正在阅读：临床实测：NOD32网络监控是废物吗？临床实测：NOD32网络监控是废物吗？

2007-06-01 14:27 出处：PConline 作者：曲中求责任编辑：linjixiong

　　在很多论坛都看到有人在询问，NOD32的网络监控（IMON）所提供的高效能和高兼容两种模式在实际使用中有何区别，用文字来说明实在不够方便，干脆决定进行一些比较直观的对比测试。需要提醒的几点是：

　　1、以下图片中的网址存在安全风险，请用户不要轻易尝试；

　　2、测试所用的系统为Windows XP SP2中文版，浏览器为IE6。

　　OK，测试正式开始——

　　测试一

　　首先将IMON设置为高兼容度，然后输入网址，网页打开7～8秒后会自动跳转。此时NOD32会提示发现木马，

NOD32网络监控实测
图1

　　不过在选择阻止以后，文件监控（AMON）再次出现提示，进程路径相信大家一看就明白。随后IE出现关闭提示，

NOD32网络监控实测
图2

　　再来看看使用高效能监控方式。打开同样的网页，这次略有不同——还是网络监控提示发现木马，但选择阻止之后文件监控不会有反应，也不会提示IE关闭。也就是说，文件并被没有被下载到硬盘上。

2回顶部

NOD32网络监控实测
图3

　　为了排除偶然性，笔者一共进行了三次测试，三次的结果均一样。这说明高效能模式在监控能力上确实要更安全、更到位一些。

　　测试二

　　NOD32具有非常优秀的网络监控能力，但是很多正在使用NOD32的用户可能并没有把它真正的能力完全发挥出来。

　　另外，网上一直流传着“NOD32网络监控不能监控压缩包”的说法，其实个人认为有待商榷。我们都知道，NOD32的网络监控（IMON）因为考虑到有些系统不能正常上网的情况，默认对所有联网程序都采用“高兼容度”模式而非“高效能”模式。

　　关于“高效能”和“高兼容度”的说明，我们来看下帮助文件的说明：

　　Higher efficiency - if set, IMON will use active mode with the particular application (browser).

　　Higher compatibility - if set, IMON will use passive (compatible) mode with the particular application.

　　很明显，“高效能”是主动方式，而“高兼容度”是被动方式。如果采用默认的“高兼容度”，那么带有病毒或木马的压缩包都是先下载到我们的硬盘上，当我们用右键扫描或解压时NOD32发现木马或病毒才会报警。为了说明这一点，笔者做了如下测试。

　　首先可以看到，在采用默认设置的情况下，IMON的设置中包括压缩包监控，包括ZIP和RAR等格式。

NOD32网络监控实测
图4

　　然而很多用户发现，无论用IE自带的文件下载，还是使用迅雷等下载软件，压缩包都没有监控到。那么问题到底出在哪里呢？这是很多新用户产生疑问的地方，也是“NOD32不能监控压缩包”流言的由来。其实问题不在这个选项上。

3回顶部

　　我们在网络监控设置中，将IE和迅雷都设置成“高效能”模式，

NOD32网络监控实测
图5

　　设置完成以后，使用IE 6和迅雷来下载带病毒的压缩包，

NOD32网络监控实测
图6

NOD32网络监控实测
图7

　　我们先测试迅雷。单击文件进入下载页面，然后选择页面中“我需要下载”选项，再右键点击“使用迅雷下载”，结果迅雷下载提示框刚刚弹出，NOD32马上就弹出了红色提示框，

NOD32网络监控实测
图8

4回顶部

　　再来测试IE 6.0。还是按照上面的步骤进入下载页面，然后单击文件进行下载，NOD32也立马弹出提示框，

NOD32网络监控实测
图9

　　如果选择阻止，那么网页将会出现NOD32网络监控阻止文件下载的说明。

NOD32网络监控实测
图10

　　在目前的网络环境下，网络监控的重要性是毫无疑问的！很简单，如果能在下载压缩包之前就能对其进行检测并发出警告的话，无疑能为我们节省不少时间。从测试可以看出，NOD32的网络监控非常的严密，如果设置成“高效能”监控，无论是在IE中右键“另存为”还是使用迅雷等软件，如果压缩包有感染，那么NOD32都会在刚开始下载之时及时报警，这种监控之灵敏，说它优秀是绝不为过的。

　　测试三

　　为了更深入地测试IMON的防护能力，我们特意找了一个带有多个木马的网站（为了大家的安全，网址就不公布了）。打开网页时，NOD32（高效能模式）出现如下提示：

NOD32网络监控实测
图11

5回顶部

　　之后NOD32再没有任何提示。然而其他杀毒软件报告该网页还有木马（比如咖啡报的是QQ PSW）。将该样本下载后使用多引擎扫描了，除了这个ANI病毒，NOD32对其它文件全都不报，而其他大部分杀软都确认出两个木马：一个是123a.exe，另一个是cha.exe，

NOD32网络监控实测
图12

　　NOD32不提示，那么我是不是已经中木马了？请大家继续看——

　　从扫描结果来看，AVG的反间谍是对这两个木马都报的，然而使用AVG扫描系统，结果却是什么都没有发现：

　　大家可能和我一样奇怪：明明这个网站上有NOD32不提示的木马，为什么系统会没事？

　　我们都知道，NOD32的网络监控（IMON）在高效能时，如果发现网页带有病毒，在用户选择阻止之后会屏蔽网页。所以在检测到恶意网页时，后面的下载木马行为根本就无法启动：

NOD32网络监控实测
图13

　　这里需要注意的是，如果浏览器访问的当前页面有问题，那么NOD32的IMON（高效能模式）会出现报警窗口；如果页面带有隐藏的恶意链接，那么IMON并不会出现屏蔽界面，但是同样会对同一链接下的所有恶意程序进行拦截。

　　这就可以解释，为什么刚才的测试网址NOD32只能识别一个木马，其他两个木马也无法进入系统，因为NOD32对其整个链接进行了屏蔽，同时也解释了官方“用高效能可以加强对木马的防御能力”的说法。

　　从这个角度来说，NOD32的网络监控的确大大加强了其综合防御能力，从中我们也可以看出网络监控模块的重要性，这样只要能识别相同链接中的一个恶意程序，其它的都没戏；而如果采用的默认的高兼容度，那么漏查的机率也必然会增加，所以如果大家在开启高效能时能正常上网，建议还是尽量开启高效能。

6回顶部

　　至于有人说的影响网速，至少在笔者使用的1M ADSL线路下是没有明显感觉，只是在打开有些图片或者是网上视频时会缓冲一下，其它的没有什么影响。

　　最后为NOD32新用户补上一张设置图（图中划红线的GreenBrowser是一款采用IE内核的浏览器）：

NOD32网络监控实测
图14

　　结语

　　NOD32的网络监控无疑是一块非常有挖掘力的地方，从这个角度来说，NOD32的防御能力还是不错的，希望此文对于广大使用NOD32的用户有所帮助。当然，笔者的认识也非常有限，难免有不准确以及错误的地方，还请大家多多指教！