凭借小巧的资源占用、启发式查毒等多种优势，NOD32在国内的名气已经越来越大，显露出后来居上之势，前不久又发布了最新的2.7版。这次升级到底有何改动、是否值得升级？成了NOD32的用户最关心的问题。在与NOD32国内总代理深圳二版科技相关负责人联系之后，我们得到了一份列表，其中对2.7版的升级进行了简明的描述——

    1、全面兼容Windows Vista
    微软最新一代操作系统Windows Vista将于2007年1月30日全面发布，作为微软长期的伙伴，Eset在其发布之前就对NOD32进行了升级，使之完全兼容Vista系统，使NOD32用户可以平滑地迁移到Vista平台上。尤其值得一提的是，整个升级过程只用了一周时间，也是Eset研发团队技术能力的体现。

    2、增强的Anti-stealth（反隐形）技术
    之前Eset曾经表示，会从基础上增强NOD32防御rootkit（用来隐藏自己踪迹的软件）能力，而现在，NOD32所采用的Anti-Stealth技术则可以像X光一样直接检测到它们！这项技术可以在系统启动或有必要时进行扫描，寻找出那么隐藏在背后的程序，然后通过数字签名及启发式检测来清除这些病毒，这个过程对于用户来讲是非常方便而且透明的，他们不需要进行特别的干预（比如使用一张干净的启动盘启动电脑之类）就可以清除电脑中的病毒。
 
    3、扩展了恶意软件的分类
    随着网络环境的日渐复杂，人们所需要面对的不仅仅是病毒、木马、蠕虫，还有广告、恶意插件等“不受欢迎的软件”。尽管从法律角度来讲它们并不能被称为病毒软件，但是用户的确不希望它们出现在自己的电脑中，升级后的NOD32可以帮助用户在安装软件时及时地判断出是否包括这些内容。同时，NOD32在2.7版中还将“潜在的危险软件”重命名为“潜在的不安全软件”，包括比如键盘记录软件、远程控制软件等在内的一些商业软件也都在此列，它们经常会被一些黑客及病毒作者利用。当然，用户也可以自定义是否检测此类软件（默认设置为否）。

    4、bug修复及其它改进
    改进病毒清除过程；
    在“深度分析”的默认定义文件中关闭了“潜在的不安全软件”检测；
    修复了将可清除的文件进行隔离时可能出现的问题。

    从这些文字本身可能看不出什么问题，还是我们来进行一些实际测试，来发现这些改进的实际意义，支持Vista的改进我们就不再具体测了，因为这是所有软件都将陆续将具备的功能，还是让我们具体看一下实际的功能改进。

    在Nod32 2.7版中，增加了增强的Anti-stealth（反隐形）技术，会增强对rootkit的防护能力，即可以隐藏自己的踪迹以躲避杀软防护的功能。为了测试其实际效果，笔者选用了当前应用比较广泛的Hacer Defender（hxdef）作为测试对象，它可以在所有运行中的进程中重写分割内存，重写一些基本的模块改变进程的状态。程序能够完全隐藏，现在能够做的有隐藏文件、进程、系统服务、系统驱动、注册表的键值和键、开放端口以及虚构可用磁盘空间。程序同时也在内存中伪装它所做的改动，并且隐蔽地控制被隐藏进程。程序安装后能构造后门、注册表、系统服务，构造系统驱动。其本身的后门技术允许其植入redirector。

    在正常启用着Nod32访问保护功能的时候，当我们下载该Rootkits的时候，Nod32就会告警，为了顺利完成测试工作，我们把访问保护先停用，然后把该Rootkit安下载到该机器上，并在相应目录下放上几个木马文件和有用的合法文件。

    然后创建一个配置文件来让该Rootkit隐藏以“hxdef”打头的文件或文件夹，自然也隐藏了其下的木马文件。然后我们运行Nod32的手动扫描功能，我们先在不启用“反隐形技术”的设定下扫描，发现不能发现任何病毒或木马。

    然后，我们启用新增的反隐形技术，再次扫描相应文件夹，现在我们发现Nod32已经可以检测到被隐藏了的所有东西，并且可以查杀其下的木马文件和该Rootkit本身，并且被隐藏的东西被恢复正常显示。