|
|
6楼
楼主 |
发表于 2005-2-20 19:42:00
|
只看该作者
|
【转贴】杀毒软件背后的黑幕& x" p4 s. H0 Y
! r6 k7 r3 L1 [$ e$ X
杀毒软件背后的黑幕——中国最严重的信息安全问题
% @8 C3 ~, R1 x* D# @: h$ z 翻开2004年第18期《大众软件》,那个杀毒软件市场占有率排名让我百感交集:毒霸
- x) I3 s( A5 T& }38%?瑞星29%,Norton14%,KV11%……,不要以为这只是几个简单的数字,这后面有太多( o8 p8 D3 O* ?8 d% X
的故事,一时,竟不知从何讲起。这样,我们先看看各个杀毒软件的真实能力。(本评测8 k R3 x4 \; ]# ~6 C8 G' j( O
中KV指KV2004)# V! Z; X7 a& B% r, p7 x! X0 U" E
一、病毒库% _' `( ?4 U( w& F1 o
这些年头看过许多评测,有民间的也有媒体的,几乎都是以病毒库是否全面为依据。
3 F/ `0 G+ o3 l这是非常不科学的!暂且不说别的因素,我认为用杀毒软件对一堆病毒木马一通乱杀最后
5 Y) i3 \1 C5 F: f, e& x8 z) x仅仅以检出率论英雄,是一种对读者不负责的数字游戏。+ M1 Z& d& b: l {1 S
举两个最简单的例子,你有用过Norton去杀黑洞2004吗?不说别的,就说最有影响力' `, I- _6 S& b: U$ b
的0815版,Norton也是怎么杀也杀不出。这完全不是什么巧合,Norton如果杀n年前的经典) H/ ~1 {$ [4 j: p$ P8 R
木马冰河84,也还是杀得出来的,只是会在隔离区里加上两个字作注释——罕见……& l% f' Z4 K4 m9 w, j
Norton是一个非常典型的例子,因为在这个方面的问题Norton是最明显的。不过其它9 E% D8 C5 N7 P8 ]" f7 d8 q, l0 T
的外国杀毒软件也好不了多少,哪怕是那个公认的杀毒王兼升级狂AVP,大家拿手上那帮大, S- V* n. ]: N7 N
马小马自个儿试试吧,保证叫它们死得惨不忍睹,AVP那么好的引擎又有何用呢?(据说当. T( y0 j; m8 N! [+ x. g5 m2 U9 j
年因为Pc-cillin杀不了CIH的某些国内变种,所以有人就……)
0 I$ E: s+ x) |( _0 `* Q1 \ 就是不算木马,各种蠕虫变种也够这帮老外受的,其中最典型的就是Lovgate系列了。' m- V, K- M% v7 _9 c
有些用Norton的单位就算是天天更新,也总是不如它的变种来得快,甚至面对有些n年前的
& n x5 P8 {6 x2 D国产病毒,那帮老外也一声不吭。. G: N+ C# _& v# ^) G! f1 h
综上所述,我们只能得到两个结论:1、面对众多国产病毒木马,外国杀毒软件只是一
0 z( J0 m7 V" v: O: k& T帮废物;2、以检出率论英雄是一个彻底的错误,因为一个1%可以包含很少的东西,也可以. v$ ~* Y( M4 \; y4 @
包含太多的东西,同样的检出率,一个可以杀灰鸽子,一个可以杀Beast或××国外二线木& h% p9 O9 y9 _8 x( R
马,你会选哪个?
( X: L6 B+ q% h+ f0 x 虽然如此,但如果检出率相差太大,那就是另一回事儿了。Norton的病毒库是非常不
6 x( X- d. F5 D8 _全的,尽管在杀木马时与其它国外杀毒软件差不多,但在杀病毒时检出率相差实在太大。
" D/ K% }2 Q2 t8 ^4 ~在许多病毒库比较齐全的评测中,(不包括公安部)Norton总是在最后几名徘徊,远远落0 q( h* H8 `; U$ }8 Z( M; |! c
在其它老外后面,甚至在有次国外媒体评测时仅给了Norton6.8分,(满分10分,,AVP9分% u) e, }! g2 i& ~' \: T
)简直是……
, H' i3 ?4 M6 i; q, L! I; Q, Y& R 至于瑞星的病毒库也好不了多少,经常在民间评测中与Norton一起垫底,惟有木马库9 Z1 l& P! C8 y
齐全了许多,所以其杀毒能力可想而知……当然,瑞星杀Lovgate这些国产病毒的检出率显4 e5 R1 }' `& C& A; w5 w9 a2 O
然高些,但木马不同的是,病毒是会自我传播的,所以国外病毒在国内照样常见。于是有: Q# i8 u2 O1 S! x
一次,我的一个用瑞星的同学在用Norton扫盘时扫出满盘的病毒……顺便说一句,当年瑞
: E4 I% h6 H( v& {1 S# [星2003时人家可是一周一次升级!在这个方面,只有KV与毒霸过关,其它的实在差太远了8 F& v: e' s% P/ Y2 Z4 A
。
& [' Z7 h: g+ ]: ~ y 二、杀壳能力
% V, p$ Z8 p- C# u* N 在我看过的评测中,基本上没有哪个把杀壳能力放在眼里的。事实上,没有杀壳能力
; R% k. V; K& U. L4 e! @% `,一个杀毒软件在面对木马以及病毒变种时,基本上就成了废物,有谁用马不加壳?有谁
0 Q1 o! Z7 s! [2 Q改病毒不换壳?只要人家有意,你的杀毒软件一瞬间就可以挂掉。(近来网上有传言说加
E r4 _6 p$ Y) l& p了壳的木马自释放时会还原,这个说法是假的)经本人实验,各大杀毒软件杀壳能力如下% e+ ?% g7 F; ^) j3 k! T: u0 Z" V# V
:
' O- K% E: ]( h g/ W0 k3 w McAfee及大多数国外二流杀毒软件:UPX' F/ M4 d4 h( y* U
瑞星:无2 s7 o8 x) D) q' T) b Y$ I
毒霸:无
7 Q% d" X6 O, u+ Y Norton:无 [+ |. ?) z0 _4 G7 |7 t3 D
AVP:大多数流行壳8 i2 d, I' f5 z" ^7 s A
KV:大多数流行壳
7 _$ u* t# D, ~ UPX是一种免费软件,所以支持杀UPX无需交专利费,如果一个杀毒软件连UPX都杀不了6 [$ J# Q& W# k' \' A% Y
,那只能说明他们那帮人偷懒。当然,无论如何,没有杀壳能力的这些杀毒软件会轻易地
+ z- d: `* e, n- ^/ k0 {# F让你死翘翘的,所以大家今后必须重视杀壳能力。
+ G* A+ D/ q. h2 Y: f+ R, ~& d! k3 ?1 `* n' O) ?& ]
9 ?+ v) H) y- H
$ m$ \2 q1 G3 L& u1 T( t同样的木马,一加壳便是不同的下场
+ n' e5 {* R4 w% o0 v; F' Y! p& d三、清除能力0 g2 L" l6 Z0 W" y
不得不说,任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不1 g# G7 O! d* h% Y/ Q; |7 N
理想,不过由于在杀毒过后这些文件都成了死链接,所以随便找一个清垃圾文件的软件就# S% ~' |3 _ G1 c2 ~
可以了。
. g9 I9 d7 J' t1 n4 \) i) i 其实关于清除能力,大多数的杀毒软件都差不多,不过倒还是有几个特例:! [. M. x1 V' `( \/ f
瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下,杀Lovg9 y$ G0 a8 H$ O5 d) E: b& V" S
ate用了2天,杀某蠕虫病毒用了一周,杀folder.htt病毒用了超过一周时间也杀不干净,( z p; C; l5 H3 L! r# o8 s
最后只用搜索并删除同名文件却杀干净了!明显是跳杀现象。
% o5 u6 Z# ?* l/ |3 X3 p7 oNorton则是一见染毒文件就删,实在令人怀疑Symantec的人是否学过汇编。另外Norton在
5 P7 h: Y0 b1 b: x撞上一个病毒在内存中的进程时,竟经常不会自动关闭,需要你手动关闭,而其它任何杀! B. S' L" O4 N4 A7 \) j% X. F- ^
毒软件大都有此规则。8 s0 E/ f' _+ j2 U- h% l, t% |) y
四、内存杀毒及DOS杀毒$ g: ~+ Y) [" D) I$ m2 Q% E1 m
当今国外杀毒软件基本没有再提供DOS杀毒的了,所以面对dll进程守护式的病毒木马
u: E7 t) e0 [# T就只能到安全模式下碰运气了,并且有时还会失败。相比之下,毒霸、瑞星、KV都有DOS杀( j+ ~' ~* Q" z) X$ R
毒能力,只是毒霸杀不了NTFS,KV可以杀壳。
4 O, y9 E3 I) t8 `& Q 国产杀毒软件都号称可以内存杀毒,但大都只是实时监控加进程关闭的换汤不换药,
& R/ F, Z. n, J+ k% Q杀不了dll进程守护,甚至不去检查调用的dll文件,等于一个功能没加,只有KV一个一个
4 P) X. Y- Q' w4 W0 a1 qdll地检查,并有查到毒后反复检查内存及必要时自动开机检查的功能,dll进程守护的病+ ~2 Z V t8 x: b# N8 c% [
毒木马基本上都可以挂掉。实话说,只有KV的可以算有内存杀毒功能,其它的都是吹牛。
& i' }, g" M% W- v% E, S! A* B7 Z+ c T9 e6 a: k- i
五、实时监控# @7 M8 ^4 a' n3 I
当今的杀毒软件几乎都要吹一吹自己的实时监控,但实话说,没什么稀奇的:一是对9 V2 ?* m& W& b- s- G
进入内存的程序进行扫描,二是预读。(解压时查毒属于第一项)第一项没啥子稀奇,至# V9 _3 y# s8 m% d! g, |
于第二项,国产杀毒软件的速度大幅超过了老外,的确可喜可贺。
6 V8 _& ~/ n$ u' E5 Y. j$ Y# X5 ~ 尽管如此,不得不说说KV。KV的实时监控技术,即“动态比特滤毒”技术实在是太强! J8 G7 E* p: G( s( ]7 _/ s- T
了。为什么我一直在用Net Transport呢?因为在打开KV文件监控的时候,KV会自动对进入& P1 c0 a3 N( u! n3 X x2 M N3 t# S2 V
电脑的文件进行扫描。如果是带毒的压缩包,KV会在下载结束的一瞬间报警,如果是EXE或
. q* H ~+ l$ MDLL等,那么有时才下载到一半就会报警。另外如果你用Windows搜索时开KV文件监控,KV
- T# b5 r l6 U会顺带地扫出很多东西,(前提是你硬盘上有)上次我就是忘了这一点,结果把自己的黑8 A6 q: s* U1 `
软库一大半倒进了隔离区。(开个KV在网站上防Asp木马,爆爽!). o( u3 z" n2 V" e2 ?
六、杀未知病毒能力
! }' g. ^: b6 |6 a" W- t" t 当今的杀毒软件对这一点都“非常重视”;所谓“重视”就是大肆做相关的广告;行
7 X' u+ C" Z$ ]9 ~为判断、虚拟机法、智能跟踪……如果这些都是实话,那么面对一个歪壳压的病毒,杀毒
# `$ ^: V3 Y( }9 J软件们理应报警,但事实上没有一个杀毒软件做到这一点,这些谎言也就不攻自破了。当# V2 M% b0 N5 v0 J* n: k$ V* }9 n
今的杀毒软件的防未知病毒机制其实只有启发式扫描,即仅仅是扫描文件中的可疑代码。! Z! ?6 Q) ~: x: A* Y8 I
也就是说,如果解不了壳,再强的启发式扫描引擎也什么用也没有,由此,KV、AVP的表现
+ ~4 _& X: r1 P6 J" M6 T大幅超过了其它的杀毒软件。在加壳病毒横行的今天,其它的杀毒软件几乎全是吃鸭蛋。, K! G5 v7 C0 P% L- I+ o
6 G3 @' _. v0 l( `/ Y 不论如何,毒霸、瑞星和AVP的误报率都算比较高,尤其是前两者,几乎只有误报纪录2 o& |" ]8 V: s! Y; B9 Z9 p
,毒霸的实时未知病毒检测甚至会干扰到已知病毒检测。Norton与KV到目前为止我也没发0 p0 B* Y3 N8 B; |
现误报,不过Norton的未知病毒检测也不乍地,只是比毒霸、瑞星强了许多。0 h; z7 b6 p9 W; U8 W6 ~1 f& D2 K
不看误报率,只有AVP与KV的能力令人满意,AVP自然不用说,人家可是启发式扫描的
# {6 K% b: _" R; f8 e4 R8 T5 B鼻祖,具体能力大家也清楚。事实上KV也是非常强的,只是可能大家不知道,最经典的例
) Q F2 U: H; g4 p# R% l3 o6 B4 o子就是当年的KV3000不升级就可以挂掉冲击波!不过据说KV未知病毒检出率略低于AVP,也
$ U- d6 q! V% X) @3 L; a9 `许这是为达到误报率为0所必须牺牲的吧。
/ M, ~6 B; s1 l8 J! A 大家注意,哪怕是KV、AVP,它们杀未知木马的能力也为0,也许它们一向都只是在研& g- L. j6 ]! t; s! {
究病毒吧。若要杀未知木马,大家一定要用****,据我实验,****是第一个采用行为判断法
- a7 f; w1 U" T1 V# v) N的安全软件,同时有超强的专门对付木马蠕虫的启发式扫描引擎,对付加壳木马也非常有
; W) C% k0 [# t0 {一套,实为史上最强的杀马软件,曾被ZDNet评为年度十佳软件……如果你用过老版本的*
0 |1 n5 o# z: l, Q: d***杀当今的黑洞灰鸽子你就知道了。不过这有点扯远了。
; o5 e/ D1 n8 @1 F; K1 ^$ l6 Q 七、速度: s8 d: z- r1 n+ U
首先对毒霸的“闪电扫描”提出质疑:
6 m+ y: f: I6 F$ F' I1 ]) B ①有谁愿意为了一点点时间而仅仅去扫某些病毒呢?安全至上呀。; @8 E* d7 ^5 w* z C0 A3 x
②病毒经常是相互附身一齐出现的,这可是常识呀。- |! A+ Y- n0 l
③鬼知道它扫的是哪100个病毒?
7 I* e7 s5 N* M! S- ?1 ] “闪电扫描”顶多是一个花哨的噱头,基本上没有人用,大家不必理会它。大多数杀: g. b1 J0 x$ \
毒软件速度都差不多,可以接受就行了,不必排先后。不过AVP由于支持杀壳,所以在开了
# x1 m9 ?, W5 |. s5 L( B+ C1 K杀壳后速度慢了很多。但瑞星令人实在受不了,慢得甚至出现了专杀工具速度跑不过其它
& Z2 e& M4 L4 d3 }( w) E完整杀毒软件的奇特现象……。KV还是令人佩服,又支持杀壳,速度仍然很快,着实先进8 B ?1 Q) t! t
,不能杀壳的毒霸扫再快也无法动摇这一点。
4 \# O: i7 T% g7 h0 _2 A0 W7 a+ D 八、集成度
) I1 T5 S' w3 M1 g5 o0 I 老外们在这儿不得不出局:不支持QQ?Game over!, R) t1 W' F% L. B9 `; i% U3 {
KV的集成度肯定是最高的:有了动态滤毒,KV等于是支持了一切聊天软件与下载软件2 ~8 f v/ u/ E" ]$ \
,同时效率最高,名义上不支持QQ算什么?
8 ^# D2 P: G3 b 毒霸及网镖在一次死机后图标全会消失不见,极不方便使用。瑞星用DLL进程守护解决
( m- J0 o4 e. I- G; J% ^. S: [6 \了这个问题,不过同时也带来了无尽的资源占用与冲突问题……
" B( \. H ]; I" b: F$ ] N 九、压缩格式查杀支持(出于实用,我们只看ZIP与RAR)
2 ]( o/ j5 t e- H3 {0 B- ]0 l KV:普通ZIP、超真空ZIP、RAR; R7 Q$ X5 P7 |2 {' `. R b/ Y- w \
AVP:普通ZIP、超真空ZIP、RAR6 H& }6 w3 ?$ n- T' g2 y# V
毒霸瑞星:普通ZIP、RAR# ~ u4 `5 ~/ I: b% l6 v
其它大多数国外二流杀毒软件:普通ZIP( t' x! u" S* b; V& u7 q
大多数外国人都不用RAR,所以Norton与McAfee等都杀不了RAR
: ?" B' o3 t0 @: w 十、资源占用与冲突:7 ~4 M8 k! e/ D4 F! _: ~* g
KV与AVP资源占用最小,获得广泛好评。Norton毒霸一般般,但开了QQ后Norton资源占+ y# J: L8 V3 N; U& M: d2 I& Z
用暴升……瑞星这方面问题极严重,不仅是当之无愧的冲突王,也是万“死”不辞的资源: M" W* o2 l4 @, N
占用王,有些配置稍逊的电脑在开了瑞星后,(只装瑞星)弹出右健菜单竟需3—5秒……另
- j* }+ f3 L% ^3 n8 l外好象有一个说法,就是装了瑞星后装其它杀毒软件,基本上都会起冲突:装毒霸后不开实) ^! U" j; a# u- g
时监控系统也爆慢,网上有人把Norton这样装则是根本进不了系统。当然也有例外,就看2 C7 p1 s$ O5 I* h: @& x2 f
你的造化了。' v. z/ z% Y# J) m0 n' |
总结:Norton实在太废,除了公安部和某些菜鸟,几乎是人神共诛,连外国同行都不
0 A5 R3 q8 X& Y. O以为然。(6.8分,妈呀!)虽然Norton是实时监控的鼻祖,但却不思进取,活该。大家若3 `, z5 }: @# o8 P V2 B/ `( q) b7 H0 d
一定要崇洋媚外,那就请用AVP。不过我一开头就跟大家讲得很清楚,非本土化的杀毒软件, \4 y! C- n5 U3 t9 F
的下场嘛……# X4 y" o' m8 j' t$ J8 [: r; S# V% X
毒霸的表现勉强算二流,面对加壳木马还是太嫩了。瑞星则是我见过的最废的杀毒软
+ S. {" H$ X6 D& c& b+ }( w件:毒库不全,耗资源,易冲突,不杀壳,速度慢,跳杀!这年头民间防病毒软件非常多
# E; G5 h$ A/ r O- b; b0 P,大的有十几兆,小的只有几十KB,没有一个有跳杀的问题,扫上7天对它们都算神话来的& u1 z7 T) _/ ~8 }+ y; s/ G
!毫不客气地说,这一点可以让我们确定,瑞星是全世界最废的杀毒软件——谁不知道跳6 t" T( ~. g+ t& d# ?7 L' _& L
杀意味着什么?
0 Y# f! G7 m( ]; v) s% W% O1 Y 至于我对KV的评价,也绝不是一家之言。有许多国外媒体都在吹AVP,但这并不代表A5 A& t/ C/ _! ]8 x9 D4 r
VP比KV强,因为大家都没见过KV,惟一的例外是日本人评了一次,结果大家也知道,KV获- k- s2 D9 |! a/ ~$ f* @
胜。与此同时,国内大多数的黑客专业网站推荐的也是KV。这跟本文的结论是一致的。KV
5 s9 q, ~( _- C5 {2 B0 t如果做好了国外病毒木马的收集工作,届时一定可以在国外压过AVP的风头。0 V6 w, i- D; n8 r
我个人认为,本篇评测,是当今世界上最科学的评测之一:2 N. j3 h8 V) P; }$ o
1.一个评测如果只看重病毒库,那么只说明这帮人压根儿就不知道木马加壳术,不认3 c, ^) D& H" H9 h r+ o
可加壳后的无敌木马的危险性,甚至连瑞星的跳杀问题都看不到!
5 |# K% A4 J9 f# U6 b 2.一个杀毒软件的能力是有限的,并非一个数字可以代表得了,正如水浒英雄的能力. i8 _4 E1 T. y* X
并非那些“水浒人物卡”上的几个数字可以代表的,另外国外杀毒软件杀国产木马的狼狈+ t3 ^5 E' \( f% a# s; B6 e5 c
相与评测时得到的检出率与分数完成不成比例,也能很好地说明这一点。一个真正合格的3 Y. c/ i0 X1 r9 \( p
评测应该是把各个杀毒软件的优点缺点都列出来,让读者自己去按自己的需要来判断,最
3 s5 F3 V) ^: c3 ^* L多分不同情况给它们简单排排名。
: A& s+ y8 Q0 Y6 W 3.一个评测如果只是泛泛而谈,而不分出杀毒软件的优劣高下,这只能说明这是一个
! D( W! f: l n, I- i# d3 q+ s0 N! s广告大串联,而不是什么评测。本评测中出现KV一边倒的局面并不能说明本人的方法不科* v4 b* C+ q2 A4 g% ]# V+ {: `: G
学,反倒说明其它的评测根本算不上评测。% A, ~8 Z& M8 N: m3 `4 ^; R
4.最重要的一点,本评测一切论据与细节都是公开的。(比如病毒名称,评价原因)
) k: t- p4 ~( `9 G/ F0 `就算去除一些口说无凭的个人经验,只剩下大家可以自己操作自己实践的部分,大家仍会2 H. u* r6 @, [; M2 | i/ m% |9 F
得到同样的结论。本评测的真实性无可怀疑正基于此,大家尽可乱试。5 ~; u' u& |1 K; @, ]
如果仅仅是做个评测,那么离“黑幕”就差太远了,但是事情远不止这么简单。我认+ x+ ]5 t/ x/ z) {" S
为,如果压在KV头上的是AVP,我认为大家还有些讨论的余地,但我们可以看到,排在KV之
: q6 D+ O) z# u/ @ i7 n前的尽是些垃圾:毒霸、瑞星和Norton。它们的流行与中国人随波逐流、轻信广告、做事" Z2 y G8 B$ B6 L# b' Z8 {
不细究这些毛病都有关,这自然不用说,但我认为最重要的原因就是公安部的评测。
; R" v! d6 v5 j5 J' ` 公安部的评分是这样的:毒霸95,瑞星95,KV90,Norton85,其它的杀毒软件依次列
8 P9 k0 r4 j! K% W- H在后面。所谓检出率则是:毒霸100%,瑞星100%,KV100%,Norton9x%,依此类推。' F* W* g! h- p+ E" F
实话实说,公安部的评测是我见过的最假的评测,也是最害人的,因为它影响力最大/ f, v$ f# w* g( c1 ]; i# _8 X
,随便就可以扯出一大堆疑点:9 }& N4 S1 b( Q0 T) l( |
1.KV那么强的引擎,凭什么排在毒霸、瑞星后面?如果说毒霸、瑞星恰好撞上比较“# \6 M, W: i; |& L* E9 F z
适合”自己的病毒库,那还好说。但既然检出率都是100%,其它性能KV则是全面超越毒霸8 j! h( q, y k/ A5 ?- l- g
、瑞星,凭什么KV要比人家低5分?
, v/ P+ U2 h0 N! \5 Q# M9 U; H 2.作为史上最废的杀毒软件,独一无二的冲突王、资源王、跳杀王,瑞星凭什么遥遥
; | t+ M8 I( \/ p) J领先,并列第一?/ H' b' A) M1 O& e6 T( j! D+ W
3.作为国内市场中病毒库最不全的杀毒软件,作为一个在民间评测与国外媒体评测中
4 y! d0 B$ {2 n# @, Z2 Y屡次垫底的杀毒软件,Norton凭什么比McAfee、PC—cillin、Panda这些家伙的分数与检出6 M) E& P+ ]% I9 V- @/ u% U3 h- \
率高?大家记住Norton当年的分数:6.3分!( V# [6 U9 F: F, S; A" Z# w
4.凭什么大名鼎鼎的AVP不参加评测?3 f. N3 ~6 a8 _( m) T
5.凭什么公安部几乎只看病毒库?虽然民间评测有这样的,但官方评测从来都不是这
# x6 D( S, p- o3 E# f样的。
- H5 N2 I9 {% e7 z1 o3 o1 i6 h 6.凭什么公安部把除了病毒库之外的评分标准全不公开?
2 e- q1 \8 B( U. T% l 7.凭什么公安部全盘都在暗箱操作?+ b5 ~; a, f4 y+ z8 o
8.凭什么会出现三个杀毒软件同时得到100%检出率的情况?全世界的杀毒软件评测,* C( U' x. d9 Q x. a8 F1 U
根本就没出现这种情况。要么,就是公安部病毒太不全,要么就是人家想搞“民族产业振% |, o1 B% \8 C6 q/ ?% `% j: c
兴”。: ~. K! i) o4 q$ X( m
……
2 E X8 c. J0 {/ \9 G- i9 p+ i 疑点多到了让人几乎可以窒息的程度。研究一下杀毒软件的历史,发现公安部评测实
$ y3 O) O! J5 L) S在害人。( g( f2 z& `: `* ]( a' R6 E
众所周知,KV是早期中国最著名的杀毒软件,一度市场占有率遥遥领先,今天却落到# h! G: l; \3 l+ n$ g6 ]; D5 v2 ]8 `
了这个地步,难道是技术问题?KV的病毒库一直是全国最全的几个之一,未知病毒查杀当
$ m0 i" ]! Z* T% X) K& G0 Z- B" n, G时在国内更是无可匹敌,而且早在KVW3000时代就可以杀UPX、Aspack甚至WWWPack这种偏壳$ ]7 ]9 ~: J6 i' c3 w- v
,恐怕只有AVP称得上对手。虽然对Win2000支持不好,但当时又有多少人用Win2000呢?那4 K/ F8 Y) N5 m) e E
时KV的UI的确很差,但有些人认为KV那时用的是KV300的引擎,则纯粹是以貌取人,上面说/ D9 X. [8 G2 H: E, @. v: x& n; O
得非常清楚。然而公安部从那时起便不给KV好脸色看,KV于是便一落千丈,落得今天这个" a+ z. I- }3 N3 ^5 e; ]6 Q. e! q( S8 j
地步。(硬盘炸弹固然也是一个原因,但今天还有几个网民记得这件事?还谈何影响力?: B: \! f! f0 G4 m. E( B
再说,公安部做的可是评测,而不是历史清算)可是直到现在,毒霸、瑞星除了支持NT内
3 A& z8 [5 |- e8 P核实时监控,几乎什么都比不上当年的KVW3000,足以证明公安部评测的胡闹与破坏性。前9 X) D+ C: G; r. W. T
面说了,KV的文件监控本来就可以达到QQ、UC、POPO等防毒功能,今天却在KV2005中特意
; X z; j% Z5 S- ?& Y“加上”相关功能,不得不说是一种无奈。
/ V0 Q* ]6 P n KV的下场并非最惨的。有些人可能还记得当年有一个很著名的杀毒软件——行天。行
7 P& Q3 u$ Q. m$ U! k# L7 S天虽没有KV的强大引擎,但病毒之全实在是出类拔萃,几乎一直是全国第一,而其它的任
8 N. G0 l0 P9 Z; L8 W3 e何方面也不逊于毒霸,跳杀的瑞星更是不用说。安全之星XP(VRV)也一样,至少人家比瑞
2 h8 l8 _' e" x/ T+ p c5 L7 f6 Y星毒库全,速度快,又没跳杀问题嘛。可是就是这样两个杀毒软件如今却销声匿迹,公安 X; W" S; K6 I7 W$ R8 Y" q4 O
部显然脱不了干系。
/ u9 M4 e* w9 S* i7 u# @在这样一个节骨眼儿上,我不得不为KV说话——如果KV哪一天像行天VRV一样被整垮,我们6 o5 X; E7 Z# e ~7 E
中国还有什么可以拿得出手的杀毒软件?我们如何面对微软的进军?我们如何面对今后出
" B6 E4 H. P6 l5 }1 e现的彻底本土化的国外杀毒软件?网民们轻易相信广告固然是个原因,但如果没有公安部2 t9 ]+ h3 P8 m( e: A
的评测,网民们会这样吗?
2 \! ]- Y2 l# d+ v. R% ` 一切疑点表明,公安部评测并非乱测乱评,而是有非常非常强的倾向性,是明显经过
( _0 V. f% l2 F& t人工操纵的非常明显的作弊行为!毫无疑问,这后面还有太多的故事、太多的后台、太多! {$ ?7 ]% B/ ^
的黑幕、太多的权钱交易、太多的无耻。具体是谁在操纵,我也不知道,也没办法知道。6 H& u" Y" a+ V, R0 f/ ]: b% i, b
我只知道,它让三个垃圾占领了中国80%以上的杀毒软件市场。公安部评测,理应人神同诛& `! |+ j5 Z& I) Q z
!
% C d1 E1 K1 z: B; X 公安部固然要负主要责任,但虚假广告照样脱不了干系。
9 ?$ t( A: \. K8 O) B! n0 x 瑞星的瞎吹倒不多,但也不是没有:“第五代国际领先可扩展引擎”——作呕!不过' _6 a4 o8 x/ |
瑞星还算是比较“谦虚”的,比如防未知病毒能力就只敢加个“瑞星专利”作形容词,“9 G+ D3 D# n6 t0 T: a; X
清除病毒”之前就不敢加个“彻底”,算有自知之明。6 p% v5 I7 j2 j
Norton倒没做广告,到底是怎么流行的,除了OEM大家也清楚:谣言可畏啊!
& a0 Q3 t7 U( q8 r 最最最最无耻的就是金山了,实在是令人发指!不信请看:
. v* o7 s& a% b2 R9 Q, I7 p 1、把你的金山毒霸包装翻到背面,一条一条地看:! I1 }/ ?# {% S) W4 A0 c5 V' p) S0 M! S
①“病毒处理速度>>病毒传播速度”这显然是瞎吹。/ b8 h) O7 \% j* r% ^$ I6 o* s. k
②“网页防毒,有效拦截……”这年头窗口炸弹写法也就几种,随便一找就找到一个$ S6 a+ q- U7 S& f. x' L g
毒霸杀不出的,(KV与Norton都杀得出)至于广告拦截更是效果几乎为0。你敢用这玩意儿1 k) O/ [3 z3 ?8 W
拦网页木马吗?! \% }7 o7 Q6 D/ Z! y
③“闪电杀毒”前面也说了,花哨的垃圾。! M' {5 I! c0 ^& L0 }
④“双引擎杀毒”金山的说法是:国际引擎是AVP的。懂一点杀毒软件的人都知道,双' }; M \8 i' H( H( A
重过滤分析是100%不可能实现的,否则毒霸耗的资源肯定不止那么多,速度也不可能那么 z) L3 O# }9 n8 z, |3 \' R
快。隐含的国际杀毒引擎杀国际病毒效果好的说法更是有违常识。同时,不能杀壳,不能: F% |6 I+ z* g: D' k k0 {
杀RAR,脚本拦截与杀未知病毒烂,这根本不是AVP的作风,去掉了它们,AVP根本不能称之7 R$ k% b" x+ G+ G3 S; k) \9 |
为AVP。再说AVP风头正盛,哪会干出这种卖引擎的傻事?
9 ^0 @; U+ `0 K) Z 依我看,有三种可能:1 b0 S: h" w% P# ?4 J9 g" @. u
(a)金山只买了一小部分引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒# }% ]" j# ]0 C3 c; b0 y6 e' J* v
,等于没买。
- m# Z' g1 H, S' [1 M( @% S. r' ? (b)金山只买了一个老版本的AVP引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未5 E: {" a! V. e& v$ \7 X$ D9 U
知病毒,等于没买。这还是有可能的,因为毒霸老早就在吹它,时至今日,甚至懒得用一
3 R3 C0 R) Z9 D个“全新”作修饰。如果真是这样,我倒想给金山提个建议:买一个KV300的引擎,然后就
/ b8 a Z" J0 g3 X3 w' t! ]可以号称集成了KV的引擎了……! g3 X. X! k7 h3 a
(c)金山仅仅买了个名号,这就是真的没买了。* M- x! g4 u% k4 ]
这三条说到底就是没买嘛。$ r k. o- c( m% {3 l5 \
⑤压缩格式查杀:别的我没追究,反正金山号称可以杀RAR很久了,但直到推出增强版* H7 p/ I) M# F8 v/ B
时才兑现,实在无耻。这个不用多说,大家一试便知。! d, I( E9 G) ^" i/ |
⑥内存杀毒:前面的评测里讲得很清楚,不用多说,反正很多人都有毒霸报警却发现狂点5 k9 n$ O* S: }1 f4 j# W
也清不了毒的经历。不能内存杀毒也罢,金山竟敢再加一句“带毒杀毒技术,无需启动到
r* K' B8 B; ODOS状态,直接在Windows环境下清除病毒”,真是厚颜无耻。每当我向金山售后服务问起
4 G2 R: s7 B( ?& o这个问题,人家都抛下一句话:“你到DOS下面去吧”。可你要知道,毒霸DOS版杀不了NT
) ]7 m$ h, ~ n! N+ ~FS呀!
- i6 d7 q# n' ?6 c6 w ⑦硬盘修复:修复CIH与Opasoft造成的破坏我倒没话说,虽然我没试过,但号称修复
5 t; K0 o3 d5 m4 s) uHdbreaker造成的破坏就肯定是胡扯了,实在是不自量力,我甚至怀疑这帮蠢货有没有见过3 }: e* L" V5 v0 w7 x
Hdbreaker。如果大家嫌自己电脑全是垃圾,也可以试试,反正我是很想在金山的每台电脑5 T: \% m3 ?2 N
里都放上一个Aspack加壳的Hdbreaker:)( C! x7 ]. H0 z: P
顺便骂骂网镖:
1 J3 q2 G3 ], J ①作为一个规则过滤式防火墙,规则设定选项是它的灵魂。网镖的规则设定选项直到
* j3 k B# B- k$ `2 I- O2 `3 _今天也是最少最不全的,连设置繁琐的瑞星防火墙都比不上,还敢叫“个人专业防火墙”. M' A. Q. ?- m1 N, ]5 N5 @
?我宁可用Windows自带的防火墙。
; d/ b- u! {" b1 W6 ]. x& F ③很多人都知道,新网镖有一个功能,可以自动拦截木马并报警。这功能看来似乎有
. N* O% K5 ^3 r+ n9 s/ E+ O用,但实际上是屁用没有。试想一下,网镖可以准确地报出木马名称,这肯定是人家动用6 a- O8 R9 _7 l& K6 d
了毒霸的引擎杀出的已知木马。要杀便杀,金山却多此一举,实在无聊至极,是明显的作9 q' G& I M4 J+ k. F
秀行为。
# p2 R5 d( S0 G, }( v ④金山网镖几乎是一周升级一次,但相信没有人发现过其中有什么变化,肯定是假升* r% J# C- O) B2 R
级。惟一的例外就是某次升级后,网镖会对冲击波报警,可我等早就打了补丁,要它作甚
& n$ Q3 d" J$ C" S6 w5 N# \+ ^?可是这个“内建规则”哪里都没法把它关掉,只好让它产生一堆垃圾日志。+ C4 U( X1 F* _; }$ M* @# [
大家如果要用规则过滤式防火墙,那就用天网,试用版也行。如果你不嫌麻烦,那就
+ x0 F9 n8 |3 m用BlackICE。不论如何,就是不要用网镖,又花钱又受罪。
* b P# {) Y1 C9 [$ ~- Q8 C 2.金山那帮售后服务的人实在太菜,以下是经典问答:: H6 K/ C, K" T* C3 k" p |- T; d
“毒霸怎么杀不了RAR?”“你到命令行下试一下,应该可以的……”,“毒霸怎么杀9 x% a$ v9 `$ D3 C1 M) {; v! Z$ }
不了××病毒呀?狂点清除也杀不了耶。”“你到命令行下试试……”(小子,你们那个
# A; o; Y V& M" w0 f; b6 e9 U很牛的“内存杀毒”呢?),“听说现在加壳木马很多耶,毒霸杀不杀得了?”“(有点
3 k0 O; @6 F$ N8 {' X犹豫地说)应该可以的……”,大家还是自己实验的好。
7 }7 ?0 ?, D. m2 L2 ?7 p. I0 f( p 3.有了以上几条,金山也仍然不能在众多骗子公司中“出类拔萃”,不过这一条可以
7 e' ?5 ]# y0 y7 K$ b改变这一点。
9 ^! t& Y0 e; z5 o 众所周知,毒霸6增强版加强了杀木马能力,号称可以增加查杀15000种木马。可是大
+ K1 G K' h! z家是否想过,这多出来的15000种木马是从哪儿来的?是从地里冒出来的还是从天上掉下来! A3 R* H3 ~% X1 L1 G5 Y
的?显然都不是,金山获得木马的途径只可能是来自上报。这也意味着金山扣押了大量的4 l' P5 X- O7 H8 b
上报木马,以便进行这样一次市场炒作。本人这个说法绝非口说无凭,因为我与我的许多
5 C% [* v% P/ ]) b1 B朋友都有相关的体会:(其实根本就不用这么多,金山的广告就够了,自己仔细看吧)
6 F7 r! G$ c, D+ y( U+ a9 I- ^1 U, K# I) l
①半年多以前,自己在电脑里抓了好几个木马,毒霸杀不出,便去上报。结果金山回
+ M! r6 K7 |" R& {& P& ?E—mail说已有人上报,要我等。我留了个心眼,过了几周便把它们拿出来杀杀,可是毒霸
7 E& o$ K( x* t; f3 p d一直不报警。这几个文件我已经弄丢了,但我希望那些给金山上报过木马的人把上报的木2 d( D; H+ n# N3 r" G
马用未升到增强版的毒霸杀杀看,相信结果很多都是一样的。
1 ^: g% i/ V. g ②我有几个用毒霸的同学,在升到增强版后的那几分钟,电脑竟不约而同地报警说发5 R1 l" Y# d" q" ?0 N4 k) O
现木马。由于各种条件的限制,我只能搞到一个样本,不过相信这种情况一定为数不少。% p( Z6 O# k7 c$ @3 k( v M
大家千万不能上金山的当,像我那几个同学一样,还以为增强版的能力很强呢。! D: L) k1 V3 p o9 {/ [3 E8 T( w
不管怎么说,毒霸的木马专杀本来就垃圾。木马专杀仅仅可以检查EXE关联与AUTOEXE, Q' Y" R g, {+ ^9 Y6 l- l
C.BAT以及CONFIG.SYS,比民间的“木马分析专家”差了几千倍,不能杀壳更是让木马专杀$ w4 W8 Z( k6 ~% X! L
成为了废物,加上扣押的15000种木马后,病毒库齐全度才达到KV的水平。
8 p& V$ {' _+ [2 u! W7 f “木马专杀”肯定是一个蓄谋已久的阴谋:全球每天才诞生200种病毒木马,就算它们; C: S5 H- O: g* f
全是木马,就算它们全部被金山收集到,那金山收集15000种木马也需要2个半月……而现
2 e1 Q5 C: c: u! P$ I在金山更是把15000改为了20000,所以……8 q. I, ?% X5 @/ O% Y" D5 c
不得不承认,金山公司在国人心中的地位的确很高,但那仅仅是因为人家最早出现,
1 W) P$ @$ W4 e3 S- j2 Z e而这并不能说明人家的产品好、信誉好,那只是国人的想当然。在雷军上台的这几年,金4 c7 D$ e; n. f) l9 j
山广告的确做得很火,但软件的技术几乎没有长进。这就不止网镖毒霸了:金山词霸2005
+ A, y5 Q( S0 `5 L- t" Y$ o仅仅是2002版换了个界面与发音库,词条中的错误却一个也没改;金山快译虽号称智能引
- j- t" @* k* K" X擎,但翻译效果却一直未超过Office2003,而且是差很远,几乎只相当于把一堆词拼揍起
. N& m6 W! g; B6 a. i来,据网友说,金山快译2005会把“Counter—strike”译成“计算机罢工”——妈呀,人
2 o1 B# x: [8 `8 L( u3 z家就是翻译成“柜台罢工”,我都不会介意的,可是“Counter”怎么跟计算机扯上关联了6 g4 k& [5 k& G$ Z2 G
?至于WPS,我认为也没什么好说的:WPS花哨的功能越来越多,可是时至今日,WPS仍未实6 B% B& I% f8 D, g
现电子表格中数据同步变换的功能,(即改一个数据,相关数据自动完成更改,这个功能
9 i8 |" g) @8 J& e* z3 J是必备的)仍然需要大家自己一个个手动更改。而此功能在Office里面早已实现,这很是
( @ I- g6 a) w2 r; c1 ~说明问题。
* X) E. P3 O) K 以上的说法并非本人发现,它们全都是网上已有的说法。综合起来,大家便可轻易看" K ^. [& i E2 ?
出金山的底细。
8 J1 a/ H( B! `6 [- x0 G 当今骗子公司虽多,但也没有任何一个有金山这样明目张胆地坑人的,尤其是“木马* F# p# D/ W" o# V8 |
专杀”一事,炒作疯狂,全国媒体一齐尽献媚词,其设局构思更是伟大到了史无前例的地2 K: l6 T# y5 L' B
步,那个大名鼎鼎的网E拍又算哪根葱?知道有人会想说当年江民的硬盘炸弹事件,那的确# e2 E! `; T4 `
也是一个非常恶劣的行为,该骂。但当年的网民并不多,所以上网下载升级程序的受害者
8 G! [9 b g9 R/ |并没有象大家宣传的那么多。再说那只是针对盗版用户的行为,(我没说这是合理的)而
4 L3 W& V0 B7 s1 B金山则是拿众多信赖金山的正版用户开刀,论动机金山显然更加无耻。硬盘炸弹事件早已
- l0 c$ s% d3 d( s" e' [6 n4 Z被公布于世,金山的“木马专杀”事件更应被公开在光天化日之下。至于两害谁轻谁重,5 t7 J5 {* E7 ]7 c- f
那就是另外一个问题了。( S( @& F! n. X5 x. h w$ W" Z
但是,大家不要忘了,以上一切的一切,如果没有IT媒体的撑腰,都是不会发生的。) @& B. m3 p7 J) m) c: ~+ f
大家不要把当今的媒体看得多神圣,多有光彩。人家不是搞舆论监督的,搞舆论监督的也1 c# y+ }* i& T+ y' ?
不懂电脑。当今的IT媒体在面对谎言时,从来都没有打过头阵,从来都只是论坛的跟风者. a$ a- q7 ?( x+ [) C
:3721、网E拍,它们全都是在网上论坛被骂得一塌胡涂的情况下才有媒体出来说话,有些8 c- ^2 a3 Q( `: A
媒体更是直等到3721推出新版上网助手才出场,趁此机会做“评测”说3721根本没卸载方
e# \. c/ n) V# Y8 @# g# M1 i0 E面的问题。(鬼知道这年头他们收了多少金山瑞星的广告费?)
9 {4 ^' [' E8 I; [4 ^8 } 他们从来都缺乏说真话的勇气。当金山瑞星“论战”之时,他们几乎是一言不发。不
5 P- Q/ i. A. i! c要以为这是什么“清高”或是“公正”,在金山瑞星无数漏洞百出,毫无水平的“论词”+ f& T( t# U: F* R8 \0 l
面前,真正丢脸的应该是他们,这种无作为对于一个真正的媒体来说就是同流合污。这些! h/ h* d" f* q& t! u
年头,他们又不分青红皂白地给了毒霸瑞星多少虚名妄词,多少沾着读者血汗钱的“编辑5 }" Z2 q0 C4 g9 v4 r8 _. k
选择奖”。试问天下谁是真枪手?他们才是!+ B0 W0 x7 ?; B7 t( `
上文中许多发现其实并不是我的原创,像瑞星漏杀问题在有些论坛上早已有人提出,
2 k; i" E' y* P) B/ Z可是至今日,仍没有媒体敢提上半个字,足以证明他们的懦弱。看看他们干了些什么吧,
/ b/ C# o+ @/ C+ }整天仅仅是唱唱瑞星给它们的那首老歌:“半个月以来,病毒A和病毒B这两个病毒值得注
7 q1 G4 p$ F0 S: H2 p意。病毒A试图/会/除了会××××。病毒B(则)试图/会/除了会××××。可以上网的
[# ?, ]! {; m/ V1 E# [用户推荐采用在线杀毒方式,快速查杀这些病毒,也可以使用单机杀毒软件2004版,局域1 e- q, W3 h9 v2 c( T# ~# J$ P4 p) X
网用户最好能使用瑞星杀毒软件网络版来彻底清除这些病毒。《瑞星在线杀毒》无需升级
. q2 _* w7 m& e! Y# O2 t、《瑞星杀毒软件2004版》和《瑞星杀毒软件2004下载版》每工作日常规升级,遇紧急病 g7 v& Q! o k- q0 Z$ V- O; p. ^
毒第一时间提供解决方案,每周升级的新病毒总数不少于400个!截止到×月底瑞星杀毒软
4 W" d. R; [( |; M# |件将升级至××.××版本,望广大用户及时升级。如遇病毒,请拨打反病毒急救电话:0
4 y3 j- @+ n+ T8 ?; V V10—82678800或使用瑞星在线杀毒: http://online.rising.com.cn”这堆破玩+ ^" f9 \; q" W
意儿对我们有何用?1 ^" ?( C! |- H8 W v0 t) V
毒霸瑞星的地位并不是真刀真枪地干出来的,它们靠的是无尽的谎言:媒体的谎言,$ G. @& I* G$ v6 ]/ R
公安部的谎言,它们自己的谎言,颇有中国传统的“官官相护”之形。这正是看似简单的
2 Q$ f! K' L! T% W杀毒软件背后不可告人的黑幕。
$ W4 m% v5 H2 r B' b6 p(以上观点只指截止至10月初的现象。同时由于取证时间较长,难免有疏忽,敬请指出)2 m3 a5 @' o4 B) }7 {& g6 e
申明我不是江民内线
& P" E2 U/ ~5 N [此贴子已经被作者于2005-2-20 19:43:19编辑过]
6 w9 i: U" o: Q3 F D |
|
/1 
IP卡
狗仔卡
发表于 2005-2-19 20:57:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2005-2-20 10:51:00
发表于 2005-2-25 02:08:00
发表于 2005-3-12 03:46:00
