迅雷调用NOD32扫描的程序【附AU3源代码】

bdrdc

一直以来有个说法，就是迅雷不必调用NOD32扫毒，下载的文件会被NOD32的文件实时监控扫描。
这个说法在大部分的情况下是成立的：

• 比如下载的普通带毒文件或自解压文件，当迅雷下载到99.9%，会将下载的TD临时文件复制为正式文件，在这个复制过程中，NOD32会启用“用于新建文件和已修改文件的其它 ThreatSense 参数”的规则通过高启发来深度扫描此文件。
• 比如下载的RAR等带毒压缩文件，虽然该文件已下载到硬盘，但你解压缩时NOD32会启用“用于新建文件和已修改文件的其它 ThreatSense 参数”的规则通过高启发来深度扫描解压缩出来的文件。
• 对于已经下载到硬盘的带毒自解压文件，你运行时，默认配置的NOD32会启用“ 启用文件系统实时防护(E)“中的”ThreatSense 引擎参数设置”的规则通过病毒库浅度扫描自解压文件本身，同时启用“用于新建文件和已修改文件的其它 ThreatSense 参数”的规则通过高启发来深层次扫描解压缩出来的文件。
• 同时“WEB访问防护”也会对下载的文件进行高启发式的深度扫描。

OK，现在看起来，ESS已经堵死了从网络上感染病毒的全部可能性，不会有什么漏洞，但是非常不幸的事情发生了：

• “WEB访问防护”的设计有bugs，只会对静态页面（HTML页面）下载的文件进行扫描，如果从论坛等动态页面（ASP、PHP页面）下载文件，ESS的“WEB访问防护”根本不会进行扫描，而是将任务交给了“新建文件”规则和“文件系统实时防护”的规则来进行扫描。
• “新建文件”规则和“文件系统实时防护”的规则不知道为什么其效果弱于“WEB访问防护”，尤其是对于某些自解压文件，“WEB访问防护”和“手动扫描”可以检出，“新建文件”和“文件系统实时防护”均不能检出。例子在此：http://www.nod32club.com/viewthread.php?tid=52406&extra=page%3D2
• 综上所述，看来下载的文件还是使用NOD32的手动扫描一下更加保险。

下边的程序可以使迅雷自动调用NOD32 V3的命令行扫描程序ecls.exe来进行扫描，这个程序还不算完善，大家将就玩玩吧，如果你下载含有N多病毒的样本包，此程序调用的ecls会造成CPU占用飙高：
使用方法：

这个程序会从注册表读取NOD32的位置并自动使用高启发深度扫描的参数来扫描下载的文件。


其实还有更好的办法来判断文件是否带毒，比如利用log-file=xunlei-nod32.log /log-rewrite 参数生成日志文件，再读取日志文件，比我这个利用CMD回显来判断更加精确，留给后来人研究吧。

对了，如果NOD32已经检测出下载文件带毒并处理了，那么此程序的弹框是未发现病毒，看起来比较怪异。

下载链接：
xunlei-NOD32.exe (268.46 KB, 下载次数: 20)

2008-10-5 14:33 上传

点击文件名下载附件

源代码(编译程序：AutoIt v3 v3.2.11.10 (beta)：
xunlei-NOD32.au3 (3.27 KB, 下载次数: 8)

2008-10-5 14:33 上传

点击文件名下载附件

图标文件：
NOD32-2.ico (17.13 KB, 下载次数: 4)

2008-10-5 14:38 上传

点击文件名下载附件

[ 本帖最后由 bdrdc 于 2008-10-5 14:38 编辑 ]

slz17

以前不是都可以调用ecls.exe的么 还有一大段参数在后面 和这个效果一样么？

qiao7387

不错！

bdrdc

原帖由 slz17 于 2008-10-5 15:11 发表

                               
登录/注册后可看大图

以前不是都可以调用ecls.exe的么 还有一大段参数在后面 和这个效果一样么？

一样的，就是那个CMD窗口一闪而过，啥也看不见。

leopard98

好东西，学习下

befunny

想过这个问题.楼主解决了.呵呵.很好很强大.

ERICY

收藏了#l%26
谢谢版主

huanhuan2oo2

顶下 啊

huanhuan2oo2

顶下 啊

9567

[quote]原帖由 ERICY 于 2008-10-5 16:01 发表

                               
登录/注册后可看大图

收藏了#l%26
谢谢版主 [/quote}
好东西啊