●′韓唄唄丶

转自-卡饭
傻猪猪米走鸡
http://bbs.kafan.cn/viewthread.php?tid=209948&extra=page%3D1                        

                      ESS官方中文测试版新手教程

我考虑了很久，回忆到数十亿年前……我看到恐龙的时候……
噢……错了错了，是数个月前用nod的时候……
作为新手的迷茫……即使是昨晚，才解决了一些积压已久的问题……

既然是为新手排忧解难，现在列出一些Q&A（其中很多都是根据之前nod的爱好者提出的方案作出总结的），希望对各位有帮助：

1.Q:ESS的监控和杀毒能力强吗？
  A:绝对没想象的那么差！
    防杀蠕虫是出名好的；对木马并没有置之不顾，更不是不杀马啦；灰鸽子，以前nod对付灰鸽子确实有差距，但无可否认，经过一大堆nod爱好者的努力以后，这差距却是被拉少了很多很多。U盘病毒是目前流行之一，nod对此的能力已经日渐增强，中国国情也慢慢融入了nod的精神当中。
    目前对nod的免杀仍然是多方面地存在，但是要知道人的力量是无穷的，即使再怎么封免杀也能在研究一种出来。但无可否认，eset和二版都在为这个而伤脑筋，该做的他们还是会做的。
    总之，nod3.0不会是最完美的那个杀软，但同时他是一个进步大家有目共睹的杀软。监控在加强，查杀率也在加强，可以说nod3.0现在处于鼎盛时期……

2.Q:ESS的资源占用如何呢？
  A:目前内存和CPU问题一直是用家对ess的最大意见。但其实可以避免一部分的。
    首先，对于内存部分，实际内存和虚拟内存的占用。有些用户会发现安装ess之后，两种内存的占用量都比较高。其实这个是一种动态占用来的，这意味着机器越好占用越大（当然这个也不会到一种夸张的程度），但也会随着用户的其他软件的内存占用量而让出必须的内存。所以其实用户不必担心太多。
    其次，对于CPU部分，最多人反映：卡。这个主要体现在复制移动复合内容文件和解压复合内容文件方面。除了这2个以外，都很顺的。这两者的本质都是新建文件。这是有人有疑问，那我去掉新建文件的扫描就可以啦。但是，这样子所要面临的高风险是每个注重安全的用户都不想面对的。因为病毒也是通过新建自己必须的文件来达到目的的。对于目前这个问题，存在与一部分用户上面，但我也发现有一部分用户没有这样的问题。这个我自己的电脑遇到着这种问题，但我另外一台机器却没有（都属于主流电脑）。对于这个问题，目前无法彻底解决，但可以减轻一点。
    方法如下：
                                                                                                                                                                                                                                                         实时主页.JPG (64.07 KB)
                                                                        2008-2-27 17:28

        
                                                                                                                                                                                                                                                         加壳.JPG (61.34 KB)
                                                                        2008-2-27 17:28

        
                                                                                                                                                                                                                                                         全局高启.JPG (69.73 KB)
                                                                        2008-2-27 17:28

        
                                                                                                                                                                                                                                                         清除级别.JPG (78.43 KB)
                                                                        2008-2-27 17:28

        
3.Q:一部分迅雷等下载软件用户会发生CPU高居不下的问题。
  A:这个问题的产生在于ESS会对下载软件不停修改正在下载的那个文件作出扫描的。当那个文件体积巨大，加壳等时候，这种搞cpu占用情况更加容易发生。但奇怪的是，一部分用户反映用非官方迅雷就不会有这种情况。我自己试过cpu100％在下载的时候，但在一次重装系统之后就再没有发生过了……
    但是，对于下载时高CPU占用的解决方法还是有的：
                                                                                                                                                                                                                                                         迅雷.JPG (62.24 KB)
                                                                        2008-2-27 17:28

        

4.Q:ess能防网页挂马吗？
  A:能，不过无法保证防止所有的挂马。有用户会说在样本区找到的一些htm样本怎么没报呢？其实那些htm内含有木马的地址，而非有害代码，而一般下载下来的那个木马会被侦测到，真正有有害代码的网页ess目前也可以应付。
                                                                                                                                                                                                                                                         网页元素.JPG (57.08 KB)
                                                                        2008-2-27 17:28

        
    而且有绝招,但是这样做我们下载文件的时候就必须用下载工具：
                                                                                                                                                                                                                                                         网页挂马.JPG (61.19 KB)
                                                                        2008-2-27 17:28

        
5.Q:如何解决我的浩方no ping？
  A:在 Web访问保护——HTTP——Web浏览器 里面找到浩方的一栏，把小勾勾改为X。
补充一点：
Web浏览器里面的叉叉跟空白究竟有什么不同？
空白意味着即使不是浏览器或高效能，但是该程序的网络通讯在之前HTTP填入的端口里通过的数据将被扫描。
而叉叉就是无论什么流通数据都不会被扫描！


6.Q:如何提高扫描侦测率和速度？
  A:提高侦测率：
                                                                                                                                                                                                                                                         深层对象.JPG (60.41 KB)
                                                                        2008-2-27 17:28

        
                                                

[ 本帖最后由 ●′韓唄唄丶 于 2008-3-7 19:12 编辑 ]

●′韓唄唄丶

                                                                                                                                                                                                         深度对象.JPG (63.21 KB)
                                                                        2008-2-27 17:28

        

                                                                                                                                                                                                                                                         上下文选项.JPG (71.14 KB)
                                                                        2008-2-27 17:28

        
    速度：
                                                                                                                                                                                                                                                         深度处理.JPG (76.17 KB)
                                                                        2008-2-27 17:28

        
                                                                                                                                                                                                                                                         右键优先级.JPG (75.42 KB)
                                                                        2008-2-27 17:28

        


7.Q:如何排除文件？
  A:把文件夹或文件的路径添加到里面就可以了，看下图：
                                                                                                                                                                                                                                                         排除.JPG (65.34 KB)
                                                                        2008-2-27 17:28

        

8.Q:ess可以防止ARP吗？
  A:可以。ess不止可以防止arp，而且防止其他网络攻击也很出色。而且默认的规则也能防止基本攻击了（意思是即使在自动模式下）
    如下图所示：
                                                                                                                                                                                                                                                         防火墙.JPG (74.55 KB)
                                                                        2008-2-27 17:28

        

9.Q:如何上报病毒？
  A:首先我们在设置好自身的Threatsense.net系统之后，系统会自动将认为可疑的文件上报至ESET分析。
    设置如图：

                                                                                                                                                                                                                                                         threatsense.JPG (68.61 KB)
                                                                        2008-2-27 17:28

        
    其次，我们也可以手动添加样本上报。并最好在内容上填上自己如何中毒和一份www.virustotal.com的报告，这样子会增加优先级。
    例子：

http://www.nod32club.com/forum/viewthread.php?tid=33941&;extra=page%3D2

    有人会说，怎么我的上报好像没有效果。上报的优先级确定了入库的速度，并且eset按例说是没有回复的。但每一个病毒样本都会被分析师检阅。
    具体还有邮件上报，上报地址：

samples@eset.com

samples@eset.sk

support@version-2.com.cn
    网页上报：

http://nod32user.ttsite.com/thread.php?fid-1644027.html

www.nod32cn.com

10.Q:如何有效地保持系统远离病毒？
   A:1.添加高效的ESS计划任务，这样子会定期清理电脑里面的可能存在的威胁。

     2.安装好MS补丁
     3.添加辅杀软件（最好绿色化）定期扫描，这样做是一种互补，因为没有一种杀软可以100％防御所有病毒，ess也不能。但各有所长，所以多一层保障用户心也安定一些。

2006kwh

还没有用过这种杀毒的软件 ...

QJ01

用ESS已有一段时间了，楼主的教程写得很洋细。