驳斥“重点认清两个国外杀软的脆弱本质：NOD32与驱逐舰”

竹木刀

原文出自“雨林木风”一位版主之手，文中从各个方面贬低NOD32，将NOD32说的是一无是处。可笑的是文章中漏洞百出，这位版主根本不了解NOD32，甚至连一些基本概念都没弄清楚。然而，一些初级用户很容易被这种看似“权威”的文章所误导，故写此文以正视听。


其中蓝色为原文，红色为驳斥。
( l# @0 t: Y+ d7 y5 a# o9 f
2 Y' q8 H' H: e* K
& S+ v) y6 z( Z% z, `. ~我的观点很明确：在国外主流杀软中，最应该被鄙视的，就是nod32和驱逐舰！
- N# r2 y' n% {# G, P& R! B
2 m4 _+ U. @3 C: H" J/ V9 x
4 Y9 [5 d3 q5 L' Y' Q
+ B2 q% d  i7 t  @  `2 e5 p先说资源占用问题。

& q5 `% s$ k2 W, ^- {  o这是一个被NOD爱好者无限夸大和无限自豪的优势。
0 U( g3 P; ^( Y# d: K
) t- J- k  Y, i7 x: m但是，各位装了NOD的朋友，看看你的任务管理器，NOD占用了多少内存。25M左右！
0 x- x! E# }. X" l' j
和他占用差不多的，有没有呢？有！小红伞、大蜘蛛和驱逐舰。其中驱逐舰占用最少，10M左右，安静状态下只有4-5M。大蜘蛛占用也比NOD低，不超过20M。红伞比NOD稍微高一点。
2 T+ x6 L* y6 ~0 H' ^$ Z

" d3 G! j) O+ N& D- Q程序的内存占用是动态而非不变的，而且与所处系统环境有密切关系。同一个杀毒软件安装在不同的系统中，其内存占用也不会相同。这位版主根据来自不同的电脑上的不同杀毒软件的内存占用来做对比，违背了基本的统计分析原理，不足以说明任何问题。
' a! J' v$ o1 H& A: M* F

5 g' }4 G$ I" e
/ J* ?9 X9 e3 o2 H1 J- G
究竟谁的PF值更高，我没有办法测试，但我可以肯定的告诉大家，驱逐舰是最低的（下面会讲到为什么它很低），NOD32和大蜘蛛不相上下（只是大蜘蛛扫描时很卡，跟强大的脱壳能力有关系），红伞虚拟内存占用比较大，60-70M，但很流畅，不占CPU。



既然没有办法测试谁的PF更高，那么驱逐舰是最低的又从何得出？用过NOD32的朋友都知道NOD32非常流畅，不占CPU。


' x3 ~! L) I% h" A1 z, A' v3 o

VB100%的权威性不可置疑，但是，测试的环境是在欧美，在中国这样网络环境比欧美复杂NNN倍的国家，NOD的高启发能起多大作用？
6 ?# J7 W, Y* g% x  K! A  {$ x


VB100%测试所使用的样本是由WildList Organization所收集In-the-wild病毒样本。所谓In-the-wild病毒就是近期在全球两个地区以上发生实际感染事件或有感染报告的病毒，并非只限于欧美。中国的网络安全环境确实较欧美更加复杂，但是这并不意味着NOD32无法有效防御这些威胁。


光一个小小的auto，一天变种就几百个，更不用说灰鸽子、机器狗、磁碟机，以及数也数不清的广告软件和流氓插件，NOD能启发几个？


/ f  T8 G6 S5 f5 D7 u这位版主显然不知道NOD32的高级启发式引擎中使用了广谱特征码和代码分析技术，通过这两种技术NOD32能够有效查杀病毒库中已知病毒的变种。

( W; g! s$ K% ?" a# O1 B
在差不多资源占用的情况下，小红伞的查杀率远远超过NOD，大蜘蛛的查杀率也绝不在NOD之下，且脱壳能力远远超过NOD。

2 e: m3 e( K8 \# [( Z- |- R* o
7 N; x( f( ^) d) y* A& B& Q' o6 t, J众所周知小红伞的高查杀率是以较高的误报为代价的，尽管小红伞一直在减少误报，但是也无法掩盖其经常报壳的事实。大蜘蛛的查杀率在多次权威测试中均远低于NOD32。

. q4 R4 a* f8 ~1 W  C- X
$ P* J5 F" P, F接着说本地化问题和授权问题。
9 }. }: Q* D* \% {# z
! n6 ?% x* [' k$ j& U( o& ~经过上面的论述，选择NOD，似乎只有本地化这一个理由了。相比红伞和蜘蛛，NOD有中文版，这是唯一的优势（这一点，我很无奈），对于普遍英文水平不高的国人来说，虽然红伞和蜘蛛的界面只有无比简单的几个单词，但是他们仍然习惯于中文界面，于是，像nod32和驱逐舰（驱逐舰为什么劣质，后面说）这等劣质杀软便在中国大行其道，加上随处可见的破解、ID、私服等等，其拥护者与日俱增，让人痛心。。。。

( c5 u4 h6 u1 a& ?+ |# p8 h, d

这段带有明显的主观色彩，拥护者与日俱增就让您痛心了？什么叫界面只有简单无比的几个单词？这都是作者主观的臆断。一篇连连客观性都无法做到的文章，又如何去说服他人？

+ r8 z! M, T' d1 G% X
说到授权问题，NOD反盗版力度还是很大的，ID一般用不了几天就被封了，私服也被官方查封。相比之下，红伞免费的C版，基本免费了的P版（常有免费KEY申请），有升级器的蜘蛛，都比NOD升级要来得容易，仅仅因为一个英文界面和本地化宣传，用户数量便拉开了差距。

6 Y$ _, ?. T9 z9 \7 L

这位版主显然不知道NOD32目前有180天免费的全功能版本。


& _" b# ]: k' i+ m3 B4 z说累了，举几个例子：
. P$ L2 |# H' C) s0 s5 a
4 j" n! |) X* f' w8 c* q6 ^! e& V& ~熊猫来袭时，NOD和国产三大一样倒下了，坚挺的是小红伞。（不是倒下那么简单，而是病毒彻底干掉了，破坏了。卡巴当时也不能查杀，但至少没有被病毒破坏自身文件，而后通过快速的升级反应，迅速解决了问题）
! Y# R2 j' I$ p; K) x
. x) C' I: X3 T  {  Q8 D

您可以举出小红伞和卡巴拦截了熊猫的例子，我也能举出小红伞和卡巴被熊猫干掉的例子。您可以举出NOD23被熊猫破坏的例子，我也能举出NOD32拦截了熊猫的例子。使用个例来说明问题，毫无说服力。
0 @! H6 e& b8 z- h% u9 J
/ f! P6 S* F: t
) S: j' m0 ~' R3 c( n( QAV终结者及无数auto变种猖獗时，NOD表现出了和国产三大一样的脆弱，虽然我并不知道红伞和蜘蛛可以抵御多少变种。

0 I% p& m  W% z1 |& ]
您不知道红伞和蜘蛛可以抵御多少变种，当然也不知道NOD32可以抵御多少变种。
. H. [4 o# O. f& O( x) z



机器狗、磁碟机，这两个更不用说了，NOD的脆弱表露无疑（多数杀软都被过），而且升级反应速度很慢，补救措施迟缓，至今，仍有不能查杀的已知特征。
( D* C! V  h; B

$ e' I) X" C% N( l" c4 r: h$ T; c
9 v- p, E& y' e  Y2 m6 s9 d5 `1 g我可以很明确的告诉你，NOD32每天至少升级3次，并非您说的升级反映速度缓慢。且机器狗、磁碟机及其变种NOD32早就能够查杀。
5 p* U( n- @2 j) f% e4 E; W

; \! l& X/ ]2 f6 b+ z这是nod一向引以为自豪的技术，正是有这项技术的支撑，NOD的开发真拒绝大规模升级病毒库，而秉承精简原则，至今，NOD的病毒库不超过20万。我不知道NOD的启发究竟属于哪一种，不过据我了解，应该不是行为模拟启发，更像是虚拟启发。
# i, ^! Z5 \7 l# A/ D  V5 ^) J
' ]0 h7 G8 T6 s7 B" J* O
6 ?. v0 S4 l0 r7 W8 D5 k* }
可是，没有病毒库的支持，虚拟启发能有多大的威力？能识别多少变种？（启发出来也识别不了，浪费了一个好引擎）
# l- ~2 T* k- p0 u; hNOD仍然属于传统的特征码杀软，在没有庞大病毒库支撑的情况下，再厉害的启发也是徒然。加上它本身又不带主动防御功能，查杀率能上得去吗？



% w( S/ S7 P  w5 v8 z( b, j这位版主显然不知道NOD32引擎所使用的虚拟机、代码分析以及广谱特征码的作用，以及他们之间的区别和联系。更可笑的是这位版主将“行为模拟启发”和“虚拟启发”认为是2种不同的技术，其实他们就是虚拟机启发式查毒技术，即让程序在一个虚拟的仿真环境中运行通过程序执行时的动作判断其是否具有恶意企图。
/ c+ @3 B& i* |  h: X
1 X8 o" p/ u- \- Q4 x1 g
$ _& I: ~" }0 \) A% _* fNOD32通过上述三种技术，能够有效查杀已知病毒变种和未知病毒，而非是只依靠传统特征码的软件。使用过NOD32的朋友都知道，NOD32经常报“XX木马的一个变种
! M( y* P7 g4 }7 `, f”，“可能是XX木马的变种”以及“可能是未知的NewHeur_PE病毒”，这些都证明了NOD32拥有强大的启发式检测能力。

5 N; ]) E7 L- L1 [* \/ B
' Z& L+ ]+ P& ^0 t0 h, }6 l还有一点这位版主，认为NOD32没有主动防御功能。显然，这位版主不知道何为主动防御而将其与行为拦截划上了等号。所谓主动防御就是自动实现对未知威胁的拦截和清除，用户不需要关注防御的具体细节，启发式检测也是主动防御的一种。
3 J- Q$ d( m! c$ @% F+ I8 Z- D

PS：红伞是行为模拟启发，加上超过100万的庞大病毒库，高查杀率是必然的
$ o9 W2 j! G  U3 r" c) x
- q# K3 b; l; [
& g! z2 M; l& H" Z$ p$ A; X

# B5 G+ `8 G$ q1 O1 b" d: r$ s正好相反，红伞更多使用的广谱特征码和代码分析，而非虚拟机（行为模拟启发）。

9 k5 x, u! x6 |" t% q- w
9 i; t( F2 L% ?* f( C- ]
6 T+ ^& ?( c* ]: R
4 D$ y  W* h+ i

' i" _& p( F" f  g总结：
& X7 B) ]% k5 d- ~3 X
+ N& I. r- w2 }综合防护：NOD不及KIS、FS、诺顿、趋势科技、麦咖啡、熊猫卫士、BD等著名杀软
3 |% p" l+ t( s3 Z- ~
5 _8 {# f# T" i1 @4 r3 {/ r3 ?. R资源占用：NOD不及大蜘蛛，比红伞稍低

7 L: n& g* y% g+ ]7 s) K$ f扫描速度：NOD不见比熊猫卫士也就是panda 快，也不见得比第二次扫描（采用ichecker、iswift记忆技术）的卡巴快

启发引擎：NOD不见得比大蜘蛛、小红伞强
9 ?# G; s/ \3 y( z: ]7 g
查杀率：NOD不及小红伞、KIS、FS、BD、AVK等强力杀软
( ^! f6 K7 K+ \- g
本地化：NOD不及卡巴

  n5 c! T- ]* d- o; Z+ }授权问题：NOD不及红伞，红伞C免费，P也基本免费

; L4 n0 M9 Y4 m6 S) K防火墙：NOD V3的防火墙不堪一击，和其他套装防火墙有较大差距
: f! u9 F3 f% e5 n1 W
' D1 v* t: {- L9 }) r9 b) J主动防御：NOD没有这个功能

" }+ k4 X. W* @

首先不说这些对比有无事实依据，按照这位版主的逻辑，我可以罗列一份清单出来：综合防护红伞不及XX，本地化红伞不及XX，扫描速度红伞不及XX，误报小红伞不及XX，这样的比较是毫无意义的。

$ D' c# e% k  D2 c
NOD只有一项技术站在世界前沿，那就是高启发，可惜没有病毒库的支撑，高启发也就成了炫耀技术的实验室产物，对提高查杀率没有质的提升。


4 h+ w$ y2 r$ Z& g不知道这位版主所说的“高级启发式对查杀率没有本质的提升”这个结论从何得出？NOD32的高级启发式经过了实践的检验证实其是有效且实用的。有大量事实表明，在多次新病毒爆发时，NOD32都通过启发式检测预先识别而非等待病毒库更新。

) v4 I5 b" q+ @8 _# F+ q+ z
总结
) R. @( H  l/ M- ?2 j- U1 u( Q
/ b" c/ G# x4 W
作为全球领先的主动防御服务提供商ESET公司的旗舰产品，ESET NOD32引擎采用的启发式检测技术被认为是业界最为稳定而成熟者，其优秀的主动防御能力得到了业界专家和用户广泛认可。ESET NOD32一直坚持“轻、快、准、狠”的设计理念。通过新病毒分级入库并定期清理病毒库中的“化石”病毒以控制病毒库大小，配合高级启发式检测技术，NOD32能够以最少的系统消耗带给用户最大的保护。“NOD32高启发没有病毒库的支撑是废物”之类的观点纯属无稽之谈。
0 S. [+ }2 K4 R- P# b
3 y* ?- v* {/ G6 C) ^
当然，ESET NOD32在本地化的过程中确实存在一些问题，我们并不回避。正是如此，二版科技公司一直在和ESET积极沟通，努力解决这些问题。例如，ESET NOD32已经在逐步加强对中国区病毒的查杀，从每天更新的病毒中可以看出，很多都是中国特有的病毒如QQD号木马。所谓“不积跬步无以至千里”，我们论坛管理团队也将继续和二版公司的工作人员一同努力，加强NOD32的本地化工作，提高产品的服务和质量，为各位NOD32用户带来更好的使用体验。
( p( v6 G, L+ A* @8 y% V

因此希望大家不要被网络上的某些谣言所混淆视听。同时也欢迎大家提出宝贵意见。