軟體 - NOD32 詳細設定

[psac]

NOD32 詳細設定
1 本貼所有設定為我使用NOD32的經驗心得，一般用戶都可以使用，但是每個人的使用習慣可能不完全相同，用戶也可以根據自己的習慣進行必要的修改。
2 本貼雖然沒有太多的技術性，但是請大家尊重我的勞動，如有不妥之處，請指明，不要惡語中傷。如果轉發，請指明轉貼。
3 所有設定中，我開啟了對「有潛在危險的程式」選項，該操作對普通用戶合適，但是一些特殊用戶，如果在電腦中儲存了一些特殊工具，請注意制作備份資料，一旦因為該誤操作導致資料丟失掉，本人概不負責。同時我也在對所有威脅的處理中，開啟了「複製到隔離區」選項，一般情況，可以嘗試到隔離區進行恢復。
4 一些特殊操作中的注意事項，我在設定的說明下方已經用「紅色」加強進行了特使標注，請大家注意。
5 每一貼的個格式均如下模型所顯示：
設定圖
設定所在模組
設定操作
（注意事項部分）
其中，操作說明以數位標注操作操作順序，並與設定圖中的數位標注保持一致。




下 載 篇



1 很多人一直認為找NOD32安裝程序很不容易，其實很簡單的。開啟頁面：


1 我用flashget下載，所以右鍵點擊download。
2 使用網際快車下載。



1 這個就是下載的安裝程序了。
2 點擊「登入到伺服器」，用我們論壇裡面提供的Username和Password，填入即可。
3 「確定」了就開始下載了。



1 已經在下載了，速度還是很不錯的。



1 已下載
2 瀏覽
3 這樣不是就出來安裝程序了，哈哈。



設 置 篇

AMON


控制中心
1 點擊「AMON」，進入病毒監控設定
2 點擊「設定」。


偵測標籤
1 點擊「附加檔名」，進行設定。



附加檔名編輯器對話視窗
1 選「掃瞄所有檔案」前面的單選按鈕
2 點擊「確定」結束。



方法標籤
1 選「有潛在危險的程式」前面的單選按鈕。




動作標籤
保持預設設定，如圖所顯示即可。




排除標籤，根據自行需要進行增加。

如下圖所顯示增加一個要排除掃瞄的的目錄的方法：
1 點擊「新增」按鈕



要排除掃瞄的物件對話視窗
1 點擊「目錄」按鈕



瀏覽資料夾對話視窗
1 選要排除的資料夾，如：Drivers，之後點「確定」結束。


要排除掃瞄的物件對話視窗
1 則此時固定了資料夾
2 選項「永久地」前面的單選按鈕
3 選項「目錄」按鈕
4 在「已排除的子目錄」處選項「是」，完全排除該掃瞄該檔案夾。
5 點擊「確定」結束。


排除標籤
1 如圖所顯示，此時表示完全排除。點擊「確定」結束。


安全標籤
1 使用預設設定即可，如圖。此時點擊「確定」結束AMON設定對話視窗，完成對病毒監控的設定。



EMON


控制中心
1 點擊「EMON」，進入電子郵件保護。
2 點擊「設定」。



掃瞄器設定框
1 選「掃瞄純文字的電子郵件主體」前面的單選按鈕。
2 選「掃瞄RTF的電子郵件主體」前面的單選按鈕。



1 點擊「偵測」，進入「偵測」對話視窗。
2 選「有潛在危險的文件」前面的單選勾。



1 點擊「附加檔名」
2 選「掃瞄無附加檔名的檔案」前面的單選按鈕。



1 點擊「動作」，進入動作設定對話視窗。
2 處理方式使用預設即可，複選「隔離」選項。
注意：掃瞄檔案類型在繁體中文版上，被完整的列在一起，而在英文版中還是分開的，需要單獨設定。


1 點擊「日誌」，進入對日誌的設定。
2 選「記錄所有檔案」和「同步記錄」前面的單選按鈕。
3 點擊「確定」結束對電子郵件保護的設定。


NOD32系統設定篇


又一次回到控制中心
1 現在跳躍一下，現進入NOD32系統設定。
2 點擊「設定」。



一般標籤
1 不喜歡啟動動畫，所以選項「在啟動時不顯示NOD32啟動動畫」。
2 進入密碼保護設定，點擊「設定」。



變更密碼對話視窗出來了
1 填入密碼。
2 驗證密碼。
3 確定結束。
整個設定現在都受到密碼的保護了，哈哈



點擊「進階」
1 這裡就是對隔離區位置的設定。圖中實預設的，要改的話，就點右邊的瀏覽按鈕自訂吧。



為了自己也要顧及一下ESET吧，好歹是他們提供的保護。那麼遇到查出來的病毒，特別是啟髮式查出來的，也還是傳送給他們做進一步分析的好。
1 所以，點擊「進階設定」


網路預警系統—進階設定對話視窗
1 詢問總是麻煩的，所以「不必提示傳送檔案」。
2 想要一些重要的回覆的就留下你的E-Mail。
3 點擊「確定」結束即可。




1 系統設定部分全部完畢，點擊「確定」回到控制中心。
下一步設定NOD32 On-Demand Scanner了。

[psac]

IMON


此時有回到了控制中心
1 點擊「IMON」，開始設定網路監控。
2 點擊「設定」。


POP3標籤
1 點擊「設定」。


看到「POP3相容度設定」
1 選項「最佳效能」
2 點擊「確定」結束即可。


HTTP標籤
1 再次點擊「相容度設定」


HTTP相容度設定對話視窗
1 這裡排列了和網路連接有關的項目，預設為「較好的相容度」，改成圖中所顯示的「較好的效能」可以加強對木馬的防護。
2 點擊「確定」結束。
注意：這裡的列舉項目會根據你隨你使用的連網的應用程式而不斷增加，需要不斷補充設定。但是，防護效能的增加卻會帶來程序相容度的減弱。一旦發現某個程序使用有問題時請改回「較好的相容度」。目前從我的使用來看，有衝突的只有Internet Download Manager，會導致其無法下載。



點擊進入「其他」標籤
1 點擊「設定」對掃瞄器進行設定。



設定標籤
1 和前面的設定一樣，選「有潛在危險的程式」前的單選按鈕。
2 選「列出所有檔案」前面的單選按鈕，繼續保持記錄的完整性，以備出現問題時方便搜尋。
3 點擊「附加檔名」按鈕，設定附加檔名。

[psac]

1 選「掃瞄所有檔案」。
2 點擊「確定」結束。




動作標籤
1 設定和前相同，複選「複製到隔離區」



1 「壓縮檔」設定。
2 複製到隔離區。


1 自我解壓檔。
2 複製到隔離區。



1 執行時間壓縮器。
2 複製到隔離區。



1 電子信箱
2 複製到隔離區。一直重複，有點煩了，終於可以結束了。點擊「確定」結束回到上一層控制區吧。



其他標籤
1 哈哈，「確定」。IMON的設定也結束了。



NOD32的指令行設定以及中文翻譯

/adware /ah /all /arch+ /clean /cleanmode /delete /heur+ /log+ /mailbox+ /pack+ /quarantine /scanboot+ /scanmbr+ /scanmem+ /scroll+ /sfx+ /unsafe /wrap+

可以以此作為設定的開始

C:\ (空格) /你的指令選項

或者

直接拷貝以下設定

C:\ /adware /ah /all /arch+ /clean /cleanmode /delete /heur+ /log+ /mailbox+ /pack+ /quarantine /scanboot+ /scanmbr+ /scanmem+ /scroll+ /sfx+ /unsafe /wrap+

或者

掃瞄所有分區

/local /adware /ah /all /arch+ /clean /cleanmode /delete /heur+ /log+ /mailbox+ /pack+ /quarantine /scanboot+ /scanmbr+ /scanmem+ /scroll+ /sfx+ /unsafe /wrap+

/local = 掃瞄所有分區

/adware = 掃瞄廣告軟體，間諜軟體，危險軟體
/ah = 啟用進階啟髮式
/all = 不考慮副檔名掃瞄全部文件
/arch+ = 掃瞄壓縮檔案
/clean = 清除病毒文件(如果可以)
/cleanmode = 啟用清除模式 (依*你的設定)
/delete = 移除病毒文件
/heur+ = 啟用啟髮式
/log+ = 啟用日誌
/mailbox+ = 掃瞄電子郵件
/pack+ = 掃瞄時間壓縮檔案
/quarantine 隔離病毒 (清除/移除)
/scanboot+ = 掃瞄啟始區
/scanmbr+ = 掃瞄硬碟分區表
/scanmem+ = 掃瞄記憶體
/scroll+ = 啟用日誌上磁碟區功能
/sfx+ = 掃瞄自解壓我的文件
/unsafe = 掃瞄潛在威脅應用程式
/wrap+ = 在日誌中文本啟用自動換行

GENERAL
/break- = 關閉檢測間斷
/break+ = 啟用檢測間斷
/expire- = 關閉計劃過期提示
/expire+ = 啟用計劃過期提示
/help = 顯示計劃選項表單
/list- = 在日誌中顯示染毒文件
/list+ = 在日誌中顯示所有檢測文件
/quit- = 計劃自動開始後不可停止
/quit+ = 計劃掃瞄開始後可停止
/scroll- = 關閉日誌上磁碟區
/scroll+ = 使用日誌上磁碟區
/selfcheck- = 關閉自我檢測
/selfcheck+ = 使用自我檢測
/sound- = 關閉報警聲
/sound+ = 啟用報警聲
/subdir- = 不掃瞄子資料夾
/subdir+ = 掃瞄子資料夾

DETECTION
/adware = 掃瞄廣告軟體，間諜軟體，危險軟體
/all = 不考慮副檔名掃瞄全部文件
/arch- = 不掃瞄壓縮檔案
/arch+ = 掃瞄壓縮檔案
/exclude=<LIST> = 在掃瞄中排除某個文件，同時啟用萬用字元
/ext=<LIST> = 增加新的副檔名
/heur- = 關閉啟髮式
/heur+ = 啟用啟髮式
/local = 掃瞄本機所有不可移動媒體
/mailbox- = 不掃瞄電子郵件
/mailbox+ = 掃瞄電子郵件
/network = 掃瞄所有網路磁牒
/pack- = 不掃瞄執行時間壓縮器
/pack+ = 掃瞄執行時間壓縮器
/pattern- = 關閉病毒特徵檢測
/pattern+ = 啟用病毒特徵檢測
/scanboot- = 不掃瞄啟始區
/scanboot+ = 掃瞄啟始區
/scanfile- = 不掃瞄文件
/scanfile+ = 掃瞄文件
/scanmbr- = 不掃瞄硬碟分區表
/scanmbr+ = 掃瞄硬碟分區表
/scanmem- = 不掃瞄記憶體
/scanmem+ = 掃瞄記憶體
/sfx- = 不掃瞄自解壓我的文件
/sfx+ = 掃瞄自解壓我的文件
/unsafe = 檢測潛在威脅應用程式

HEURISTIC ANALYSIS
/ah = 使用進階啟髮式
/heur- = 不用啟髮式
/heur+ = 使用啟髮式
/heurdeep = 深度啟髮式
/heursafe = 安全啟髮式
/heurstd = 標準啟髮式


PROTOCOL
/log- = 關閉日誌
/log+ = 啟用日誌
/log=<FILENAME> = 設定日誌檔案名
/logappend = 啟用日誌文件追加選項
/logrewrite = 啟用日誌文件覆寫功能
/logsize=N = 日誌文件最大上限
/wrap- = 關閉日誌文件換行功能
/wrap+ = 啟用日誌文件換行功能

CLEANING
/clean = 清除染毒文件 (如果可能)
/cleanmode = 啟用清除模式(依賴於設定)
/delete = 移除染毒文件
/prompt = 提示操作
/quarantine = 隔離染毒文件(清除/移除)
/rename = 重新命名染毒文件

注意: 如果設定為: /prompt, /rename, /delete/, /replace中任何一個和 /clean 選項同時出現, 則將在清除不成功時執行操作。越*前的參數擁有越高的優先權，例如，使用 "/clean /delete /prompt " 參數會導致"/prompt "參數在"/clean /delete"後執行。

TEST SCHEDULING
/daily = 每日自動檢測
/period=N = N天後自動檢測
/weekly = 每週自動檢測

NETWORK (Windows versions only)
/centralpath=<PATH> = 限定集中更新文件的資料夾名
/msg="<MESSAGE>" = 派送病毒移除訊息
/recipient=<LIST> = 限定訊息收信者(伺服器，工作組或工作站)。允許多收信者：/recipient=SERVER1,SERVER2


步驟：
1 「Scheduler/Planner」（排程器/計劃器）


2 「add」（增加）


3 「Nod32 Kernel – Execution of an external application」（NOD32內核-執行一個外部程序）


4 輸入工作名，請根據習慣自行設定。我的是「Weekly Scan of all Driver」（每週掃瞄全部驅動器）——下方選項單選按鈕「Weekly」（每週）


5 時間：根據你的使用時間設定。


6 沒有按時掃瞄後的操作，我就用的預設，「Wait until the next schedulered time」（等到下一個計劃時間）


7 在「File」（文件）右邊點擊「Browser」（瀏覽），根據你的安裝路徑找到「NOD32.EXE」，選即可。「Work Directory」（工作目錄留空）。然後設定「Command Line」（指令行）
把下面的指令行參數貼上進去就可以了。
/local /adware /ah /all /arch+ /clean /cleanmode /delete /heur+ /log+ /mailbox+ /pack+ /quarantine /scanboot+ /scanmbr+ /scanmem+ /scroll+ /sfx+ /unsafe /wrap+


指令行掃瞄到此設定完畢，會按照設定自動執行。


注意：
1 第四中的Weekly等掃瞄頻度，和掃瞄驅動器情況請根據你自己的情況自動設定。
2 第七中的指令行是掃瞄全部驅動器的，如果只要求掃瞄某一個驅動器，如驅動器C，就把第一個參數「/local」改成「C:\」，其他的類似。

[psac]

NOD32 詳細設定的補充說明


描述：圖 1
圖片：


描述：圖 2
圖片：


描述：圖 3
圖片：

首先，感謝atgfneeq 的轉貼。因為我比較懶不喜歡發帖子，哈哈，所以讓atgfneeq 花了時間來轉帖。這個是原帖。但是從大家的反饋來看，有幾個地方經常被訊問到，所以我發帖解釋一下，並提供下解決方法吧。對原使用該設定導致了一些網友的使用不便，我也深表歉意。畢竟考慮不周，說明不全。

1 很多人反應，使用了NOD32以後開啟網頁的速度明顯變慢，這個是因為我的原設定帖中開啟了HTTP傳輸協定保護中的「較好的效能」選項。
需要修改的朋友，請做以下操作。
開啟NOD32控制中心——IMON——設定——「HTTP」標籤——設定（「相容度設定」中），點擊綠色的「較好的效能」，此時會自動轉變為紅色的「較好的相容度」，即可。如「圖 1」 所顯示。
此操作會加快上網速度，但是會降低NOD32對木馬的防禦能力。預設這裡是不開啟的，所以很多人說NOD32對木馬防禦力弱。

2 有網友問為什麼在系統工作列區會不時的彈出個半透明的框，提示有文件在下載。這個也是和我開啟了IMON的「較好的效能」有一定的關係。前面已經說了，關閉IMON「較好的效能」的方法。但是如果希望保留「較好的效能」以加強對木馬的保護，又想關閉該提示項的話，請做以下操作。
開啟NOD32控制中心——IMON——設定——「其他「——顯示，將」自動顯示較大文件的下載進度「前的勾去掉即可，如」圖 2「所顯示。

3 還有網友，特別是喜歡測試病毒包的網友，問NOD32為什麼不能自動移除有病毒的壓縮檔，這是和我對於掃瞄處理的設定有關。因為我的設定中開啟了所有的防禦功能，為了防止誤報誤傷，並且導致一些不熟悉使用殺毒軟體的朋友無法恢復檔案，在移除操作上有所保留。
處理方法：將所有對檔案處理的方式改變為」圖 3「所顯示即可。
包括該設定的地方有如下位置：
DMON——設定——動作
EMON——設定——掃瞄器——動作
IMON——設定——其他——掃瞄器——設定——動作
NOD32——執行NOD32——動作
註:
兼容=相容

[psac]

附錄:
一個無須昇級ID、破解就可以使用NOD32的方法

首先到NOD32官方網站下載30天試用版，安裝之後正常使用29天，然後卸載，重新安裝，你會驚奇地發現，又多了30天試用期！這樣，一年只需要重新安裝12次就行了。


有人可能會嫌麻煩，但仔細想一想，我在2005年安裝殺毒軟體的次數恐怕有30~40來次，不斷在不同殺毒軟體之間切換，一年重裝12次其實一點也不多，如果NOD32昇級了，你還不是要重裝嗎，而且每次重裝之後可以保證你的殺毒軟體是「新」的，平常的一些問題說不定就解決了。

以前NOD32昇級很慢，但最近我發現昇級速度極快，達到我平時上網的最快速度，2~3分鍾就把幾個月的病毒庫昇級完了，不知道是不是因為NOD32在開發中國大陸市場，所以改善了伺服器呢？
其實就是流傳破解nod32 ID pass 的原理,給對注冊檔改成每次修改為重新安裝第一次nod32
的試用....

寫個註冊表文件給你了
把下邊的內容儲存到一個文本文件裡，然後修改後面名為.reg，執行它，你再昇級看看
試用期到了你就再執行一次


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersion\Info]
"View_CLSID"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersion\Modules\Update\Settings]
"DefaultServerCount"=dword:00000006
"DefaultServer0"="http://u1a.eset.com/nod_eval/"
"DefaultServer1"="http://u3.eset.com/nod_eval/"
"DefaultServer2"="http://u4.eset.com/nod_eval/"
"DefaultServer3"="http://213.215.116.226/nod_eval/"
"DefaultServer4"="http://u5.eset.com/nod_eval/"
"DefaultServer5"="http://u7.eset.com/nod_eval/"
"DefaultServer6"=-
"DefaultServer7"=-
"DefaultServerWeight0"=dword:0000000f
"DefaultServerWeight1"=dword:0000000f
"DefaultServerWeight2"=dword:0000000f
"DefaultServerWeight3"=dword:0000000f
"DefaultServerWeight4"=dword:0000000f
"DefaultServerWeight5"=dword:0000000f
"DefaultServerWeight6"=-
"DefaultServerWeight7"=-

"UserServerCount"=dword:00000006
"UserServer0"="http://62.168.97.102/~eset/nod_eval/"
"UserServer1"="http://a9z1.zj.com/"
"UserServer2"="http://update.nod32info.cn:8080/"
"UserServer3"="http://home.xxce.com/a9z1/"
"UserServer4"="http://nod32.salusoft.ee/"
"UserServer5"="http://www.magistr.ultranet.ru/Nod32/"
"UserServer6"=-
"UserServer7"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersion\Modules\Update\Settings\Config000\Settings]
"SelectedServer"="AUTOSELECT"

[psac]

nod32怎麼制作備份病毒庫
http://www.slime2.com.tw/forums/show...ighlight=nod32

NOD32新手使用手冊（for windows）
http://www.slime2.com.tw/forums/show...ighlight=nod32

ＮＯＤ３２和卡巴雙監控的經驗試測記
http://www.slime2.com.tw/forums/show...ighlight=nod32

NOD32昇級ID既時公佈網址

看者有些人啊，真辛苦，搞個ID，說是最新，苦了那些每天要ID的同志了，還好我保留兩個公佈ID的網站，一般說最新ID的，基本上都是從他們那拿的
A
http://livredor.hiwit.org/index.php?...��壇，那有
B
http://nuinu.ru/nod32我不知道哪國的
還有一個英國的，忘記了

或者
免ID昇級服務器
http://nod32info.vicp.net/
http://a9z1.zj.com/
http://upjs.nod32info.cn:8081/
http://nodupdate.c0msys.net/
http://nod32.opened.cn/
http://security.thusns.org/nod_upd/
http://nod32.hhzec.com/
http://a9z1xf.home4u.china.com/nod32/
http://www.xthost.info/workproject/
http://sr2.mytempdir.com/55134
http://www.lan.krasu.ru/nod_upd/
http://new.bara.msk.ru/
http://thebestpro.nm.ru/nod32/
http://nod32.salusoft.ee/new]
http://ruwarez.net:80/ndp/
http://avir.koleso-auto.ru:80/
http://buiucani.starnet.md:80/NOD32/
http://thebestpro.nm.ru:80/nod32

或者
NOD32是一款不可多見的好殺毒軟體，除了MACFEE，我就推薦它，而且在殺毒方面比MACFEE強，MACFEE的優勢在它的防毒性上，可是NOD32昇級非常麻煩，這裡給非官方的昇級服務器

代碼:
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersion\Info]
"View_CLSID"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersion\Modules\Update\Settings]
"DefaultServerCount"=dword:00000006
"DefaultServer0"="http://u1a.eset.com/nod_eval/"
"DefaultServer1"="http://u3.eset.com/nod_eval/"
"DefaultServer2"="http://u4.eset.com/nod_eval/"
"DefaultServer3"="http://213.215.116.226/nod_eval/"
"DefaultServer4"="http://u5.eset.com/nod_eval/"
"DefaultServer5"="http://u7.eset.com/nod_eval/"
"DefaultServer6"=-
"DefaultServer7"=-
"DefaultServerWeight0"=dword:0000000f
"DefaultServerWeight1"=dword:0000000f
"DefaultServerWeight2"=dword:0000000f
"DefaultServerWeight3"=dword:0000000f
"DefaultServerWeight4"=dword:0000000f
"DefaultServerWeight5"=dword:0000000f
"DefaultServerWeight6"=-
"DefaultServerWeight7"=-

"UserServerCount"=dword:00000006
"UserServer0"="http://62.168.97.102/~eset/nod_eval/"
"UserServer1"="http://a9z1.zj.com/"
"UserServer2"="http://update.nod32info.cn:8080/"
"UserServer3"="http://home.xxce.com/a9z1/"
"UserServer4"="http://nod32.salusoft.ee/"
"UserServer5"="http://www.magistr.ultranet.ru/Nod32/"
"UserServer6"=-
"UserServer7"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Eset\Nod\CurrentVersion\Modules\Update\Settings\Config000\Settings]
"SelectedServer"="AUTOSELECT"
複製上面的程式碼，儲存為REG文件，匯入。

其實它只是更改6個昇級服務器位址。


user name: AV-3139023 Password :jn89njna2w
User Name: AV-3077755 Password: 1y0kichts9


Hello everyone. today i'm going to teach you something neat. well my PC is not connected with the Internet. i have NOD32 but couldn't update it. i asked the support guys and they told me its necessary to have Internet connection or access to ADMIN version which should be connected to Internet. i have none, but still i'm able to update my NOD32 regularly. well i admit its not magic. i just happen to have a CD burner, a CD-RW and access to a cyber cafe with a CD burner.

during updating process NOD32 first downloads a file UPDATE.VER which you can download from this link:
http://sun.uid0.sk/~eset/nod_upd/update.ver

now this file contains the links and the details of the update files. this is actually a RAR file so when you rename it to UPDATE.RAR and unRAR it you'll get the real UPDATE.VER file. now open it with any text editor.
新的連線下傳升級檔的詳細,以wiRAR壓縮解檔包裝
NOD32 update files are:

1. ADVHEUR0.NUP -----> Heuristic module used to be accompanied by
ADVHEUR1.NUP in the past.

2. ENGINE0.NUP -----> Main signature database.主要的簽名資料庫

3. ENGINE1.NUP -----> Incremental signature update.增加簽名升級檔1

4. ENGINE2.NUP -----> Incremental signature update. 增加簽名升級檔2

5. ARCHS0.NUP -----> Unarchiving and Unpacking support base
module.

6. ARCHS1.NUP -----> Unarchiving and Unpacking support module.

7. ARCHS2.NUP -----> Unarchiving and Unpacking support module.

8. PWSCAN0.NUP -----> Network Worm scanner core database. 網路蠕虫病毒特徵掃描碼資料庫

9. PWSCAN1.NUP -----> Network Worm scanner database. 網路蠕虫病毒掃描碼資料庫1

10. PWSCAN2.NUP -----> Network Worm scanner database. 網路蠕虫病毒掃描碼資料庫2

now all of those above mentioned files can be found on this link:
http://sun.uid0.sk/~eset/download/engine/

by the way to download these files you'll have to provide your username and password. after you've downloaded these 10 files and UPDATE.VER burn it in a CD-RW or CD-R in the following manner:

create "nod_upd" directory in the root directory and place UPDATE.VER in it. remember both the RARed or the unRARed version will work. now create the following directories like this CD:\nod_upd\~eset\download\engine. now put those 10 downloaded files inside the "engine" directory.

burn the CD and insert it in ur drive. set your NOD32 to update from your CD drive. hit UPDATE NOW and poof!

its possible to update the evaluation version also. this link won't ask for your username and password:
http://sun.uid0.sk/~eset/eval/engine/

but you have to do some more things. the incremental updates are not available so you have to open ENGINE0.NUP in a text editor and note down some field information like BASE, SIZE, LEVEL, DATE etc. now open UPDATE.VER in text editor and delete the entries for ENGINE1.NUP and ENGINE2.NUP. change the ENGINE0.NUP fields in UPDATE.VER according to the original ENGINE0.NUP. burn the CD and you are ready again.

the download link for UPDATE.VER is important as the other links have different FLAVOURES of UPDATE.VER. they will force your NOD32 to look for the update files on Internet even if you have them on your CD.

[llgo101]

感謝 psac 大大分享詳細的設定教學！

[psac]

1 很多人反應，使用了NOD32以後開啟網頁的速度明顯變慢，這個是因為我的原設定帖中開啟了HTTP傳輸協定保護中的「較好的效能」選項。
需要修改的朋友，請做以下操作。
開啟NOD32控制中心——IMON——設定——「HTTP」標籤——設定（「相容度設定」中），點擊綠色的「較好的效能」，此時會自動轉變為紅色的「較好的相容度」，即可。如「圖 1」 所顯示。
此操作會加快上網速度，但是會降低NOD32對木馬的防禦能力。預設這裡是不開啟的，所以很多人說NOD32對木馬防禦力弱。

2 有網友問為什麼在系統工作列區會不時的彈出個半透明的框，提示有文件在下載。這個也是和我開啟了IMON的「較好的效能」有一定的關係。前面已經說了，關閉IMON「較好的效能」的方法。但是如果希望保留「較好的效能」以加強對木馬的保護，又想關閉該提示項的話，請做以下操作。
開啟NOD32控制中心——IMON——設定——「其他「——顯示，將」自動顯示較大文件的下載進度「前的勾去掉即可，如」圖 2「所顯示。

3 還有網友，特別是喜歡測試病毒包的網友，問NOD32為什麼不能自動移除有病毒的壓縮檔，這是和我對於掃瞄處理的設定有關。因為我的設定中開啟了所有的防禦功能，為了防止誤報誤傷，並且導致一些不熟悉使用殺毒軟體的朋友無法恢復檔案，在移除操作上有所保留。
處理方法：將所有對檔案處理的方式改變為」圖 3「所顯示即可。
包括該設定的地方有如下位置：
DMON——設定——動作
EMON——設定——掃瞄器——動作
IMON——設定——其他——掃瞄器——設定——動作
NOD32——執行NOD32——動作

[orochiy]

好詳細的設定~隊小弟這種初學者來說 很方便哩! 謝謝 PSCA大分享

[psac]

NOD32 反病毒軟體安裝版封裝指南

NOD32 是一款優秀的反病毒軟體，官方已經推出簡體中文測試版，網上下到的早先簡體中文版,但這個中文版做得很粗糙，很明顯是在繁體中文版的基礎上直譯過來，未考慮大陸用語習慣，遠不如大陸網友製作的漢化語言包用起來舒服。下面講解一下如何用漢化語言包取代原版語言包及將最新病毒庫文件封裝進原 版安裝程序的方法。

所需軟體：
1、WinHex 16 進制編輯器。
2、sfv 計算工具，如：MagicSFV、Total Commander 等。
3、Winrar 2.9 以下版本，如 Winrar 2.8（NOD32 的安裝程序不相容 Winrar 2.9 以上版本的壓縮格式）。
4、支持 utf-8 編碼的文本編輯器，如：Emeditor 或 Windows 2000/xp 原有的的記事本。
5、NOD32 官方簡體中文版（以 NOD32 for Windows NT/2000/2003/XP/x64 Administrator 版本為例）。
6、NOD32 漢化語言包。
其實重新封裝 NOD32 可以以任意語言版本為基礎進行，但因為英文版本中不包含語言包文件，處理時需要修改的內容很多。為方便，本文以官方簡體中文版為例進行講解。

封裝 NOD32 分為三步：封裝最新病毒庫、封裝漢化語言包和重新打包。下面首先來進行相對比較簡單的封裝病毒庫步驟。

一、封裝病毒庫
步驟：
1、獲取最新病毒資料庫
開啟一台已經安裝了 NOD32 並已昇級到最新版本的電腦，從其安裝目錄下拷貝以下文件（預設路徑為 C:\Program Files\ESET）：
nod32.000
nod32.002
nod32.003
nod32.004
nod32.005
nod32.006

2、解包
NOD32 Admin 官方簡體中文版的安裝文件是 ndntcsad64.exe，是用 Winrar 打包的自解壓文件。直接用 Winrar
開啟此文件，並將其全部解壓縮到一個目錄中（如：d:\nod32）。文件列表如下：

ntadmncs.nup
ntbasecs.nup
ntinetcs.nup
ntstdcs.nup
advheur.nup
archs.nup
charon.nup
engine.nup
pwscan.nup
utilmod.nup
main.dll
mainlang.dll
mfc42.dll
mfc42u.dll
msvcrt.dll
Readme.txt
setup.exe
setup.xml

其中：mfc42.dll、mfc42u.dll、msvcrt.dll 是 NOD32 所需的微軟 MFC
庫文件，setup.exe、main.dll是安裝程序，mainlang.dll 是安裝程序的語言包文件，setup.xml
是主安裝指令碼，*.nup 是特殊封裝的安裝包。
nup 文件是我們要處理的對象。在這些 nup 文件中，以 cs 結尾的是軟體各基礎元件安裝包（如果是英文版，則以 en 結尾），其餘的幾個
nup 文件是病毒資料庫和一些可在網上昇級的掃瞄器支持元件包。為敘述方便，我們把前者簡稱為元件包，後者簡稱資料包。資料包即是我們需要昇級的內容。
每個資料包中封裝著一個文件，對應關係如下：
程式碼:
資料包　　　　　內嵌文件
engine.nup nod32.000
archs.nup nod32.002
advheur.nup nod32.003
pwscan.nup nod32.004
utilmod.nup nod32.005
charon.nup nod32.0063、重新封裝資料包
下面以將 nod32.000 封裝進 engine.nup 為例講解如何把第一步獲得的最新病毒庫文件封裝進資料包。
１取代封裝文件：
用 WinHex 開啟 engine.nup
文件，在開頭部分尋找"[update_data]"字串串，這之後的部分即為內嵌的文件，我們從"NOD32-MODULE"開始選，一直選到文件末尾的倒數第
66 字元處（即 16進制資料 88 3F 03 05 之前），然後按 Delete
鍵移除選的資料（參見圖一、圖二），再把游標移回至剛才"NOD32-MODULE"所在位置。
用 WinHex 開啟 nod32.000 文件，Ctrl+A 全選資料，然後 Ctrl+C 複製資料。切換至 engine.nup
文件，Ctrl+V 貼上資料。
２取代文件訊息
用 SFV 工具計算 nod32.000 文件的 SFV 檢驗碼，並轉換成十進制。在 engine.nup
開頭處尋找"crc="，將其後的數值取代成新校驗值。尋找"filesize="，將其後的數值取代為 nod32.000
文件的實際大小。其它的如：version、build、date 等資料由 nod32.000
的開頭部分獲得並取代（參見圖三，圖中紅線處是需要修改內容，藍線處是參照內容）。
所有資料取代完畢後儲存結束，engine.up 文件即封裝完成。
其它的幾個資料包文件按同樣方法封裝。所有文件封裝完畢後執行一下 setup.exe，如果不報 CRC 錯誤即是封裝無誤。

二. 加入簡體語言包。
1、解壓縮元件包。
元件包 nup 文件的結構和資料包類似，只不過元件包封裝的是一個 rar 文件。即可以分離出這個 rar 文件再將其展開，也可以利用
NOD32 安裝程序直接展開 rar 中包含的文件。為方便起見，建議採用後一種方法來獲取 nup 文件的內容：
直接執行 setup.exe，等待出現任一對話視窗時，切換到檔案總管，然後開啟系統臨時資料夾，會發現有
nodtmpa、nodtmp、nodtmpc、nodtmpd 和 NSetup 等五個子資料夾，前四個資料夾中的文件分別就是
ntbasecs.nup、ntstdcs.nup、ntadmncs.nup 和 ntinetcs.nup 元件包中的內容，對應關係如下：
程式碼:
資料夾 對應元件包
nodtmpa ntbasecs.nup
nodtmpb ntstdcs.nup
nodtmpc ntadmncs.nup
nodtmpd ntinetcs.nup將 nodtmpa、nodtmpb、nodtmpc、nodtmpd 這三個資料夾複製到其它地方，然後結束安裝程序。

2、取代語言包文件
上一步我們已經展開了 NOD32 安裝包中所有的文件，現在我們要將漢化語言包加入其中。
將語言包的如下文件按下表增加至上一步複製的四個資料夾中，取代原有的語言包文件：
程式碼:
資料夾 語言包文件
nodtmpa krnstpr.dll
nod32ari.dll
nod32krr.dll
nod32rui.dll
pr_upd.dll

nodtmpb nod32r.dll
pr_amon.dll
pr_dmon.dll
pr_nod32.dll

nodtmpc cfgedit.dll
cfgeditl.xml
pr_mirr.dll

nodtmpd pr_emon.dll
pr_imon.dll語言包中還有一個 mainlang.dll 文件，用它來取代 d:\nod32 資料夾中的同名文件。

3、修改元件安裝指令碼
在這四個資料夾中各有一個 setupc.xml 安裝指令碼，是 UTF-8 編碼格式的文本文件。使用支持 UTF-8
編碼的文本編輯器開啟這四個指令碼，尋找需要修改的字串串編碼，將其修改為符合大陸用語習慣的簡體編碼。字串串必須以 unicode
格式來寫，如：程序（unicode 編碼格式請自行查詢相關資料，本文不再講解）。

4、壓縮封裝元件
１壓縮。
將修改後的四個資料夾中的文件用 Winrar 2.8（必須是低於 2.9 的 Winrar 版本！否則將來安裝時會報告錯誤。）分別壓縮打包為
nodtmpa.rar、nodtmpb.rar、nodtmpc.rar 和 nodtmpd.rar（注意：只壓縮檔案，不包含資料夾）。
如用如下指令: rar a nodtmpa.rar nodtmpa\*.* -m5 -ep
２封裝元件包。
按照前面封裝病毒庫的辦法將這四個 rar 封裝入 ntbasecs.nup、ntstdcs.nup、admncs.nup 和
ntinetcs.nup 文件中。尋找內嵌 rar 文件時，以"Rar!"為特徵字串串（參見圖四）。

三、打包。
前面已經完成了所有的封裝工作，最後一步打包很簡單：將 d:\nod32 資料夾中的所有文件用 Winrar
壓縮成自解壓文件即可。為達到和原版本安裝包相同的效果，可以從原版檔案中抽取自解壓指令碼，在指令行方式下輸入如下指令：
winrar.exe cw ndntchad64.exe setup.txt
注意：winrar.exe 要放在可搜尋路徑下，否則就需要在前面加上路徑。
即可得到 setup.txt 自解壓指令碼，在這裡可以將其中的文本順便翻譯成中文。然後用 Winrar 製作壓縮包時，從此文件載入註釋即可。

至此，NOD32 簡體中文版重封裝全部完成。由於完全採用了原版的安裝程序和指令碼，所以可以達到和原版一樣的安裝效果，可放心使用。

其它一些說明：
1、如果使用的是 NOD32 非 Administrator 版本，安裝包中沒有 admncs.nup 這個文件。
2、如果需要在安裝包中加入第三方的昇級伺服器，請修改從 ntbasecs.nup 中抽取出的 setupc.xml 指令碼，在指令碼最後部分
<PLUGIN ID="31647055"> 下面按原有格式增加即可。
3、該指令碼中還有如下一行：

<NODE NAME="DontShowSplash" VALUE="1" TYPE="DWORD" />

將其中的 VALUE="1" 改為 VALUE="0"，則在安裝時預設選"在啟動時不顯示 NOD32 啟動畫面"。
4、setupc.xml 指令碼還有一些其它可設置內容，感興趣的朋友可自行研究。
5、網上流傳的 NOD32 漢化語言包中不包含 mainlang.dll 和 krnstpr.dll
文件，需要者請自行漢化。或者直接下載我製作好的簡體中文封裝版。下載位址：
http://www.mympc.org/down/1/2005-10-19_15415040116.html

另：因為不瞭解官方對語言程式碼的定義。前段時間我製作的 NOD32 封裝版採用了「CHINESE」這個程式碼，而現在官方簡體中文程式碼為「CHINESES」，所以在安裝了封裝版後昇級官方中文版時會提示錯誤的語言版本。現在我重新製作的版本已不存在此問題（只製作了 NT 內核版本，Win9x 內核版本未修訂）。
封裝方法是自己沒事的時候瞎琢磨的，比較繁瑣，如有更好的辦法請告之。

[psac]

NOD32進階病毒分析員談啟發式

這是一篇去年10月份的文章，此為原文的一個節選（僅啟發式部分），原文點擊察看（意大利文），由happy bytes翻譯成英文，再在天津小白、agiha、wangk998、tkabc等人的說明 下引過來，僅向以上幾位表示感謝..
水準有限，如有錯誤，歡迎斧正


Michael St. Neitzel - ESET senior virus researcher

6.問：反病毒軟體的檢測和清除惡意軟體的技術日新月異且越來越有效；啟發式掃瞄已經越來越引人注目，似乎成為對付新病毒和流行病毒的主要武器。事實上，要感謝啟髮式，反病毒軟體公司可以填補定義病毒和昇級特徵碼的間隙。啟發式會取代特徵碼掃瞄成為反病毒軟體發現病毒的主角嗎？

答：特徵碼檢測和啟髮式二者仍然都需要。只有二者結合才能識別已知惡意軟體的變種。對於啟髮式，好的脫殼和程式碼模擬執行非常重要，大多數病毒通過既時壓縮改變自身文件大小來避開反病毒軟體的簡單的特徵碼檢測。啟髮式和變種檢測在企業環境中尤其重要。一旦一種蠕蟲已經進入到第一家公司的電子郵件收件匣，員工執行這封受感染的電子郵件的可能性就非常大，NOD32已經多次證實通過啟髮式檢測可以為公司節約大量的金錢和清除病毒的工作，通過啟髮式無拖延檢測病毒並不僅僅是個夢想。舉一個例子：前些時候（原文為上週末）NOD32可以在不昇級特徵碼的情況下檢測大量包括最新變種的mytob蠕蟲。

有一個問題常被問到：為什麼你們在已經通過啟髮式檢測到病毒的情況下還要稍後加入到特徵碼呢？這個基本上同網頁提供方和電子郵件掃瞄有關。如果一個被啟髮式檢測到的蠕蟲仍然肆虐，最好還是為它加上一個確切的名稱。用戶於是可以查詢其他反病毒廠商如何稱這個蠕蟲。另外一個重要的事實，如果為一個加殼的蠕蟲（如upx殼）增加特徵碼，可以顯著的提高掃瞄速度，當email伺服器收到成千上萬的蠕蟲郵件時，如果可檢測原始形態而不必解壓每一個單獨的文件，因此可以節省大量資源。

我認為，現今有許多不同的加殼軟體和修改過的惡意軟體,啟髮式顯得愈來愈重要
。啟髮式先發現病毒，也給了反病毒軟體廠商為加入特徵碼而分析樣本的時間。同時，其他廠商很早前就已知的惡意軟體，如果被啟髮式檢測到，對於瞭解其中有何新變化也大有裨益。
ＮＯＤ３２和卡巴雙監控的經驗試測記


NOD32新手使用手冊（for windows）
http://www.slime2.com.tw/forums/show...ighlight=nod32


http://www.slime2.com.tw/forums/show...ighlight=nod32

nod32怎麼制作備份病毒庫

http://www.slime2.com.tw/forums/show...ighlight=nod32


NOD32的指令行設定
http://www.slime2.com.tw/forums/show...ighlight=nod32

[hs2003]

Thanks!!!

[六翼黑帝斯]

感謝大大分享
努力用心看~
不過應該要看一整天-.-

[psac]

NOD32掃瞄器設定簡要說明


圖片：


圖片：



圖片：


圖片：





按圖1 設定所有掃瞄選項，左邊為「清除」，右邊為「移除」，沒有移除的選項「詢問」，並全部勾選「隔離」

按圖2 在控制中心設定檔裡 按圖標勾選

按圖3 在右鍵掃瞄設定檔裡 按圖標勾選

按圖4 右鍵掃瞄時遇到病毒，再次按清除按鈕可以清除並隔離


原因：啟動掃瞄界面後，一般掃瞄會調動「控制中心設定」，此時遇到病毒會自動清除；而右鍵掃瞄的話可以自行選項，為要上報保留樣本的人留下方便，同時也可以解決右鍵掃瞄後無法移除病毒檔案的問題。

[psac]

NOD32進階病毒分析員談啟發式

這是一篇去年10月份的文章，此為原文的一個節選（僅啟髮式部分），原文點擊察看（意大利文），由happy bytes翻譯成英文，再在天津小白、agiha、wangk998、tkabc等人的說明 下引過來，僅向以上幾位表示感謝..
水準有限，如有錯誤，歡迎斧正


Michael St. Neitzel - ESET senior virus researcher

6.問：反病毒軟體的檢測和清除惡意軟體的技術日新月異且越來越有效；啟髮式掃瞄已經越來越引人注目，似乎成為對付新病毒和流行病毒的主要武器。事實上，要感謝啟髮式，反病毒軟體公司可以填補定義病毒和昇級特徵碼的間隙。啟髮式會取代特徵碼掃瞄成為反病毒軟體發現病毒的主角嗎？

答：特徵碼檢測和啟發式二者仍然都需要。只有二者結合才能識別已知惡意軟體的變種。對於啟髮式，好的脫殼和程式碼模擬執行非常重要，大多數病毒通過既時壓縮改變自身文件大小來避開反病毒軟體的簡單的特徵碼檢測。啟髮式和變種檢測在企業環境中尤其重要。一旦一種蠕蟲已經進入到第一家公司的電子郵件收件匣，員工執行這封受感染的電子郵件的可能性就非常大，NOD32已經多次證實通過啟髮式檢測可以為公司節約大量的金錢和清除病毒的工作，通過啟髮式無拖延檢測病毒並不僅僅是個夢想。舉一個例子：前些時候（原文為上週末）NOD32可以在不昇級特徵碼的情況下檢測大量包括最新變種的mytob蠕蟲。

有一個問題常被問到：為什麼你們在已經通過啟發式檢測到病毒的情況下還要稍後加入到特徵碼呢？這個基本上同網頁提供方和電子郵件掃瞄有關。如果一個被啟發式檢測到的蠕蟲仍然肆虐，最好還是為它加上一個確切的名稱。用戶於是可以查詢其他反病毒廠商如何稱這個蠕蟲。另外一個重要的事實，如果為一個加殼的蠕蟲（如upx殼）增加特徵碼，可以顯著的提高掃瞄速度，當email伺服器收到成千上萬的蠕蟲郵件時，如果可檢測原始形態而不必解壓每一個單獨的文件，因此可以節省大量資源。

我認為，現今有許多不同的加殼軟體和修改過的惡意軟體,啟髮式顯得愈來愈重要
。啟發式先發現病毒，也給了反病毒軟體廠商為加入特徵碼而分析樣本的時間。同時，其他廠商很早前就已知的惡意軟體，如果被啟髮式檢測到，對於瞭解其中有何新變化也大有裨益。