51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 2552|回复: 1
打印 上一主题 下一主题

[讨论] 临床实测:NOD32网络监控是废物吗?

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2007-6-8 21:05:05 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
在很多论坛都看到有人在询问,NOD32的网络监控(IMON)所提供的高效能和高兼容两种模式在实际使用中有何区别,

用文字来说明实在不够方便,干脆决定进行一些比较直观的对比测试。需要提醒的几点是:

  

1、以下图片中的网址存在安全风险,请用户不要轻易尝试;

  

2、测试所用的系统为Windows XP SP2中文版,浏览器为IE6。

  

OK,测试正式开始——

  

测试一

  

首先将IMON设置为高兼容度,然后输入网址,网页打开7~8秒后会自动跳转。此时NOD32会提示发现木马,如图:




图1
  
不过在选择阻止以后,文件监控(AMON)再次出现提示,进程路径相信大家一看就明白。随后IE出现关闭提示,如图:



图2
  
再来看看使用高效能监控方式。打开同样的网页,这次略有不同——还是网络监控提示发现木马,

但选择阻止之后文件监控不会有反应,也不会提示IE关闭。也就是说,文件并被没有被下载到硬盘上。如图:



图3
  
为了排除偶然性,笔者一共进行了三次测试,三次的结果均一样。这说明高效能模式在监控能力上确实要更安全、更到位一些。

  
测试二


  
NOD32具有非常优秀的网络监控能力,但是很多正在使用NOD32的用户可能并没有把它真正的能力完全发挥出来。

  
另外,网上一直流传着“NOD32网络监控不能监控压缩包”的说法,其实个人认为有待商榷。

我们都知道,NOD32的网络监控(IMON)因为考虑到有些系统不能正常上网的情况,

默认对所有联网程序都采用“高兼容度”模式而非“高效能”模式。

  
关于“高效能”和“高兼容度”的说明,我们来看下帮助文件的说明:

  
Higher efficiency - if set, IMON will use active mode with the particular application (browser).

  
Higher compatibility - if set, IMON will use passive (compatible) mode with the particular application.

  
很明显,“高效能”是主动方式,而“高兼容度”是被动方式。如果采用默认的“高兼容度”,

那么带有病毒或木马的压缩包都是先下载到我们的硬盘上,当我们用右键扫描或解压时NOD32发现木马或病毒才会报警。

为了说明这一点,笔者做了如下测试。

  
首先可以看到,在采用默认设置的情况下,IMON的设置中包括压缩包监控,包括ZIP和RAR等格式。如图:



图4
  
然而很多用户发现,无论用IE自带的文件下载,还是使用迅雷等下载软件,压缩包都没有监控到。

那么问题到底出在哪里呢?这是很多新用户产生疑问的地方,也是“NOD32不能监控压缩包”流言的由来。其实问题不在这个选项上。
  
我们在网络监控设置中,将IE和迅雷都设置成“高效能”模式,如图:




图5
  

设置完成以后,使用IE 6和迅雷来下载带病毒的压缩包,如图:



图6

图7
  

我们先测试迅雷。单击文件进入下载页面,然后选择页面中“我需要下载”选项,再右键点击“使用迅雷下载”,

结果迅雷下载提示框刚刚弹出,NOD32马上就弹出了红色提示框,如图:



图8
  

再来测试IE 6.0。还是按照上面的步骤进入下载页面,然后单击文件进行下载,NOD32也立马弹出提示框,如图:



图9
  

如果选择阻止,那么网页将会出现NOD32网络监控阻止文件下载的说明。


图10
  
在目前的网络环境下,网络监控的重要性是毫无疑问的!很简单,如果能在下载压缩包之前就能对其进行检测并发出警告的话,

无疑能为我们节省不少时间。从测试可以看出,NOD32的网络监控非常的严密,如果设置成“高效能”监控,

无论是在IE中右键“另存为”还是使用迅雷等软件,如果压缩包有感染,那么NOD32都会在刚开始下载之时及时报警,

这种监控之灵敏,说它优秀是绝不为过的。

  
测试三

  
为了更深入地测试IMON的防护能力,我们特意找了一个带有多个木马的网站(为了大家的安全,网址就不公布了)。

打开网页时,NOD32(高效能模式)出现如下提示:



图11
  
之后NOD32再没有任何提示。然而其他杀毒软件报告该网页还有木马(比如咖啡报的是QQ PSW)。

将该样本下载后使用多引擎扫描了,除了这个ANI病毒,NOD32对其它文件全都不报,

而其他大部分杀软都确认出两个木马:一个是123a.exe,另一个是cha.exe,如图:



图12
  
NOD32不提示,那么我是不是已经中木马了?请大家继续看——

  
从扫描结果来看,AVG的反间谍是对这两个木马都报的,然而使用AVG扫描系统,结果却是什么都没有发现:
  
大家可能和我一样奇怪:明明这个网站上有NOD32不提示的木马,为什么系统会没事?

  
我们都知道,NOD32的网络监控(IMON)在高效能时,如果发现网页带有病毒,在用户选择阻止之后会屏蔽网页。

所以在检测到恶意网页时,后面的下载木马行为根本就无法启动:



图13
  
这里需要注意的是,如果浏览器访问的当前页面有问题,那么NOD32的IMON(高效能模式)会出现报警窗口;

如果页面带有隐藏的恶意链接,那么IMON并不会出现屏蔽界面,但是同样会对同一链接下的所有恶意程序进行拦截。

  
这就可以解释,为什么刚才的测试网址NOD32只能识别一个木马,其他两个木马也无法进入系统,

因为NOD32对其整个链接进行了屏蔽,同时也解释了官方“用高效能可以加强对木马的防御能力”的说法。

  
从这个角度来说,NOD32的网络监控的确大大加强了其综合防御能力,从中我们也可以看出网络监控模块的重要性,

这样只要能识别相同链接中的一个恶意程序,其它的都没戏;而如果采用的默认的高兼容度,

那么漏查的机率也必然会增加,所以如果大家在开启高效能时能正常上网,建议还是尽量开启高效能。
  
至于有人说的影响网速,至少在笔者使用的1M ADSL线路下是没有明显感觉,只是在打开有些图片或者是网上视频时会缓冲一下,

其它的没有什么影响。

  

最后为NOD32新用户补上一张设置图(图中划红线的GreenBrowser是一款采用IE内核的浏览器):




图14
  
结语

  
NOD32的网络监控无疑是一块非常有挖掘力的地方,从这个角度来说,NOD32的防御能力还是不错的,

希望此文对于广大使用NOD32的用户有所帮助。当然,笔者的认识也非常有限,难免有不准确以及错误的地方,

还请大家多多指教!
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

该用户从未签到

2#
发表于 2007-6-9 00:35:45 | 只看该作者
文章是不错··是不是发错地方鸟?
回复 支持 反对

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-16 21:55 , Processed in 0.081084 second(s), 28 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表