【IT168 专稿】日前笔者在网上看到关于NOD32的一些测试文章中,提到“NOD32启动速度很快,但是没有提供类似瑞星那样的在登陆系统前就提供保护功能”。作为NOD32的长期用户,看到这样的结论非常惊讶,于是决定进行一番实际测试。
一、测试思路
准备两台可以互联的电脑(称为A和B),在A电脑上安装NOD32,启用文件夹共享并给予写权限,然后重启进入登录界面等待;B电脑通过网上邻居,向A电脑的共享文件夹内复制一个病毒程序。
如果NOD32可以在登录前提供保护,那么此时应该可以阻止此文件写入;如果真像该文章中所说,那么这个文件只有在登录后扫描时才会被检测出来。
二、测试过程
为了保证测试的正确性,我们在A电脑上安装了全新的Windows XP SP2操作系统,然后安装NOD32 2.70.32并升级至最新病毒库,然后设置分区共享并给予写权限。
 |
准备完成后再次重启,进入Windows XP登录界面后等待。这时打开另外一台电脑,通过网上邻居复制病毒文件(B电脑使用Vista系统,界面有所不同):
 |
看起来病毒文件已经复制完成,难道NOD32真的是在用户登录之后才进行加载?不过,当按下F5进行刷新后,病毒文件已经不见了!看来是虚惊一场,因为局域网共享不是实时更新的。
这时再在A电脑上正常登录Windows,打开NOD32的日志记录,就可以看到刚才的拦截已经记录在案了(一共复制了4次病毒,对应的日志有4条):
 |
将其操作日志复制出来并重新排版,可以看到其内容如下:
Time(时间) 2007-2-27 16:45:27
Module(模块) AMON
Object(对象) file
Name(文件名) C:\mx_2.0.1.5462cn.exe
Threat(病毒) Win32/Pardona.N virus
Action(操作) quarantined – deleted(已隔离→已删除)
User(用户) NT AUTHORITY\SYSTEM
Information(信息) Event occurred on a newly created file. The file was moved to quarantine. You may close this window.(新建文件已被阻止,该文件被移至隔离区)
三、结论
从日志中可以看出,在Windows登录界面下,NOD32已经使用SYSTEM用户进行加载,只是没有像其他杀毒软件那样在这个界面上放置LOGO而已。SYSTEM是Windows系统的内置用户,主要用来启动服务,其权限高于管理员(Administrator),所以即使未登录Windows,它依然可以让电脑处于保护之下。
从这一点来看,NOD32非常适合服务器使用,因为很多服务器都是在处于长期未登录状态的,如果因为某些漏洞被人上传了有害文件,NOD32也能立即将之阻挡。
这种在登录界面不显示LOGO的特性其实也符合NOD32的一贯作风,比如它提供的静默模式(即只启动后台服务而不加载图形界面及托盘图标)对于用户几乎是隐形的,甚至会让人忘记它的存在。轻巧而实用,我想这也是大家喜欢NOD32的主要原因吧。
