实现NOD32自动扫描接收的MSN文件

2011年3月20日 | 分类: 软件 | 标签: , ,

本人用的是ESET NOD32 Business Edition 3.0.669,现在一般也都用3.0的了,所以就只说这个版本了。其实从道理上来讲是不需要用这项功能的,因为NOD本身有实时扫描的功能,如果接收的文件有毒,你保存时它就会提示了(如果它能检测出是病毒的话),但是对于压缩文档中有病毒的情况或者满足领导的这样更安全的需要,这项功能还是有点儿用的,至少能写入log,留个记录,而且如果是Business版的话,则在Console的Scan Log中可以看到每个Client在用MSN接收文件时NOD32的扫描记录,这样对病毒管理是非常方便而且重要的。

实现方法:

1. MSN->Tools->Options->File Transfer, 将Scan Files for viruses using:打上勾,Browse选到你的NOD32程序路径。关键就在这儿了,V2.7在这里选择的nod32.exe,再加上相应的参数,但是V3.0如果在这里选择egui.exe的话,你接收文件时NOD只会打开程序主界面,并不会扫描病毒文件。但是它有个命令程序加上参数是可以扫描并将结果写入日志的,那就是ecls.exe。在这里我们也应该选择这个程序,再在后面配合上相应的参数的话就能实现扫描MSN接收的文件并写入日志了。举个例子譬如在路径这儿输入”C:\Program Files\ESET\ESET NOD32 Antivirus\ecls.exe” /base-dir=”C:\Program Files\ESET\ESET NOD32 Antivirus” /log-file=”C:\Program Files\ESET\ESET NOD32 Antivirus\log.txt” /action=clean /aind /quarantine,就是当用MSN接收文件时执行clean操作,如有病毒,将信息写入NOD32 的Quarantine选项(此项好像不管用),再将扫描结果写入程序目录下的log.txt以便日后查看。选上此选项时主要作用于注册表中的两个键值:

[HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger]下的”AVEnbl”和”AntiVirus”。所以如果写reg文件则为:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger]

“AVEnbl”=dword:00000001
“AntiVirus”=hex(3):22,00,43,00,3A,00,5C,00,50,00,72,00,6F,00,67,00,72,00,61,\
00,6D,00,20,00,46,00,69,00,6C,00,65,00,73,00,5C,00,45,00,53,00,45,00,54,00,\
5C,00,45,00,53,00,45,00,54,00,20,00,4E,00,4F,00,44,00,33,00,32,00,20,00,41,\
00,6E,00,74,00,69,00,76,00,69,00,72,00,75,00,73,00,5C,00,65,00,63,00,6C,00,\
73,00,2E,00,65,00,78,00,65,00,22,00,20,00,2F,00,62,00,61,00,73,00,65,00,2D,\
00,64,00,69,00,72,00,3D,00,22,00,43,00,3A,00,5C,00,50,00,72,00,6F,00,67,00,\
72,00,61,00,6D,00,20,00,46,00,69,00,6C,00,65,00,73,00,5C,00,45,00,53,00,45,\
00,54,00,5C,00,45,00,53,00,45,00,54,00,20,00,4E,00,4F,00,44,00,33,00,32,00,\
20,00,41,00,6E,00,74,00,69,00,76,00,69,00,72,00,75,00,73,00,22,00,20,00,2F,\
00,6C,00,6F,00,67,00,2D,00,66,00,69,00,6C,00,65,00,3D,00,22,00,43,00,3A,00,\
5C,00,50,00,72,00,6F,00,67,00,72,00,61,00,6D,00,20,00,46,00,69,00,6C,00,65,\
00,73,00,5C,00,45,00,53,00,45,00,54,00,5C,00,45,00,53,00,45,00,54,00,20,00,\
4E,00,4F,00,44,00,33,00,32,00,20,00,41,00,6E,00,74,00,69,00,76,00,69,00,72,\
00,75,00,73,00,5C,00,6C,00,6F,00,67,00,2E,00,74,00,78,00,74,00,22,00,20,00,\
20,00,2F,00,61,00,63,00,74,00,69,00,6F,00,6E,00,3D,00,63,00,6C,00,65,00,61,\
00,6E,00,20,00,2F,00,61,00,69,00,6E,00,64,00,20,00,2F,00,71,00,75,00,61,00,\
72,00,61,00,6E,00,74,00,69,00,6E,00,65,00,00,00

这是比较简单的,其实我觉得就够了,如果还想要实现更多的功能,可以运行cmd,指定到ecls命令,运行ecls /help,或者直接将ecls.exe拖到cmd再在后面加上/help来查看ecls的其他参数。再复杂点儿,也可以写个bat,写好ecls的路径和参数,再在MSN中将路径指定到此bat,实现更好的扫描功能,更复杂点儿,如果要在域中实现域中所有PC都使用此扫描功能,则要结合本人前篇文章利用VBScript修改注册表来实现此功能了。

可参考文章:

http://training.eset.com/kb/index.php?option=com_kb&Itemid=29&page=articles&articleid=549

http://www.wilderssecurity.com/archive/index.php/t-190672.html

NOD32 Manual(内有详细参数说明Page 30): http://www.eset.com/download/ESET_EAV_User_Guide_EN.pdf

Written by Nile Jiang
无猖狂以自彰,当阴沉以自深。

目前还没有任何评论.
注意: 评论者允许使用'@user空格'的方式将自己的评论通知另外评论者。例如, ABC是本文的评论者之一,则使用'@ABC '(不包括单引号)将会自动将您的评论发送给ABC。使用'@all ',将会将评论发送给之前所有其它评论者。请务必注意user必须和评论者名相匹配(大小写一致)。