微点交流论坛 - 微点软件使用交流 - [转发]关于nod32＋微点出现nod32漏报的原因分析

微点交流论坛 » 微点软件使用交流 » [转发]关于nod32＋微点出现nod32漏报的原因分析

key
新手上路

积分 3
发帖 3
注册 2007-4-12

#1 [转发]关于nod32＋微点出现nod32漏报的原因分析

关于近期部分网友反馈的美国安全软件NOD32与微点主动防御软件同时安装在同一系统上，同时开启实时监控后引起NOD32在解压文件时漏报的问题，东方微点公司非常重视，经东方微点公司深入跟踪分析测试，现已查明此现象不是软件冲突，而是由于NOD32文件实时监控系统对不同状态文件采取不同扫描策略导致。

跟踪分析结果简述如下：
NOD32的文件实时监控系统根据被扫描文件的当前状态共分为三种实时监控策略，即NOD32的AMON设置中“侦测——文件执行扫描于”选项中所标明的 “开启”、“新建”和“执行”三种状态（默认设置三个选项同时启用），并且不同状态采用的扫描策略有所不同。本例主要涉及“开启”和“新建”两个状态的实时监控策略。

可能出于减少系统资源占用考虑，NOD32对状态为“开启”的文件采用的扫描策略是，仅使用已知特征扫描，并记录该文件已经被扫描的状态，而不使用启发式引擎扫描。
NOD32对状态为“新建”的文件采用的扫描策略是，同时使用已知特征扫描和启发式引擎扫描。

在同时安装有多种杀毒软件的计算机上，如其它杀毒软件（包括且不限于微点主动防御软件）实时监控优先级高于NOD32，即新解压缩生成文件时，其它杀毒软件抢先对新生成的文件进行监控检测，尔后NOD32使用文件“开启”状态的扫描策略，因此，仅使用已知特征扫描，并记录该文件的扫描结果，而不使用启发式引擎。所以此时NOD32的启发式扫描不会报警。

在其他杀毒软件检测结束后，NOD32可能出于减少系统资源占用考虑，直接查看NOD32上步检测所记录的该文件扫描结果，而不是使用“新建”策略完整地对该文件进行已知特征和启发式扫描。

对此，广大用户可以使用下列方法对上述环境进行自行测试：去掉NOD32的AMON设置中“开启”选项，而保留“新建”选项。此时解压缩文件，NOD32 的启发式会正常报警。因为此时NOD32不再使用“开启”模式的扫描策略，也就不存在“新建”状态下先检查文件扫描结果的过程，NOD32会直接使用特征码和启发式引擎进行扫描。

经过对nod32分别与其他杀毒软件并存的状态下测试，皆存在用户反馈的问题。对此，由于安全软件的特殊性，我们建议广大用户最好不要同时安装使用多种安全软件（包括且不限于杀毒软件和防火墙）。

原帖链接:http://bbs.micropoint.com.cn/showthread.asp?tid=8239&pid=57541&page=2&sid=q1QHrh#pid57541

※ ※ ※ 本文纯属【key】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-4-12 11:52

aivordin
新手上路

积分 23
发帖 23
注册 2007-6-4

#2

我想问下如果去掉NOD32的AMON设置中“开启”选项，而保留“新建”选项这样会不会对NOD32的功能产生影响

※ ※ ※ 本文纯属【aivordin】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-6-8 01:09

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#3

关于NOD32设置问题，请您向NOD32官方技术人员咨询。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-6-8 01:12

中家
新手上路

积分 22
发帖 22
注册 2007-2-13

#4

我就是使用nod杀毒软件，这个杀毒软件感觉很好，误报很少。

※ ※ ※ 本文纯属【中家】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-7-30 20:01

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号