测试了ESS与U盘威胁
关于NOD32无法防御部分U盘病毒的说明:
很早以前听说某位开着ESS却被U盘病毒干翻的事情,觉得很奇怪,专门试了试,当时ESS报警,就片面的觉得这位仁兄的遭遇应该是人品问题,不是ESS的问题。
可是今天动了脑筋,又试了试,发现ESS 3.0.667确实被过,让人很是郁闷。
这两次的区别就是以前测试的样本可被ESS病毒库查杀,所以轻松的被ESS检出,这回特意找了个不被病毒库查杀,但是可被高启查杀的病毒,看看效果如何;
1、先恢复ESS默认配置,做了个autorun.inf,将其指向病毒文件,插入U盘,打开“我的电脑”点击U盘盘符,呜呜呜,在毛豆的监控下,可见病毒已经运行,注册表写入了一堆,又开始调用CMD和Wscript,反正很惨。
2、将“文件实时防护”的高启发和脱壳检测打开,嘻嘻……,这会好使了,一双点U盘盘符,提示程序无法运行,ESS弹框报毒,成功将病毒干掉。
原理分析如下:
1、由于ESS默认只对新建文件和被修改的文件开启高启发扫描,但是U盘内的文件,ESS认为不是新建或被修改的文件,自然就不会启用高启发扫描,大家也都知道,ESS的核心是高启发,如果只靠病毒库,连X星的毛都不如,所以病毒得以成功运行。
2、而一旦开启了“文件实时监控”的高启发,那么程序运行前,是要经过高启查毒的,这样ESS马上凭借高启发扫描到病毒。
网友评论