officeba > 单独文章

---

NOD32的启发式报毒

NOD32最厉害的就是它的启发式杀毒（特别是高级启发式），那怎么知道什么情况下NOD32是否启发式报毒呢，其实很容易，看NOD32报出的病毒名称就可以判断！
      取一个病毒包测试（一共8个样本），NOD32将病毒全部查出！注意看NOD32报出的病毒名称
      第一种，非启发式报毒，病毒名称不带变种(variant)二字！
      E:\下载\软件\杀毒软件\病毒样本\8个样本.rar ?RAR ?ldasd[1].exe - Win32/PSW.Agent.NDO 木马
      E:\下载\软件\杀毒软件\病毒样本\8个样本.rar ?RAR ?TIMPLATF0RM[1].exe - Win32/PSW.Agent.NDF 木马
      E:\下载\软件\杀毒软件\病毒样本\8个样本.rar ?RAR ?wanmeishijie[1].EXE - Win32/PSW.Agent.NDX 木马
      这3个就是NOD32作为已知病毒非启发报出（也就是NOD32病毒库中有该样本）
      第二种，特征码启发式报毒，病毒名称带变种(variant)二字，有些前面还有可能（probably）二字或带Gen（基因启发）！
      E:\下载\软件\杀毒软件\病毒样本\8个样本.rar ?RAR ?SC0NFIG[1].exe - Win32/PSW.Agent.NCC 木马 变种
      E:\下载\软件\杀毒软件\病毒样本\8个样本.rar ?RAR ?SPy[1].exe - 可能是 Win32/PSW.QQShou 木马 变种
      E:\下载\软件\杀毒软件\病毒样本\8个样本.rar ?RAR ?SVCH0ST[1].exe - Win32/Pacex.Gen 病毒
      E:\下载\软件\杀毒软件\病毒样本\8个样本.rar ?RAR ?SVCH0ST[1].exe - Win32/Pacex.Gen 病毒
      这种报毒方式报出的病毒在NOD32的病毒库中并无样本，但其启发报毒参考了病毒库中的已知样本的特征码！像这样的病毒ESET是不会再把它们加进病毒库！这就是为什么NOD32的病毒库不大的主要原因！
      第三种，纯粹的启发式（无特征码参考）报毒，病毒名称为未知的NewHeur_PE病毒（probably unknown NewHeur_PE virus [7]）
      E:\下载\软件\杀毒软件\病毒样本\8个样本.rar ?RAR ?IECONFIG[1].exe - 未知的 NewHeur_PE 病毒 [7]
      这种纯粹的启发式报出的病毒ESET是会将它们加入病毒库的！一旦加入该样本后NOD32就会按前两种方法报毒！
      喜欢NOD32的朋友可以留意一下NOD32的报毒方式，就会发现NOD32的启发绝对不是浪得虚名！NOD32报出的病毒至少有一半以上都是各种启发式的结果！因此说NOD32的启发世界第一绝对不夸张！

声明：欢迎各大网站转载本站文章，还请保留一条能直接指向本站的超级链接，谢谢！

时间:2007-05-23 19:56:13,点击:65824