该用户从未签到
|
6楼
楼主 |
发表于 2005-2-20 19:42:00
|
只看该作者
【转贴】杀毒软件背后的黑幕' p$ z+ L8 ?5 L2 t5 z1 W
; e! O" O1 \) P9 J$ D: R% f; b杀毒软件背后的黑幕——中国最严重的信息安全问题% `2 ]) K3 P0 W! z4 [* F3 d% D& d
翻开2004年第18期《大众软件》,那个杀毒软件市场占有率排名让我百感交集:毒霸
" f; l! ` M! F p# F0 `38%?瑞星29%,Norton14%,KV11%……,不要以为这只是几个简单的数字,这后面有太多( C+ z2 p6 u+ ^2 C) F# j/ F0 U. V
的故事,一时,竟不知从何讲起。这样,我们先看看各个杀毒软件的真实能力。(本评测5 b4 V/ y2 Y) u: \$ o
中KV指KV2004)
4 D% e1 Z" n* |7 f 一、病毒库
) f. X5 X* k3 q t8 q 这些年头看过许多评测,有民间的也有媒体的,几乎都是以病毒库是否全面为依据。! h) \# R& P# }; |/ h# `- m9 s. X
这是非常不科学的!暂且不说别的因素,我认为用杀毒软件对一堆病毒木马一通乱杀最后
& {, M( I6 W( O9 w& Q* i仅仅以检出率论英雄,是一种对读者不负责的数字游戏。4 J8 T' H; z3 W$ h! B
举两个最简单的例子,你有用过Norton去杀黑洞2004吗?不说别的,就说最有影响力; W& Z5 U# T( c. a' G
的0815版,Norton也是怎么杀也杀不出。这完全不是什么巧合,Norton如果杀n年前的经典. d7 k; N# U8 t' j' Y& N
木马冰河84,也还是杀得出来的,只是会在隔离区里加上两个字作注释——罕见……
1 b( d. K; O3 i ?! W Norton是一个非常典型的例子,因为在这个方面的问题Norton是最明显的。不过其它# ^* M- {1 u' L- \
的外国杀毒软件也好不了多少,哪怕是那个公认的杀毒王兼升级狂AVP,大家拿手上那帮大% e6 j5 z* N6 s2 g1 s: [
马小马自个儿试试吧,保证叫它们死得惨不忍睹,AVP那么好的引擎又有何用呢?(据说当
4 W( C0 \$ p0 g& k年因为Pc-cillin杀不了CIH的某些国内变种,所以有人就……)
/ m" p$ c) Y7 x7 v+ L2 [; R 就是不算木马,各种蠕虫变种也够这帮老外受的,其中最典型的就是Lovgate系列了。! h+ c3 l/ ]+ @# P
有些用Norton的单位就算是天天更新,也总是不如它的变种来得快,甚至面对有些n年前的% _" q b1 b& H7 p a
国产病毒,那帮老外也一声不吭。
7 Z) G5 `3 H( ^7 C 综上所述,我们只能得到两个结论:1、面对众多国产病毒木马,外国杀毒软件只是一 J0 p6 l( p! y' \- u! h( p
帮废物;2、以检出率论英雄是一个彻底的错误,因为一个1%可以包含很少的东西,也可以
1 x0 |4 @ [1 u5 r0 r+ L包含太多的东西,同样的检出率,一个可以杀灰鸽子,一个可以杀Beast或××国外二线木
4 W& m9 |" G0 a7 _2 v L8 e马,你会选哪个?
0 Y9 C* a# U; O 虽然如此,但如果检出率相差太大,那就是另一回事儿了。Norton的病毒库是非常不
: ]9 N0 N4 H0 i" ~, G5 {) u全的,尽管在杀木马时与其它国外杀毒软件差不多,但在杀病毒时检出率相差实在太大。9 M" W* k1 R& D) j# ?7 r
在许多病毒库比较齐全的评测中,(不包括公安部)Norton总是在最后几名徘徊,远远落
# P0 h' k4 [. Z b" P5 J( a* S在其它老外后面,甚至在有次国外媒体评测时仅给了Norton6.8分,(满分10分,,AVP9分$ S' o7 V$ {, V" d2 h
)简直是……
3 x5 o( k' Y" S$ y$ G, p0 R( r 至于瑞星的病毒库也好不了多少,经常在民间评测中与Norton一起垫底,惟有木马库
6 I, g. ]& N1 S4 N齐全了许多,所以其杀毒能力可想而知……当然,瑞星杀Lovgate这些国产病毒的检出率显9 ]1 f. k) m# |: F( r: V$ y+ E4 y4 Q
然高些,但木马不同的是,病毒是会自我传播的,所以国外病毒在国内照样常见。于是有8 W$ z& M( |' r g- N
一次,我的一个用瑞星的同学在用Norton扫盘时扫出满盘的病毒……顺便说一句,当年瑞0 J. w p. [% n$ m5 Z
星2003时人家可是一周一次升级!在这个方面,只有KV与毒霸过关,其它的实在差太远了
; a% ?0 p( `1 \. r8 \# b9 T1 p1 g。7 \/ l6 x: e2 \' H$ `. k
二、杀壳能力) ^+ {3 Q/ J9 N* c
在我看过的评测中,基本上没有哪个把杀壳能力放在眼里的。事实上,没有杀壳能力7 j6 e( w! K2 x6 h7 y
,一个杀毒软件在面对木马以及病毒变种时,基本上就成了废物,有谁用马不加壳?有谁6 Y- ~' u- m9 A
改病毒不换壳?只要人家有意,你的杀毒软件一瞬间就可以挂掉。(近来网上有传言说加
: n, j& V/ L) R6 S了壳的木马自释放时会还原,这个说法是假的)经本人实验,各大杀毒软件杀壳能力如下) m: r% h5 p b5 l- G" J
:
% e$ c, B! A* {; d McAfee及大多数国外二流杀毒软件:UPX7 w# O8 q0 l& }# _. n5 I0 I& {: M
瑞星:无
$ S5 p8 Y) W' a. g* j 毒霸:无( t3 a: D; W# I. T
Norton:无
7 h" |' b6 ^) s1 h* k4 D# L) G AVP:大多数流行壳
1 I5 H; \3 W, V. l' F9 I KV:大多数流行壳2 q) Z3 y( D/ O5 n3 p
UPX是一种免费软件,所以支持杀UPX无需交专利费,如果一个杀毒软件连UPX都杀不了
1 a7 P5 t3 |; z, H0 x,那只能说明他们那帮人偷懒。当然,无论如何,没有杀壳能力的这些杀毒软件会轻易地: M( ~1 t/ J7 X+ E6 F4 Z! N# \
让你死翘翘的,所以大家今后必须重视杀壳能力。
) V7 X0 z2 Z# Y$ _
+ L; k# c) v% M0 N2 o8 B2 H! Q8 Y
7 V$ S! n0 _* Z% C; D6 ~; z
7 ]: U& m* p8 y! O4 a9 F8 I同样的木马,一加壳便是不同的下场+ V R: q) g, A- q; K
三、清除能力
' Q; G' p, Z- d M" ?* W3 H 不得不说,任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不 M* [5 a f; }4 F# O
理想,不过由于在杀毒过后这些文件都成了死链接,所以随便找一个清垃圾文件的软件就
6 @/ A5 x. b0 E: r3 Q5 i8 {6 b" z可以了。
' _, u# H, s$ C 其实关于清除能力,大多数的杀毒软件都差不多,不过倒还是有几个特例:4 t- w0 ]. \$ N: p
瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下,杀Lovg; A4 G0 n1 x! w ?* d# e
ate用了2天,杀某蠕虫病毒用了一周,杀folder.htt病毒用了超过一周时间也杀不干净, t! n$ I. f9 Z" G( ~" S( y F
最后只用搜索并删除同名文件却杀干净了!明显是跳杀现象。2 ]2 G, l# @. q
Norton则是一见染毒文件就删,实在令人怀疑Symantec的人是否学过汇编。另外Norton在
' c1 S- ?* I9 D% M撞上一个病毒在内存中的进程时,竟经常不会自动关闭,需要你手动关闭,而其它任何杀' b& e/ X w5 Z: \- c* |3 L: ~0 U
毒软件大都有此规则。$ i; |% _, Y+ ]6 q9 t) b4 |. O3 k: L9 I7 s
四、内存杀毒及DOS杀毒: }8 t) t4 o& [2 a5 l4 Y) K. z
当今国外杀毒软件基本没有再提供DOS杀毒的了,所以面对dll进程守护式的病毒木马
. T7 R0 {+ [' } x2 S就只能到安全模式下碰运气了,并且有时还会失败。相比之下,毒霸、瑞星、KV都有DOS杀' c) Z8 U; N' P8 C# m! y) I6 `1 p8 e$ `
毒能力,只是毒霸杀不了NTFS,KV可以杀壳。! m2 I" Y; v! D8 [4 }, ?! A1 T
国产杀毒软件都号称可以内存杀毒,但大都只是实时监控加进程关闭的换汤不换药,5 d. O, ], r6 l+ S; X8 j
杀不了dll进程守护,甚至不去检查调用的dll文件,等于一个功能没加,只有KV一个一个1 s- U! G# N% [# }) l. p
dll地检查,并有查到毒后反复检查内存及必要时自动开机检查的功能,dll进程守护的病% I4 l/ p$ s! ?+ [: q% e$ L3 g9 T
毒木马基本上都可以挂掉。实话说,只有KV的可以算有内存杀毒功能,其它的都是吹牛。' M5 u5 @: {. _2 v2 x8 a
; S; I6 s% h# v3 x4 t 五、实时监控+ |1 p6 X& A) |1 ?
当今的杀毒软件几乎都要吹一吹自己的实时监控,但实话说,没什么稀奇的:一是对; M# ?9 Z$ |0 _
进入内存的程序进行扫描,二是预读。(解压时查毒属于第一项)第一项没啥子稀奇,至
% E: {( Z. p9 R; l于第二项,国产杀毒软件的速度大幅超过了老外,的确可喜可贺。
8 r( N9 V( i* |/ h0 V 尽管如此,不得不说说KV。KV的实时监控技术,即“动态比特滤毒”技术实在是太强. n6 [. R8 r% l! E `) p
了。为什么我一直在用Net Transport呢?因为在打开KV文件监控的时候,KV会自动对进入+ D! N% e% _0 T4 |% V
电脑的文件进行扫描。如果是带毒的压缩包,KV会在下载结束的一瞬间报警,如果是EXE或) c+ l7 u5 y" b9 M# I5 N, s$ [
DLL等,那么有时才下载到一半就会报警。另外如果你用Windows搜索时开KV文件监控,KV
8 v) L. r( `1 h9 S4 v会顺带地扫出很多东西,(前提是你硬盘上有)上次我就是忘了这一点,结果把自己的黑
: J+ z5 a( I2 j( d/ [软库一大半倒进了隔离区。(开个KV在网站上防Asp木马,爆爽!)6 g5 K8 U1 P" d' s# Z
六、杀未知病毒能力
" X+ Z! c' Y4 q$ R$ Z- X 当今的杀毒软件对这一点都“非常重视”;所谓“重视”就是大肆做相关的广告;行
0 ~# u! N- s% l; B& G为判断、虚拟机法、智能跟踪……如果这些都是实话,那么面对一个歪壳压的病毒,杀毒
1 d9 v* V3 t( n" j软件们理应报警,但事实上没有一个杀毒软件做到这一点,这些谎言也就不攻自破了。当/ o' K- ~* f! N0 w8 B" {5 K3 Y
今的杀毒软件的防未知病毒机制其实只有启发式扫描,即仅仅是扫描文件中的可疑代码。- j1 U) _9 k) k. {- K
也就是说,如果解不了壳,再强的启发式扫描引擎也什么用也没有,由此,KV、AVP的表现$ R2 H' x$ v/ x9 U
大幅超过了其它的杀毒软件。在加壳病毒横行的今天,其它的杀毒软件几乎全是吃鸭蛋。# ^9 @' _, R8 O/ z$ ^
- [, Y. n6 j6 H3 _ 不论如何,毒霸、瑞星和AVP的误报率都算比较高,尤其是前两者,几乎只有误报纪录
) U2 y b. Q1 U$ b, p, F; z,毒霸的实时未知病毒检测甚至会干扰到已知病毒检测。Norton与KV到目前为止我也没发3 I5 h/ J# p& j8 Q- u
现误报,不过Norton的未知病毒检测也不乍地,只是比毒霸、瑞星强了许多。
?: ?: C2 D6 t+ Z 不看误报率,只有AVP与KV的能力令人满意,AVP自然不用说,人家可是启发式扫描的
) u1 s' S2 [9 Q) S& J' l* y鼻祖,具体能力大家也清楚。事实上KV也是非常强的,只是可能大家不知道,最经典的例
& {( h# x9 R; u$ x( _+ [5 H+ I& j子就是当年的KV3000不升级就可以挂掉冲击波!不过据说KV未知病毒检出率略低于AVP,也
. l0 D5 J' ]3 s5 c3 P4 J% K许这是为达到误报率为0所必须牺牲的吧。, i3 }8 Q0 |8 M$ T
大家注意,哪怕是KV、AVP,它们杀未知木马的能力也为0,也许它们一向都只是在研
1 z( {" i6 l0 ^) ` ]/ @; O; e% g究病毒吧。若要杀未知木马,大家一定要用****,据我实验,****是第一个采用行为判断法
/ d' R7 {0 Z2 q" v- b3 | l, Q的安全软件,同时有超强的专门对付木马蠕虫的启发式扫描引擎,对付加壳木马也非常有
% R( @9 f2 s! [9 n6 f6 z1 v( P一套,实为史上最强的杀马软件,曾被ZDNet评为年度十佳软件……如果你用过老版本的*
# ?+ `. G6 I# F. b( V***杀当今的黑洞灰鸽子你就知道了。不过这有点扯远了。+ c. R, k, r* G8 E9 C! J1 ~. I
七、速度
8 k5 B: Z* m1 u9 w 首先对毒霸的“闪电扫描”提出质疑:! k( Z" N3 ?) H
①有谁愿意为了一点点时间而仅仅去扫某些病毒呢?安全至上呀。, p1 A1 a# P) ~4 g
②病毒经常是相互附身一齐出现的,这可是常识呀。: M- t" y9 r1 r) x
③鬼知道它扫的是哪100个病毒?
# z. h5 p' T4 U “闪电扫描”顶多是一个花哨的噱头,基本上没有人用,大家不必理会它。大多数杀8 I5 g( u" u" N8 P% _
毒软件速度都差不多,可以接受就行了,不必排先后。不过AVP由于支持杀壳,所以在开了
; U8 @* X/ e9 }杀壳后速度慢了很多。但瑞星令人实在受不了,慢得甚至出现了专杀工具速度跑不过其它
# v) S3 R6 y" {2 R& g" ?5 L完整杀毒软件的奇特现象……。KV还是令人佩服,又支持杀壳,速度仍然很快,着实先进
. y i1 M7 D8 h8 B" y& r0 S8 d,不能杀壳的毒霸扫再快也无法动摇这一点。4 M+ d. v/ I; w+ ^* G2 F
八、集成度5 @6 }2 q% k0 r0 W5 K5 u, d: U
老外们在这儿不得不出局:不支持QQ?Game over!
1 [8 y+ o, M- c% c KV的集成度肯定是最高的:有了动态滤毒,KV等于是支持了一切聊天软件与下载软件
% J! \ X5 e0 I6 u. |3 j,同时效率最高,名义上不支持QQ算什么?
. L$ F( @7 }3 c6 n5 p( [& ^ 毒霸及网镖在一次死机后图标全会消失不见,极不方便使用。瑞星用DLL进程守护解决
$ W8 [! k( p3 a3 i i了这个问题,不过同时也带来了无尽的资源占用与冲突问题……: z) c& q$ J' v$ X' s1 a
九、压缩格式查杀支持(出于实用,我们只看ZIP与RAR)' h: D W# I6 F$ y
KV:普通ZIP、超真空ZIP、RAR
8 w* H% n4 B; J0 v5 m. h AVP:普通ZIP、超真空ZIP、RAR) q) J* t- ^" }# a
毒霸瑞星:普通ZIP、RAR) s. b+ D) q2 v* N7 y+ H
其它大多数国外二流杀毒软件:普通ZIP
7 A/ Q5 J% U! P- I4 S7 K 大多数外国人都不用RAR,所以Norton与McAfee等都杀不了RAR
: C! P1 A9 b# i1 P. { 十、资源占用与冲突: R- O# r- D& S* @8 V5 o
KV与AVP资源占用最小,获得广泛好评。Norton毒霸一般般,但开了QQ后Norton资源占
f0 ?8 W/ l5 C) `, h' F用暴升……瑞星这方面问题极严重,不仅是当之无愧的冲突王,也是万“死”不辞的资源
/ \6 t, m4 q, N" C. `$ U! F占用王,有些配置稍逊的电脑在开了瑞星后,(只装瑞星)弹出右健菜单竟需3—5秒……另2 [, Z& P+ X1 m4 L, w: Z6 s8 `
外好象有一个说法,就是装了瑞星后装其它杀毒软件,基本上都会起冲突:装毒霸后不开实: T% m2 i8 P7 I7 J
时监控系统也爆慢,网上有人把Norton这样装则是根本进不了系统。当然也有例外,就看
8 Y' X$ C# g( Q9 s: n你的造化了。
! `$ X c& v$ o. J' `: D; J 总结:Norton实在太废,除了公安部和某些菜鸟,几乎是人神共诛,连外国同行都不
, d8 y6 s3 P i6 Q: B以为然。(6.8分,妈呀!)虽然Norton是实时监控的鼻祖,但却不思进取,活该。大家若
7 v& @! W! i D2 @9 ?" J6 m一定要崇洋媚外,那就请用AVP。不过我一开头就跟大家讲得很清楚,非本土化的杀毒软件, g5 o9 Z a4 d9 ~0 g4 {+ `
的下场嘛……' ?& N: [6 H3 {9 v* h- X+ Q
毒霸的表现勉强算二流,面对加壳木马还是太嫩了。瑞星则是我见过的最废的杀毒软8 o' L$ a0 ^8 m4 E
件:毒库不全,耗资源,易冲突,不杀壳,速度慢,跳杀!这年头民间防病毒软件非常多
9 G1 @5 ^) Q; Q3 p,大的有十几兆,小的只有几十KB,没有一个有跳杀的问题,扫上7天对它们都算神话来的# k# |7 \3 k7 l
!毫不客气地说,这一点可以让我们确定,瑞星是全世界最废的杀毒软件——谁不知道跳! o" ~: Z( K( G3 k
杀意味着什么?. r) T$ S0 S' \0 f* N
至于我对KV的评价,也绝不是一家之言。有许多国外媒体都在吹AVP,但这并不代表A: }6 A- z4 b- S, V a4 F, Y
VP比KV强,因为大家都没见过KV,惟一的例外是日本人评了一次,结果大家也知道,KV获& q N* K( M9 B2 o$ k6 Z' z
胜。与此同时,国内大多数的黑客专业网站推荐的也是KV。这跟本文的结论是一致的。KV+ V* N5 j. J, ]# J
如果做好了国外病毒木马的收集工作,届时一定可以在国外压过AVP的风头。+ A9 ~1 a* Y8 L0 U% S7 O
我个人认为,本篇评测,是当今世界上最科学的评测之一:
" P, X% T- `. [% s* g5 }0 _ 1.一个评测如果只看重病毒库,那么只说明这帮人压根儿就不知道木马加壳术,不认' K* q! x$ F G# k I
可加壳后的无敌木马的危险性,甚至连瑞星的跳杀问题都看不到!
2 t3 M0 h2 I; q2 O4 h/ {/ y 2.一个杀毒软件的能力是有限的,并非一个数字可以代表得了,正如水浒英雄的能力6 O$ S) c, b8 q' A3 f! y
并非那些“水浒人物卡”上的几个数字可以代表的,另外国外杀毒软件杀国产木马的狼狈* Q/ l9 j3 Y6 H- M2 T% l, K# J
相与评测时得到的检出率与分数完成不成比例,也能很好地说明这一点。一个真正合格的3 R& x& C) z) X, {4 H
评测应该是把各个杀毒软件的优点缺点都列出来,让读者自己去按自己的需要来判断,最" ~- @0 e4 ]7 X% O
多分不同情况给它们简单排排名。' N% v' k- T! D' ^' E9 d% p
3.一个评测如果只是泛泛而谈,而不分出杀毒软件的优劣高下,这只能说明这是一个
4 U& t( s1 v% E: y) ]广告大串联,而不是什么评测。本评测中出现KV一边倒的局面并不能说明本人的方法不科
. C& F9 u5 X% O学,反倒说明其它的评测根本算不上评测。6 h9 e& e* T; ]0 Q5 P
4.最重要的一点,本评测一切论据与细节都是公开的。(比如病毒名称,评价原因)
! v5 p9 W) @! D7 t就算去除一些口说无凭的个人经验,只剩下大家可以自己操作自己实践的部分,大家仍会4 s6 s; J2 G8 K
得到同样的结论。本评测的真实性无可怀疑正基于此,大家尽可乱试。
: C# h& Y4 r/ b# u3 j 如果仅仅是做个评测,那么离“黑幕”就差太远了,但是事情远不止这么简单。我认
; f# |) E) P; C3 C, d8 S N为,如果压在KV头上的是AVP,我认为大家还有些讨论的余地,但我们可以看到,排在KV之
1 j7 v- ?9 @/ B4 B前的尽是些垃圾:毒霸、瑞星和Norton。它们的流行与中国人随波逐流、轻信广告、做事; W9 ~& B* P' j! q
不细究这些毛病都有关,这自然不用说,但我认为最重要的原因就是公安部的评测。% H- M y+ P2 t6 I4 Q& g1 U
公安部的评分是这样的:毒霸95,瑞星95,KV90,Norton85,其它的杀毒软件依次列
- F& u, q0 k& M* N在后面。所谓检出率则是:毒霸100%,瑞星100%,KV100%,Norton9x%,依此类推。2 F. \( r# [ P$ |4 P( ]
实话实说,公安部的评测是我见过的最假的评测,也是最害人的,因为它影响力最大" m# \# t1 f G
,随便就可以扯出一大堆疑点:- [ w z! u6 {7 ?1 I8 d
1.KV那么强的引擎,凭什么排在毒霸、瑞星后面?如果说毒霸、瑞星恰好撞上比较“1 K5 d: Y2 g3 q& l
适合”自己的病毒库,那还好说。但既然检出率都是100%,其它性能KV则是全面超越毒霸
% ?; v0 x/ B2 \) o、瑞星,凭什么KV要比人家低5分?# Q# `% ?# n X2 f7 {3 {3 h
2.作为史上最废的杀毒软件,独一无二的冲突王、资源王、跳杀王,瑞星凭什么遥遥
, E& g1 Q% {' ~# k( M" x$ A% a领先,并列第一?
0 f' T2 j8 A0 @3 d. ` 3.作为国内市场中病毒库最不全的杀毒软件,作为一个在民间评测与国外媒体评测中
/ h9 ]" n& b& S, N. k4 \ r- S屡次垫底的杀毒软件,Norton凭什么比McAfee、PC—cillin、Panda这些家伙的分数与检出+ w3 K0 A1 C/ a3 ~
率高?大家记住Norton当年的分数:6.3分!& \/ O* }" Q5 R% {* k( j# w
4.凭什么大名鼎鼎的AVP不参加评测?
j. j) C5 v+ Z. T3 J7 q- U9 T 5.凭什么公安部几乎只看病毒库?虽然民间评测有这样的,但官方评测从来都不是这) h; I9 V/ Y! f- z$ V% K
样的。* i& S# M, c$ g
6.凭什么公安部把除了病毒库之外的评分标准全不公开?. E3 D8 o8 M7 J% O
7.凭什么公安部全盘都在暗箱操作?5 E* l5 Q9 L% J! b. T
8.凭什么会出现三个杀毒软件同时得到100%检出率的情况?全世界的杀毒软件评测,; m) V+ m5 l2 L" R, L/ v3 f+ u
根本就没出现这种情况。要么,就是公安部病毒太不全,要么就是人家想搞“民族产业振! s1 f- c- ~. l. n
兴”。
2 Z& Z9 O' Q* z* p……3 G- S& {% _0 _* R# |; c. ?
疑点多到了让人几乎可以窒息的程度。研究一下杀毒软件的历史,发现公安部评测实+ X7 ^% H; b' ` a) O
在害人。
: Z( d R& b7 a! a H0 Q7 g 众所周知,KV是早期中国最著名的杀毒软件,一度市场占有率遥遥领先,今天却落到( z/ H6 l& t6 M, `/ T2 W
了这个地步,难道是技术问题?KV的病毒库一直是全国最全的几个之一,未知病毒查杀当
% o+ j0 b) }+ M# b' v1 K时在国内更是无可匹敌,而且早在KVW3000时代就可以杀UPX、Aspack甚至WWWPack这种偏壳
3 R$ ]( w! w8 k% M" V# h,恐怕只有AVP称得上对手。虽然对Win2000支持不好,但当时又有多少人用Win2000呢?那
u9 d0 C. X, d- }, I时KV的UI的确很差,但有些人认为KV那时用的是KV300的引擎,则纯粹是以貌取人,上面说
2 U' f! v6 @; ]得非常清楚。然而公安部从那时起便不给KV好脸色看,KV于是便一落千丈,落得今天这个
( G0 l* ?6 Z3 {0 E8 T I地步。(硬盘炸弹固然也是一个原因,但今天还有几个网民记得这件事?还谈何影响力?0 Z; M; I6 P; ~: ^- n
再说,公安部做的可是评测,而不是历史清算)可是直到现在,毒霸、瑞星除了支持NT内+ R0 O6 S& C6 `5 L
核实时监控,几乎什么都比不上当年的KVW3000,足以证明公安部评测的胡闹与破坏性。前 h8 R5 v" k* b D5 F. Y5 n
面说了,KV的文件监控本来就可以达到QQ、UC、POPO等防毒功能,今天却在KV2005中特意
3 x1 r: [3 n# B- `: t1 q: C% V8 u' l“加上”相关功能,不得不说是一种无奈。2 T5 w3 f6 b) ]8 r- n) V, w
KV的下场并非最惨的。有些人可能还记得当年有一个很著名的杀毒软件——行天。行' C8 C X! R6 Y) [7 G# E" ~
天虽没有KV的强大引擎,但病毒之全实在是出类拔萃,几乎一直是全国第一,而其它的任
; p/ C4 z: |* z何方面也不逊于毒霸,跳杀的瑞星更是不用说。安全之星XP(VRV)也一样,至少人家比瑞% {( x$ C, V, K* I P
星毒库全,速度快,又没跳杀问题嘛。可是就是这样两个杀毒软件如今却销声匿迹,公安+ ~; I- W6 |: ~- N5 |
部显然脱不了干系。
% n" t) p' ?- c6 D1 m$ a3 h在这样一个节骨眼儿上,我不得不为KV说话——如果KV哪一天像行天VRV一样被整垮,我们 h" A% x& G5 q/ D2 V3 f9 H
中国还有什么可以拿得出手的杀毒软件?我们如何面对微软的进军?我们如何面对今后出( |* {7 \9 W9 `+ l, X$ M- j
现的彻底本土化的国外杀毒软件?网民们轻易相信广告固然是个原因,但如果没有公安部
1 Z( [. D. H& ?的评测,网民们会这样吗?4 o+ h9 ~ E2 l9 P( C* a2 e7 _
一切疑点表明,公安部评测并非乱测乱评,而是有非常非常强的倾向性,是明显经过" _$ s2 ~2 [, l2 A
人工操纵的非常明显的作弊行为!毫无疑问,这后面还有太多的故事、太多的后台、太多
. V$ z9 s: _: o; O" @" \: `' a的黑幕、太多的权钱交易、太多的无耻。具体是谁在操纵,我也不知道,也没办法知道。' l5 o3 |- o7 U( t: `
我只知道,它让三个垃圾占领了中国80%以上的杀毒软件市场。公安部评测,理应人神同诛
. z; ~0 [4 U& }- R9 @6 E# W!
9 p7 Z. {5 {7 F& K 公安部固然要负主要责任,但虚假广告照样脱不了干系。
1 h6 z1 O, ]6 p 瑞星的瞎吹倒不多,但也不是没有:“第五代国际领先可扩展引擎”——作呕!不过1 I) z6 e& r3 I+ Z4 k
瑞星还算是比较“谦虚”的,比如防未知病毒能力就只敢加个“瑞星专利”作形容词,“7 T- c5 y. |# F5 e4 j
清除病毒”之前就不敢加个“彻底”,算有自知之明。* m1 r( x* U8 n0 L& {. c
Norton倒没做广告,到底是怎么流行的,除了OEM大家也清楚:谣言可畏啊!
( w7 D" ]4 P/ ^0 W: S- W 最最最最无耻的就是金山了,实在是令人发指!不信请看:( g y6 G* M2 |0 J Z. n& F
1、把你的金山毒霸包装翻到背面,一条一条地看:; R5 X% S; \) i: C1 V' ]3 L; |. Q2 h
①“病毒处理速度>>病毒传播速度”这显然是瞎吹。
5 J( }% t; Q+ Q0 w! e ②“网页防毒,有效拦截……”这年头窗口炸弹写法也就几种,随便一找就找到一个
! J; `$ e3 J7 E毒霸杀不出的,(KV与Norton都杀得出)至于广告拦截更是效果几乎为0。你敢用这玩意儿
$ @3 u5 A4 u! u% V h; c拦网页木马吗?) `& R( s4 I1 N% Z) I9 m7 d4 `
③“闪电杀毒”前面也说了,花哨的垃圾。
. I+ o, H! H% M% s ④“双引擎杀毒”金山的说法是:国际引擎是AVP的。懂一点杀毒软件的人都知道,双
5 N: J. F7 J+ \" g重过滤分析是100%不可能实现的,否则毒霸耗的资源肯定不止那么多,速度也不可能那么: v* k( v: d$ |- l. `) ^. s
快。隐含的国际杀毒引擎杀国际病毒效果好的说法更是有违常识。同时,不能杀壳,不能3 [: H, \7 {9 Q, g8 e/ F9 B2 B" ^
杀RAR,脚本拦截与杀未知病毒烂,这根本不是AVP的作风,去掉了它们,AVP根本不能称之( r" [: ^# J! i' V Y* j, O& w
为AVP。再说AVP风头正盛,哪会干出这种卖引擎的傻事?
. M* m$ m( z. r1 R1 f 依我看,有三种可能:
4 W5 A* o0 E! P/ W, t0 i/ ]9 i (a)金山只买了一小部分引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒: n" l/ q2 n' W" N1 I
,等于没买。: Y. P9 }4 l2 X+ A2 d
(b)金山只买了一个老版本的AVP引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未
" Y# ~7 z% e) T! o4 W知病毒,等于没买。这还是有可能的,因为毒霸老早就在吹它,时至今日,甚至懒得用一
- X; e/ W, @6 l; G/ Q( N个“全新”作修饰。如果真是这样,我倒想给金山提个建议:买一个KV300的引擎,然后就
" O! I" I/ w* u) A0 v可以号称集成了KV的引擎了……
: [% d. `3 ^9 b1 S+ q: p1 Z+ |; f) s (c)金山仅仅买了个名号,这就是真的没买了。# e6 R" [4 M- b. k( _5 p+ P& s
这三条说到底就是没买嘛。
- @, }1 y( a- p ⑤压缩格式查杀:别的我没追究,反正金山号称可以杀RAR很久了,但直到推出增强版: C& A. E5 u' t5 h6 K$ d1 n
时才兑现,实在无耻。这个不用多说,大家一试便知。
; m* s8 b( W& L' I2 N⑥内存杀毒:前面的评测里讲得很清楚,不用多说,反正很多人都有毒霸报警却发现狂点+ P, \; J, K+ X* G- M: n
也清不了毒的经历。不能内存杀毒也罢,金山竟敢再加一句“带毒杀毒技术,无需启动到
V$ l% X* u! ~9 I; x# U+ g* b a7 QDOS状态,直接在Windows环境下清除病毒”,真是厚颜无耻。每当我向金山售后服务问起
7 l. B4 g/ o+ K# p4 d这个问题,人家都抛下一句话:“你到DOS下面去吧”。可你要知道,毒霸DOS版杀不了NT3 Y% [- m( C% \+ I1 s
FS呀!
4 c" f) b* q: S ⑦硬盘修复:修复CIH与Opasoft造成的破坏我倒没话说,虽然我没试过,但号称修复5 a6 T! g& B; m! x! e
Hdbreaker造成的破坏就肯定是胡扯了,实在是不自量力,我甚至怀疑这帮蠢货有没有见过 h* x. I9 L. Z ]% o
Hdbreaker。如果大家嫌自己电脑全是垃圾,也可以试试,反正我是很想在金山的每台电脑
- R R- Y; f" E, t9 w* F里都放上一个Aspack加壳的Hdbreaker:)/ c& D! W1 |/ X1 b! z
顺便骂骂网镖:
8 v5 _( A$ D, D$ E5 ~ ①作为一个规则过滤式防火墙,规则设定选项是它的灵魂。网镖的规则设定选项直到0 a/ ]0 w" n6 r$ h6 z
今天也是最少最不全的,连设置繁琐的瑞星防火墙都比不上,还敢叫“个人专业防火墙”2 ~0 X% m' X6 s
?我宁可用Windows自带的防火墙。
1 I' L5 P: n. {0 O* \ ③很多人都知道,新网镖有一个功能,可以自动拦截木马并报警。这功能看来似乎有/ ?4 T3 C' p' D) v* I. p1 W
用,但实际上是屁用没有。试想一下,网镖可以准确地报出木马名称,这肯定是人家动用5 S. O! `% m w" k; \0 ~: r2 ~. C
了毒霸的引擎杀出的已知木马。要杀便杀,金山却多此一举,实在无聊至极,是明显的作: T3 o; |/ c) k1 o9 \9 o5 y, A4 n
秀行为。: Y8 z0 Z% d. h9 l4 ^8 C5 V- T
④金山网镖几乎是一周升级一次,但相信没有人发现过其中有什么变化,肯定是假升
" `3 i+ S9 d' j. Y6 q _级。惟一的例外就是某次升级后,网镖会对冲击波报警,可我等早就打了补丁,要它作甚
: ~7 ~' l3 e; R) e5 n7 C4 B+ X?可是这个“内建规则”哪里都没法把它关掉,只好让它产生一堆垃圾日志。
% f3 q0 b" U' j 大家如果要用规则过滤式防火墙,那就用天网,试用版也行。如果你不嫌麻烦,那就" H% A# d3 S" z. s, h! p- O6 z* |
用BlackICE。不论如何,就是不要用网镖,又花钱又受罪。! m5 O1 j+ ]$ K" P% I$ N7 N3 e
2.金山那帮售后服务的人实在太菜,以下是经典问答:
' j- s$ j+ ]0 a& e# @* L “毒霸怎么杀不了RAR?”“你到命令行下试一下,应该可以的……”,“毒霸怎么杀3 |, N g% \" F; }) D
不了××病毒呀?狂点清除也杀不了耶。”“你到命令行下试试……”(小子,你们那个
8 M2 m' e% E4 W9 E* x, O+ P很牛的“内存杀毒”呢?),“听说现在加壳木马很多耶,毒霸杀不杀得了?”“(有点
4 G8 y6 [3 C( }4 k! R2 K4 m犹豫地说)应该可以的……”,大家还是自己实验的好。6 r Z5 D. c& J. k( G$ M9 l$ h) x v
3.有了以上几条,金山也仍然不能在众多骗子公司中“出类拔萃”,不过这一条可以, \6 X" i; q' R9 c/ M
改变这一点。
# z4 G- f& H4 g7 J* k9 D( X: a 众所周知,毒霸6增强版加强了杀木马能力,号称可以增加查杀15000种木马。可是大
4 s2 p% p" D3 O& |' {家是否想过,这多出来的15000种木马是从哪儿来的?是从地里冒出来的还是从天上掉下来
6 V& l9 e# B7 O9 m的?显然都不是,金山获得木马的途径只可能是来自上报。这也意味着金山扣押了大量的# t" j6 v4 p/ h
上报木马,以便进行这样一次市场炒作。本人这个说法绝非口说无凭,因为我与我的许多
. y& n+ w7 b3 ?. s+ B: ^: C3 d& D朋友都有相关的体会:(其实根本就不用这么多,金山的广告就够了,自己仔细看吧)
X/ \. |2 e4 a+ z; ^; I
! t: O7 Q% J9 e. | ①半年多以前,自己在电脑里抓了好几个木马,毒霸杀不出,便去上报。结果金山回
! s+ z+ f) }. z: ~: Y* XE—mail说已有人上报,要我等。我留了个心眼,过了几周便把它们拿出来杀杀,可是毒霸6 v c- u- z) ?/ d4 f
一直不报警。这几个文件我已经弄丢了,但我希望那些给金山上报过木马的人把上报的木
; }* g: j( ~' L5 F马用未升到增强版的毒霸杀杀看,相信结果很多都是一样的。6 `' q6 M& n7 D, r/ Z# w4 Q( G
②我有几个用毒霸的同学,在升到增强版后的那几分钟,电脑竟不约而同地报警说发, q& f6 h4 x5 g- D* P/ j
现木马。由于各种条件的限制,我只能搞到一个样本,不过相信这种情况一定为数不少。- X. m+ K4 V% A7 G3 [
大家千万不能上金山的当,像我那几个同学一样,还以为增强版的能力很强呢。7 k2 a( X# R6 B# w, e% ^& _- O
不管怎么说,毒霸的木马专杀本来就垃圾。木马专杀仅仅可以检查EXE关联与AUTOEXE" Z0 A0 P5 X) J3 n4 n$ r
C.BAT以及CONFIG.SYS,比民间的“木马分析专家”差了几千倍,不能杀壳更是让木马专杀
- |8 Q' ]6 s) E9 \成为了废物,加上扣押的15000种木马后,病毒库齐全度才达到KV的水平。, l8 i2 @* G1 l1 a$ B+ Y. ~" m
“木马专杀”肯定是一个蓄谋已久的阴谋:全球每天才诞生200种病毒木马,就算它们: ^4 e1 I V9 Q w9 Z# _. W/ Q! J
全是木马,就算它们全部被金山收集到,那金山收集15000种木马也需要2个半月……而现3 |! h# E3 ~; d2 ]1 ?0 l/ o6 S
在金山更是把15000改为了20000,所以……( n+ T' \9 ^9 T+ \0 O! I# ?* T% x
不得不承认,金山公司在国人心中的地位的确很高,但那仅仅是因为人家最早出现,8 j; g3 W& e6 w! O2 ?0 W: z
而这并不能说明人家的产品好、信誉好,那只是国人的想当然。在雷军上台的这几年,金
* g1 c' d7 R r山广告的确做得很火,但软件的技术几乎没有长进。这就不止网镖毒霸了:金山词霸2005
( m1 n- i5 Z. Z仅仅是2002版换了个界面与发音库,词条中的错误却一个也没改;金山快译虽号称智能引' g7 d" M3 b# \% \6 t$ X8 o
擎,但翻译效果却一直未超过Office2003,而且是差很远,几乎只相当于把一堆词拼揍起6 P! @$ Q; v- S+ _8 c! a, M6 }
来,据网友说,金山快译2005会把“Counter—strike”译成“计算机罢工”——妈呀,人
2 }( \3 h& Q- c5 z6 q# ?家就是翻译成“柜台罢工”,我都不会介意的,可是“Counter”怎么跟计算机扯上关联了
0 l% C6 E% E9 C% F. H# ]+ d?至于WPS,我认为也没什么好说的:WPS花哨的功能越来越多,可是时至今日,WPS仍未实
4 E6 n! {, y. K$ B$ }! B. y现电子表格中数据同步变换的功能,(即改一个数据,相关数据自动完成更改,这个功能
8 ]' z" [9 ^4 X: e1 {" X: v是必备的)仍然需要大家自己一个个手动更改。而此功能在Office里面早已实现,这很是
# x0 k# F: z# b说明问题。# E% K6 R6 R* U' H% t, Y
以上的说法并非本人发现,它们全都是网上已有的说法。综合起来,大家便可轻易看
* D! l5 Y0 q4 J) ^/ z' v出金山的底细。
1 q9 A7 L: j, S% @2 ^# C/ G, W 当今骗子公司虽多,但也没有任何一个有金山这样明目张胆地坑人的,尤其是“木马
! r8 I v r* j; r+ |专杀”一事,炒作疯狂,全国媒体一齐尽献媚词,其设局构思更是伟大到了史无前例的地
( i' W$ b: I) q# R步,那个大名鼎鼎的网E拍又算哪根葱?知道有人会想说当年江民的硬盘炸弹事件,那的确! w& O9 m( a/ ?' X3 G6 p
也是一个非常恶劣的行为,该骂。但当年的网民并不多,所以上网下载升级程序的受害者
8 T# I. d3 m6 o: k) `并没有象大家宣传的那么多。再说那只是针对盗版用户的行为,(我没说这是合理的)而
8 N" \' r) N5 L金山则是拿众多信赖金山的正版用户开刀,论动机金山显然更加无耻。硬盘炸弹事件早已" q' B9 ]: p# c! W( W3 d2 Y
被公布于世,金山的“木马专杀”事件更应被公开在光天化日之下。至于两害谁轻谁重,; c. G9 f0 D8 D* @! S" S
那就是另外一个问题了。( ^* p9 f6 I% _& O; r$ s
但是,大家不要忘了,以上一切的一切,如果没有IT媒体的撑腰,都是不会发生的。
/ m# F+ E% o4 ]: e: J2 p. `) F4 ]) N4 P大家不要把当今的媒体看得多神圣,多有光彩。人家不是搞舆论监督的,搞舆论监督的也8 F: c# q& G# V" E3 v: N
不懂电脑。当今的IT媒体在面对谎言时,从来都没有打过头阵,从来都只是论坛的跟风者
, q. E/ y% q0 J& p0 y:3721、网E拍,它们全都是在网上论坛被骂得一塌胡涂的情况下才有媒体出来说话,有些
) B+ t# g# m. E" n/ e m4 ?3 J: p媒体更是直等到3721推出新版上网助手才出场,趁此机会做“评测”说3721根本没卸载方4 `( K" o b$ I& U$ J
面的问题。(鬼知道这年头他们收了多少金山瑞星的广告费?)1 \9 }0 [, ?1 J% i' }4 p4 f+ K
他们从来都缺乏说真话的勇气。当金山瑞星“论战”之时,他们几乎是一言不发。不
0 ?+ ?/ q$ i( `" ?) [; p) Z要以为这是什么“清高”或是“公正”,在金山瑞星无数漏洞百出,毫无水平的“论词”
0 P& v+ s$ b! d: ~) ]" w面前,真正丢脸的应该是他们,这种无作为对于一个真正的媒体来说就是同流合污。这些
4 S, }9 f! P: L! V8 Q9 Q8 g& H4 }! E年头,他们又不分青红皂白地给了毒霸瑞星多少虚名妄词,多少沾着读者血汗钱的“编辑
& x4 G% `% O0 t7 ?5 M* h% C选择奖”。试问天下谁是真枪手?他们才是!- | z& N& Q, k& q; o$ g( C
上文中许多发现其实并不是我的原创,像瑞星漏杀问题在有些论坛上早已有人提出,: y# q. O1 m4 x/ l0 K
可是至今日,仍没有媒体敢提上半个字,足以证明他们的懦弱。看看他们干了些什么吧,! B; u, t7 B# p- W9 x) ?
整天仅仅是唱唱瑞星给它们的那首老歌:“半个月以来,病毒A和病毒B这两个病毒值得注
2 n4 @8 T& v. _+ w- H! M1 @意。病毒A试图/会/除了会××××。病毒B(则)试图/会/除了会××××。可以上网的8 J: x/ @ c( U! U. ~$ f
用户推荐采用在线杀毒方式,快速查杀这些病毒,也可以使用单机杀毒软件2004版,局域
0 {5 M: I' n j) R网用户最好能使用瑞星杀毒软件网络版来彻底清除这些病毒。《瑞星在线杀毒》无需升级- C8 P. }/ {; k4 i' c
、《瑞星杀毒软件2004版》和《瑞星杀毒软件2004下载版》每工作日常规升级,遇紧急病
" w, O, v0 h; z: R ^: ]2 m毒第一时间提供解决方案,每周升级的新病毒总数不少于400个!截止到×月底瑞星杀毒软; u S3 j, Y% g! g+ K
件将升级至××.××版本,望广大用户及时升级。如遇病毒,请拨打反病毒急救电话:0$ R' o5 {' p. M* f ?$ k8 Q
10—82678800或使用瑞星在线杀毒: http://online.rising.com.cn”这堆破玩
- n- s6 I6 C) X6 x) D+ f. c! }, Q意儿对我们有何用?
# o4 e' B% P) g9 j/ d 毒霸瑞星的地位并不是真刀真枪地干出来的,它们靠的是无尽的谎言:媒体的谎言,
1 E; s$ y& g" X$ P! @公安部的谎言,它们自己的谎言,颇有中国传统的“官官相护”之形。这正是看似简单的9 z* n; E3 K, g
杀毒软件背后不可告人的黑幕。
" S' t. r: i& P5 x(以上观点只指截止至10月初的现象。同时由于取证时间较长,难免有疏忽,敬请指出)' D$ N6 X$ y/ Y. ~3 |7 o! P8 a; h
申明我不是江民内线% A b# M& S+ L7 r& c
[此贴子已经被作者于2005-2-20 19:43:19编辑过] ' v4 y* |4 p9 J# r' \
|
|