迅雷调用NOD32扫描的程序【附AU3源代码】
一直以来有个说法,就是迅雷不必调用NOD32扫毒,下载的文件会被NOD32的文件实时监控扫描。这个说法在大部分的情况下是成立的:
[*]比如下载的普通带毒文件或自解压文件,当迅雷下载到99.9%,会将下载的TD临时文件复制为正式文件,在这个复制过程中,NOD32会启用“用于新建文件和已修改文件的其它 ThreatSense 参数”的规则通过高启发来深度扫描此文件。[*]比如下载的RAR等带毒压缩文件,虽然该文件已下载到硬盘,但你解压缩时NOD32会启用“用于新建文件和已修改文件的其它 ThreatSense 参数”的规则通过高启发来深度扫描解压缩出来的文件。[*]对于已经下载到硬盘的带毒自解压文件,你运行时,默认配置的NOD32会启用“ 启用文件系统实时防护(E)“中的”ThreatSense 引擎参数设置”的规则通过病毒库浅度扫描自解压文件本身,同时启用“用于新建文件和已修改文件的其它 ThreatSense 参数”的规则通过高启发来深层次扫描解压缩出来的文件。[*]同时“WEB访问防护”也会对下载的文件进行高启发式的深度扫描。OK,现在看起来,ESS已经堵死了从网络上感染病毒的全部可能性,不会有什么漏洞,但是非常不幸的事情发生了:
[*]“WEB访问防护”的设计有bugs,只会对静态页面(HTML页面)下载的文件进行扫描,如果从论坛等动态页面(ASP、PHP页面)下载文件,ESS的“WEB访问防护”根本不会进行扫描,而是将任务交给了“新建文件”规则和“文件系统实时防护”的规则来进行扫描。[*]“新建文件”规则和“文件系统实时防护”的规则不知道为什么其效果弱于“WEB访问防护”,尤其是对于某些自解压文件,“WEB访问防护”和“手动扫描”可以检出,“新建文件”和“文件系统实时防护”均不能检出。例子在此:http://www.nod32club.com/viewthread.php?tid=52406&extra=page%3D2[*]综上所述,看来下载的文件还是使用NOD32的手动扫描一下更加保险。
下边的程序可以使迅雷自动调用NOD32 V3的命令行扫描程序ecls.exe来进行扫描,这个程序还不算完善,大家将就玩玩吧,如果你下载含有N多病毒的样本包,此程序调用的ecls会造成CPU占用飙高:
使用方法:
这个程序会从注册表读取NOD32的位置并自动使用高启发深度扫描的参数来扫描下载的文件。
其实还有更好的办法来判断文件是否带毒,比如利用log-file=xunlei-nod32.log /log-rewrite 参数生成日志文件,再读取日志文件,比我这个利用CMD回显来判断更加精确,留给后来人研究吧。
对了,如果NOD32已经检测出下载文件带毒并处理了,那么此程序的弹框是未发现病毒,看起来比较怪异。
下载链接:
源代码(编译程序:AutoIt v3 v3.2.11.10 (beta):
图标文件:
[ 本帖最后由 bdrdc 于 2008-10-5 14:38 编辑 ] 以前不是都可以调用ecls.exe的么 还有一大段参数在后面 和这个效果一样么? 不错! 原帖由 slz17 于 2008-10-5 15:11 发表 images/common/back.gif
以前不是都可以调用ecls.exe的么 还有一大段参数在后面 和这个效果一样么?
一样的,就是那个CMD窗口一闪而过,啥也看不见。 好东西,学习下 想过这个问题.楼主解决了.呵呵.很好很强大. 收藏了#l%26
谢谢版主 顶下 啊 顶下 啊 原帖由 ERICY 于 2008-10-5 16:01 发表 images/common/back.gif
收藏了#l%26
谢谢版主 [/quote}
好东西啊
页:
[1]
2