【IT168 资讯】凭借小巧的资源占用、启发式查毒等多种优势,ESET NOD32在国内的名气已经越来越大,显露出后来居上之势,前不久又发布了最新的2.7版。这次升级到底有何改动、是否值得升级?成了ESET NOD32的用户最关心的问题。
Nod32能借用户一双慧眼么?
先让我们看一下Nod32 2.7中的功能改进:
1、全面兼容Windows Vista
微软最新一代操作系统Windows Vista将于2007年1月30日全面发布,作为微软长期的伙伴,Eset在其发布之前就对ESET NOD32进行了升级,使之完全兼容Vista系统,使ESET NOD32用户可以平滑地迁移到Vista平台上。尤其值得一提的是,整个升级过程只用了一周时间,也是Eset研发团队技术能力的体现。
2、增强的Anti-stealth(反隐形)技术
之前Eset曾经表示,会从基础上增强ESET NOD32防御rootkit(用来隐藏自己踪迹的软件)能力,而现在,ESET NOD32所采用的Anti-Stealth技术则可以像X光一样直接检测到它们!这项技术可以在系统启动或有必要时进行扫描,寻找出那么隐藏在背后的程序,然后通过数字签名及启发式检测来清除这些病毒,这个过程对于用户来讲是非常方便而且透明的,他们不需要进行特别的干预(比如使用一张干净的启动盘启动电脑之类)就可以清除电脑中的病毒。
3、扩展了恶意软件的分类
随着网络环境的日渐复杂,人们所需要面对的不仅仅是病毒、木马、蠕虫,还有广告、恶意插件等“不受欢迎的软件”。尽管从法律角度来讲它们并不能被称为病毒软件,但是用户的确不希望它们出现在自己的电脑中,升级后的ESET NOD32可以帮助用户在安装软件时及时地判断出是否包括这些内容。
同时,ESET NOD32在2.7版中还将“潜在的危险软件”重命名为“潜在的不安全软件”,包括比如键盘记录软件、远程控制软件等在内的一些商业软件也都在此列,它们经常会被一些黑客及病毒作者利用。当然,用户也可以自定义是否检测此类软件(默认设置为否)。
4、bug修复及其它改进
改进病毒清除过程;
在“深度分析”的默认定义文件中关闭了“潜在的不安全软件”检测;
修复了将可清除的文件进行隔离时可能出现的问题。
从这些文字本身可能看不出什么问题,还是我们来进行一些实际测试,来发现这些改进的实际意义,支持Vista的改进我们就不再具体测了,因为这是所有软件都将陆续将具备的功能,还是让我们具体看一下实际的功能改进。
在Nod32 2.7版中,增加了增强的Anti-stealth(反隐形)技术,会增强对rootkit的防护能力,即可以隐藏自己的踪迹以躲避杀软防护的功能。
为了测试其实际效果,笔者选用了当前应用比较广泛的Hacer Defender(hxdef)作为测试对象,它可以在所有运行中的进程中重写分割内存,重写一些基本的模块改变进程的状态。程序能够完全隐藏,现在能够做的有隐藏文件、进程、系统服务、系统驱动、注册表的键值和键、开放端口以及虚构可用磁盘空间。程序同时也在内存中伪装它所做的改动,并且隐蔽地控制被隐藏进程。程序安装后能构造后门、注册表、系统服务,构造系统驱动。其本身的后门技术允许其植入redirector。
在正常启用着Nod32访问保护功能的时候,当我们下载该Rootkits的时候,Nod32就会告警,为了顺利完成测试工作,我们把访问保护先停用,然后把该Rootkit安下载到该机器上,并在相应目录下放上几个木马文件和有用的合法文件。
图1 Hacker Defender文件夹下信息
然后创建一个配置文件来让该Rootkit隐藏以“hxdef”打头的文件或文件夹,自然也隐藏了其下的木马文件。然后我们运行Nod32的手动扫描功能,我们先在不启用“反隐形技术”的设定下扫描,发现不能发现任何病毒或木马。
图2 关闭反隐形技术的检测结果
然后,我们启用新增的反隐形技术,再次扫描相应文件夹,现在我们发现Nod32已经可以检测到被隐藏了的所有东西,并且可以查杀其下的木马文件和该Rootkit本身,并且被隐藏的东西被恢复正常显示。
图3 揪出穿隐形衣的家伙
通过以上测试结果,我们看到Nod32 2.7中包含的反隐形技术可以很好检测和清除RootKit,给我们一个安全的系统。