关于ESS & EAV在若干程序中占用CPU、无法多线程及无法访网、网速慢的解决方案
前几天翻深度的帖子发现李祺曾经对这个问题有研究,后来又发现很多朋友在精睿问迅雷、ie无法访网的问题,我自己在使用中也发现如下软件存在问题。问题:IE6.7.8 BETA1迅雷若干版本搜狗输入法升级程序ZUBU电子杂志等 ——有时无法访网(尤其在内网的朋友反映多)
迅雷国际版快车ORIDOWNLOADER 等——无法实现多线程下载
winrar7-zip迅雷若干版本 脱兔 等——CPU占用严重或造成无法使用
下面综合我看到的达人解释和自己操作的一点点意见,做些浅薄的解释
解释:
问题一二、关于ESS & EAV 的HTTP保护造成IE等无法访问网络
我曾经在教育网、易家宽、铁通的网络中使用ESS,其中在教育网中出现了IE等程序无法访问网络的问题。
具体原因是HTTP保护中NOD32存在问题,NOD32对IE等程序执行浏览器数据过滤时造成其无法访网
这个情况也不是什么新鲜事,教育网节点的事情本身就比别人多,当年卡巴六和BITDENFENDER还杀过教育网的登陆器,完全同样的电脑,使用冰点还原保持设置,我一回家用铁通,和去朋友家用易家宽都可以用IE自由访网。
另一方面,ESS,EAV还不是很完善,尤其其的防火墙和网络接入保护都有很多改进的地方。这一问题的真正技术原因因为本人水平所限尚无法了解,等待麦大和版主达人解释。
解决方法:修改HTTP防护设置,禁用过滤IE等程序数据。
操作:
SETUP(高级设置)->Real-time file systemprotection(实时文件监控)->网页浏览器->将IE,搜狗输入法等程序前图标打X
注意:此方法仅仅是将IE的HTTP防护关闭,也就是对于IE的数据流不再被过滤,的确ie网页挂马严重的情况下这样有点冒险。但是不要以为NOD32只会有这种监控对付挂马和挂毒,无论是挂马还是非法插件最终都要在硬盘和注册表里建立或修改文件或值,个人认为上面提到新建文件的实时监控仍然可以检测。
另外,本身用IE上网就是很不安全的行为,IE6就不用说了,IE7还算尚可,但是速度和插件支持确不敢恭维,IE8刚出,对常见网页的支持还不如Firefox。速度和安全性好的浏览器只有非IE核心的,也许是我偏执,只有Opera和Firefox。实在需要用IE解决的不规范网页,也请使用Firefox的IE TAB插件和Opera的修改设置工具。
问题三、关于ESS & EAV 占用CPU严重问题
绝大多数是ekrn进程CPU占用率偏高,而这其中的绝大多数都使用了迅雷或者是类似的下载软件。
ESS & EAV 对于文件被病毒篡改是十分敏感的——这也是很多病毒传染途径。
而迅雷的下载过程其实就是模拟病毒篡改文件的过程:先获取目标下载文件大小 接着在硬盘上创立相同大小的.td文件 其后进行下载,并将下载数据不断替换原.td文件中内容 下载到100%,下载结束
大家可以想象一下:系统中有一个文件,大小不变,但是文件内部却是一直变化,ESS、EAV对磁盘新建文件进行的高启脱壳和保护扫描就开始工作,迅雷每改动一次,ESS、EAV包括NOD32便扫描一次,网速越高,下载速度越快,文件改动越频繁,扫描就越频繁,那么想对应的系统CPU资源就会持续被占用,文件越大,占用时间就越长……
解决方法:只要不让杀毒软件扫描迅雷下载临时文件就可以了。
换句话说,就是把迅雷的临时文件添加到ESS & EAV的ThreatSense的排除
操作:把后缀"TD"添加到ESS、EAV包括NOD32的扫描排除里
SETUP(高级设置)->Real-time file systemprotection(实时文件监控)->ThreatSense engine parameter setup (ThreatSense引擎参数设置)->扩展->将 .td 加入排除项
SETUP(高级设置)->Web access protection (网络接入保护)->ThreatSense engineparameter setup (ThreatSense 引擎参数设置)->扩展->将 .td加入排除项现在试一下,CPU的使用率和ekrn进程占用率是不是都大幅度下降了!
注意:此方法不要把迅雷添加进例外,为了保证系统的安全(迅雷0day问题)。迅雷的TD文件被排除大家不用担心会影响系统安全,因为首先迅雷从5代开始已经内嵌包括卡巴、金山、瑞星、江民四大杀毒模块,所以基本下载过程中能够保持系统安全,而下载结束后迅雷将取消.td后缀而变回原文件的扩展名,然后的文件就会被扫描,ESS & EAV 就会帮我们把好关的。
不只是迅雷:其实容易发生这种情况的不只是迅雷,采用类似原理的有很多,比如FlashGet快车、Tuotu脱兔等,所以如果你是用的是以上的软件,也应该把相应的文件后缀加入排除名单(比如快车的.jc)
第一次自己写帖子,请达人指正,其实很多东西我都还没搞明白,请嘴下留情~~~~~~~:)
另外建议大家还是用麦大的NOD32版本,以前都不是很信,现在觉得版本很重要!我用麦大的ESS很久,除了IE无法访网被划X后解决外,其他都没问题!
[ 本帖最后由 哇哇。。 于 2008-3-11 20:25 编辑 ] 支持一下楼主 挺不错的
关于教育网的一些推论
前提:1、教育网一般都是固定IP段的,每个学校都有自己的IP段,网管会根据这些内部IP来确定客户端是否为本校内部合法用户,以便放开各种限制(比如访问外网网站和IEEE等受限数据库)。
2、当IE在“Internet 浏览器”列表里边后,不管前边是否有勾(注意是勾不是叉),EAV的HTTP防护过滤开始运行,XP用127.0.0.1这个私有IP及30606端口连接外网。(这里EAV的ekrn程序完成这个任务)
3、当IE在“Internet 浏览器”列表里边后,前边有叉时,EAV的HTTP防护失去作用,XP直接用网管给你的校园网内部IP和随机的端口访问外网。
结果:
当客户机访问外网时,经过EAV的HTTP防护过滤后,你的校园网内部IP被替换成127.0.0.1,端口都是30606,这样,就触发了网管的限制,认为你的IP是非法的校园网内部IP,进而阻断你的浏览。
题外话:这也是为什么部分网络限速软件不能正常工作的原因。 原帖由 bdrdc 于 2008-3-11 20:24 发表 images/common/back.gif
前提:
1、教育网一般都是固定IP段的,每个学校都有自己的IP段,网管会根据这些内部IP来确定客户端是否为本校内部合法用户,以便放开各种限制(比如访问外网网站和IEEE等受限数据库)。
2、当IE在“Internet 浏览器 ...
谢谢ls支持,最近这事好多,看来也是NOD32的新用户增加的缘故 过来学习学习 学习了,感谢楼主分享! 学习了!谢谢! 恩,写的不错
修改过了确实有所高进,谢谢了~ 感谢大家但是还是很期待麦大百忙中抽空解答我疑问!