，這樣就可以使我們的系統(tǒng)免受黑客的攻擊。其防火墻為用戶提供了三種保護模式，默認是“自動模式”。測試時，筆者“冒充”黑客利用遠程主機對本機進行端口掃描，但都由于防火墻的有效攔截，使得黑客掃描軟件無法連接本機，導致掃描失敗。

除此以外，它的防火墻還帶有對ARP攻擊的防御功能。為此筆者專門架設了一個家庭局域網來測試，通過另一臺電腦對本機進行ARP攻擊。筆者連續(xù)不斷地進行了50次攻擊，通過對網絡日志的檢查，發(fā)現(xiàn)均被防火墻成功攔截。通過研究得知，它針對ARP攻擊的防御并不是采用傳統(tǒng)的IP地址捆綁方式，而是通過對網絡中ARP協(xié)議的數(shù)據(jù)信息進行分析來判斷并攔截偽造的數(shù)據(jù)包的。

總結

通過筆者試用時的一番測試操作，可以看到《ESET NOD32安全套裝》不僅保留了以往ESET NOD32的傳統(tǒng)優(yōu)點，而且根據(jù)安全形勢的變化，用防火墻增加了對黑客攻擊的防范。最讓筆者贊賞的是它的自動化，從防御、清理到升級等都在后臺默默地完成，用戶無須操心。也許，以用戶為本，不斷進取，就是它連續(xù)通過VB100測評的原動力！