|
6楼
楼主 |
发表于 2005-2-20 19:42:00
|
只看该作者
【转贴】杀毒软件背后的黑幕
9 i( s6 |/ H) z4 B2 j4 r5 [* b$ y4 n: n. `: W L: m% |$ X
杀毒软件背后的黑幕——中国最严重的信息安全问题2 a6 `3 Z G. u& v
翻开2004年第18期《大众软件》,那个杀毒软件市场占有率排名让我百感交集:毒霸9 {0 m: k( n/ _ a* N
38%?瑞星29%,Norton14%,KV11%……,不要以为这只是几个简单的数字,这后面有太多: Y! N7 a6 f+ v5 d& J2 s5 u
的故事,一时,竟不知从何讲起。这样,我们先看看各个杀毒软件的真实能力。(本评测
9 N# v% x7 t: D$ v ^中KV指KV2004)
+ A8 e7 c( I' D3 e* _4 u k 一、病毒库
) X2 x! K/ {2 e, ~7 }$ @ 这些年头看过许多评测,有民间的也有媒体的,几乎都是以病毒库是否全面为依据。) y9 y% K: k( B0 D7 n6 V
这是非常不科学的!暂且不说别的因素,我认为用杀毒软件对一堆病毒木马一通乱杀最后
- n q; S7 @5 B2 S# A. r* z仅仅以检出率论英雄,是一种对读者不负责的数字游戏。. j, N6 s. X) D q' Y2 o- @8 _
举两个最简单的例子,你有用过Norton去杀黑洞2004吗?不说别的,就说最有影响力
' F2 W" W {7 D的0815版,Norton也是怎么杀也杀不出。这完全不是什么巧合,Norton如果杀n年前的经典
" B" ~9 F. C: ^- ~, a" ]' S木马冰河84,也还是杀得出来的,只是会在隔离区里加上两个字作注释——罕见……: @1 `/ ?) A/ R/ i$ R) l0 _
Norton是一个非常典型的例子,因为在这个方面的问题Norton是最明显的。不过其它
. H' }8 D$ _! {" _& `: Z的外国杀毒软件也好不了多少,哪怕是那个公认的杀毒王兼升级狂AVP,大家拿手上那帮大) l: P; q& o; @- d* A7 x
马小马自个儿试试吧,保证叫它们死得惨不忍睹,AVP那么好的引擎又有何用呢?(据说当. \7 D/ y! Q+ [8 c. p; `
年因为Pc-cillin杀不了CIH的某些国内变种,所以有人就……)7 r7 u9 O) w* W @& k" L
就是不算木马,各种蠕虫变种也够这帮老外受的,其中最典型的就是Lovgate系列了。( n+ E: U/ c& ~% v8 ]& K0 ^
有些用Norton的单位就算是天天更新,也总是不如它的变种来得快,甚至面对有些n年前的
, w6 T9 A0 k- Y- ]& C! C国产病毒,那帮老外也一声不吭。
# X( _, V1 c% ]" T7 }2 C 综上所述,我们只能得到两个结论:1、面对众多国产病毒木马,外国杀毒软件只是一( x7 V l$ v! r8 `" V t
帮废物;2、以检出率论英雄是一个彻底的错误,因为一个1%可以包含很少的东西,也可以
0 q7 d! n' j& Q A9 ?( M包含太多的东西,同样的检出率,一个可以杀灰鸽子,一个可以杀Beast或××国外二线木% _8 u4 A, m0 I3 F; Q5 t
马,你会选哪个?
) {, w5 A5 u- C, ?$ c+ N 虽然如此,但如果检出率相差太大,那就是另一回事儿了。Norton的病毒库是非常不# K f% f9 r! L3 {3 I* s
全的,尽管在杀木马时与其它国外杀毒软件差不多,但在杀病毒时检出率相差实在太大。
0 J# c4 M3 @ I9 J6 A+ K7 _在许多病毒库比较齐全的评测中,(不包括公安部)Norton总是在最后几名徘徊,远远落
( |# }" Y1 I( f& w在其它老外后面,甚至在有次国外媒体评测时仅给了Norton6.8分,(满分10分,,AVP9分
$ t; @) [2 S$ @* z)简直是……; ]; s( ?/ r; b2 D8 Z" e
至于瑞星的病毒库也好不了多少,经常在民间评测中与Norton一起垫底,惟有木马库
3 T* D. U0 ^5 B& ?+ T' G0 m齐全了许多,所以其杀毒能力可想而知……当然,瑞星杀Lovgate这些国产病毒的检出率显
: C! A! w4 ^# |& U* V5 Z S3 b' a然高些,但木马不同的是,病毒是会自我传播的,所以国外病毒在国内照样常见。于是有! C7 \8 ^7 [1 P+ T0 i8 v9 v2 v
一次,我的一个用瑞星的同学在用Norton扫盘时扫出满盘的病毒……顺便说一句,当年瑞9 ] P4 ?4 F" H! r
星2003时人家可是一周一次升级!在这个方面,只有KV与毒霸过关,其它的实在差太远了
9 K& J/ S7 k! f7 [。
?. e! u# Y4 E7 | 二、杀壳能力
: ^( D4 R- y ` 在我看过的评测中,基本上没有哪个把杀壳能力放在眼里的。事实上,没有杀壳能力/ A- R+ g3 m4 f: x) m
,一个杀毒软件在面对木马以及病毒变种时,基本上就成了废物,有谁用马不加壳?有谁
- O( x' c' e, X- e改病毒不换壳?只要人家有意,你的杀毒软件一瞬间就可以挂掉。(近来网上有传言说加+ V. F E9 ^+ J3 p! J! L/ o
了壳的木马自释放时会还原,这个说法是假的)经本人实验,各大杀毒软件杀壳能力如下' q( k( }2 a2 r* V
:
, v$ }9 s* V2 f, ~/ r; F McAfee及大多数国外二流杀毒软件:UPX
* [3 J) G* l3 c' m 瑞星:无
6 G+ A- \# O0 s 毒霸:无 _' A2 a. C6 N6 |7 V: b6 L
Norton:无2 g# y9 S8 l, [& o# f+ V7 f% q9 }
AVP:大多数流行壳4 V5 N7 t5 L2 N
KV:大多数流行壳! z* t5 s2 h* b; n
UPX是一种免费软件,所以支持杀UPX无需交专利费,如果一个杀毒软件连UPX都杀不了
h, ~" M: Q* q: \) o3 }3 n,那只能说明他们那帮人偷懒。当然,无论如何,没有杀壳能力的这些杀毒软件会轻易地
. `! J% _* Y9 `* Z" Z让你死翘翘的,所以大家今后必须重视杀壳能力。
" l/ o# s* [! o% x* K3 F: h$ ~
" Y% K! Q- p5 s) w' J
5 I1 B: p4 o- E' }' R1 d4 X! p( G$ x% U6 E8 k) O
同样的木马,一加壳便是不同的下场: l$ L) ]: x7 w' Y& j6 k2 B- z% \
三、清除能力: \6 g4 G3 [* W3 g$ `
不得不说,任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不
9 a# c, ~1 R6 I2 K( x0 c理想,不过由于在杀毒过后这些文件都成了死链接,所以随便找一个清垃圾文件的软件就
# F9 s! y+ O# Q) k2 e* k3 w可以了。$ _* f- Z* x$ z0 t8 u
其实关于清除能力,大多数的杀毒软件都差不多,不过倒还是有几个特例:
$ c$ H+ O3 E6 j5 b瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下,杀Lovg& M O F' S: E% _. }0 ]1 A
ate用了2天,杀某蠕虫病毒用了一周,杀folder.htt病毒用了超过一周时间也杀不干净,
1 e3 a/ k$ z' }最后只用搜索并删除同名文件却杀干净了!明显是跳杀现象。
% m+ g q* S; `; r' N5 X5 w% vNorton则是一见染毒文件就删,实在令人怀疑Symantec的人是否学过汇编。另外Norton在* C0 K- B8 I. |; E
撞上一个病毒在内存中的进程时,竟经常不会自动关闭,需要你手动关闭,而其它任何杀: ^6 p; q/ o% Y3 C' Z
毒软件大都有此规则。; x: \1 C8 T- ~$ P
四、内存杀毒及DOS杀毒( j- i; i+ R6 j: _* B
当今国外杀毒软件基本没有再提供DOS杀毒的了,所以面对dll进程守护式的病毒木马7 b9 z$ W2 c) |! n
就只能到安全模式下碰运气了,并且有时还会失败。相比之下,毒霸、瑞星、KV都有DOS杀
V/ ~- [2 _: n5 S8 O" N毒能力,只是毒霸杀不了NTFS,KV可以杀壳。
8 E% I4 A& W) A* c 国产杀毒软件都号称可以内存杀毒,但大都只是实时监控加进程关闭的换汤不换药,- c6 C+ X1 I& J( W+ R2 K. C- i$ [
杀不了dll进程守护,甚至不去检查调用的dll文件,等于一个功能没加,只有KV一个一个/ K g% ]$ R2 o; v
dll地检查,并有查到毒后反复检查内存及必要时自动开机检查的功能,dll进程守护的病
{# g2 g. k% ?毒木马基本上都可以挂掉。实话说,只有KV的可以算有内存杀毒功能,其它的都是吹牛。
9 B; K w( R3 K' L3 S( a$ `2 G P$ K3 e$ {/ }; k
五、实时监控
% i5 B% u* J! U8 I 当今的杀毒软件几乎都要吹一吹自己的实时监控,但实话说,没什么稀奇的:一是对5 g0 U8 z% `( P
进入内存的程序进行扫描,二是预读。(解压时查毒属于第一项)第一项没啥子稀奇,至
; D0 q8 @7 o3 k于第二项,国产杀毒软件的速度大幅超过了老外,的确可喜可贺。
9 P" }- K" o" ]% H+ O' `% y 尽管如此,不得不说说KV。KV的实时监控技术,即“动态比特滤毒”技术实在是太强) k9 F) r1 C* T# ?2 x3 Y
了。为什么我一直在用Net Transport呢?因为在打开KV文件监控的时候,KV会自动对进入6 Y! P0 `* P/ ~2 L/ g
电脑的文件进行扫描。如果是带毒的压缩包,KV会在下载结束的一瞬间报警,如果是EXE或' E' A! _) h2 i. T! s( ~
DLL等,那么有时才下载到一半就会报警。另外如果你用Windows搜索时开KV文件监控,KV6 f {) A. P8 s; t. J+ w6 f5 H
会顺带地扫出很多东西,(前提是你硬盘上有)上次我就是忘了这一点,结果把自己的黑" S' R2 V! H5 d; L3 n
软库一大半倒进了隔离区。(开个KV在网站上防Asp木马,爆爽!)( D1 o! V' N" a& P
六、杀未知病毒能力7 w9 y" H2 W2 s- z5 H2 Y
当今的杀毒软件对这一点都“非常重视”;所谓“重视”就是大肆做相关的广告;行
' s( J5 G0 e3 q( n为判断、虚拟机法、智能跟踪……如果这些都是实话,那么面对一个歪壳压的病毒,杀毒 C+ H" O8 l, T l; M
软件们理应报警,但事实上没有一个杀毒软件做到这一点,这些谎言也就不攻自破了。当
. l" W& {/ n) M8 o3 D+ Q- {+ K" j5 T今的杀毒软件的防未知病毒机制其实只有启发式扫描,即仅仅是扫描文件中的可疑代码。& [9 d7 Z; f- s% ]3 O: S3 o
也就是说,如果解不了壳,再强的启发式扫描引擎也什么用也没有,由此,KV、AVP的表现
" }, ~- r6 F, p3 C# y2 |大幅超过了其它的杀毒软件。在加壳病毒横行的今天,其它的杀毒软件几乎全是吃鸭蛋。
7 o2 W, c; m$ p5 I- [. V/ n; X: b& Z6 Z
不论如何,毒霸、瑞星和AVP的误报率都算比较高,尤其是前两者,几乎只有误报纪录
' a# X9 W* b2 M8 x( _# H,毒霸的实时未知病毒检测甚至会干扰到已知病毒检测。Norton与KV到目前为止我也没发% Z; w1 w& G; v) [
现误报,不过Norton的未知病毒检测也不乍地,只是比毒霸、瑞星强了许多。
% \7 c( m6 i q9 N X( `. ` 不看误报率,只有AVP与KV的能力令人满意,AVP自然不用说,人家可是启发式扫描的( I* ^* p9 r3 f. \$ C
鼻祖,具体能力大家也清楚。事实上KV也是非常强的,只是可能大家不知道,最经典的例( C3 u W$ t9 t6 H7 _
子就是当年的KV3000不升级就可以挂掉冲击波!不过据说KV未知病毒检出率略低于AVP,也4 ^6 G8 N, @1 y
许这是为达到误报率为0所必须牺牲的吧。
+ B0 |. l8 y, x, ] 大家注意,哪怕是KV、AVP,它们杀未知木马的能力也为0,也许它们一向都只是在研& [4 x+ Q) ~" e) K! N- v7 o
究病毒吧。若要杀未知木马,大家一定要用****,据我实验,****是第一个采用行为判断法6 x( z9 c2 R% o5 [1 }# c' \
的安全软件,同时有超强的专门对付木马蠕虫的启发式扫描引擎,对付加壳木马也非常有
+ N6 H5 r1 S1 r7 W$ \3 o一套,实为史上最强的杀马软件,曾被ZDNet评为年度十佳软件……如果你用过老版本的*
- ^1 {6 x3 s& T; g***杀当今的黑洞灰鸽子你就知道了。不过这有点扯远了。$ ?+ `% E% \" |
七、速度
. v0 u5 s4 n N: ~9 l( I 首先对毒霸的“闪电扫描”提出质疑:
4 U& b U. D: b* }0 ^1 f ①有谁愿意为了一点点时间而仅仅去扫某些病毒呢?安全至上呀。
" O+ w0 F/ A* U/ U ②病毒经常是相互附身一齐出现的,这可是常识呀。9 L W3 w! D( x" J
③鬼知道它扫的是哪100个病毒?
, K% m2 ]5 F- _% Y “闪电扫描”顶多是一个花哨的噱头,基本上没有人用,大家不必理会它。大多数杀/ F& F6 C4 I+ ?3 b
毒软件速度都差不多,可以接受就行了,不必排先后。不过AVP由于支持杀壳,所以在开了( \5 N/ R+ C* p9 a M1 S" ?7 o
杀壳后速度慢了很多。但瑞星令人实在受不了,慢得甚至出现了专杀工具速度跑不过其它, e) i2 v& Z6 n& f
完整杀毒软件的奇特现象……。KV还是令人佩服,又支持杀壳,速度仍然很快,着实先进9 b% O! ^4 J: O% o
,不能杀壳的毒霸扫再快也无法动摇这一点。
9 D3 ~+ ?9 F7 {! }4 | 八、集成度3 y& J# T8 Q; D: q6 }. `
老外们在这儿不得不出局:不支持QQ?Game over!0 I' u% h/ v- W$ H4 j6 J
KV的集成度肯定是最高的:有了动态滤毒,KV等于是支持了一切聊天软件与下载软件
1 Y2 G" K+ y8 `,同时效率最高,名义上不支持QQ算什么?
$ e) t0 e% u0 G. S 毒霸及网镖在一次死机后图标全会消失不见,极不方便使用。瑞星用DLL进程守护解决
0 ], _( P: K5 U; [" `了这个问题,不过同时也带来了无尽的资源占用与冲突问题……6 z/ _( e) Z7 G
九、压缩格式查杀支持(出于实用,我们只看ZIP与RAR)
$ O! r+ H4 F' d KV:普通ZIP、超真空ZIP、RAR2 C+ s2 z7 D- A4 R# _# A( p
AVP:普通ZIP、超真空ZIP、RAR% H& a0 l3 O2 Y4 |, e
毒霸瑞星:普通ZIP、RAR
6 r' o/ Q. p% ~7 J 其它大多数国外二流杀毒软件:普通ZIP. Y9 \$ n9 E/ G
大多数外国人都不用RAR,所以Norton与McAfee等都杀不了RAR- J! L! c6 B3 y7 N! Q$ w& c7 J
十、资源占用与冲突:9 |2 r. g% w9 ~5 o
KV与AVP资源占用最小,获得广泛好评。Norton毒霸一般般,但开了QQ后Norton资源占
( p8 V9 G1 b1 u$ ~2 g- P用暴升……瑞星这方面问题极严重,不仅是当之无愧的冲突王,也是万“死”不辞的资源
$ k) q- O6 Z6 \占用王,有些配置稍逊的电脑在开了瑞星后,(只装瑞星)弹出右健菜单竟需3—5秒……另* z& ^) v8 Z s4 s1 P
外好象有一个说法,就是装了瑞星后装其它杀毒软件,基本上都会起冲突:装毒霸后不开实
/ r8 B) G+ n( z: [/ r* K, B. @5 @8 x时监控系统也爆慢,网上有人把Norton这样装则是根本进不了系统。当然也有例外,就看7 }; P# i) k$ q
你的造化了。2 R# d; G0 V. ]5 |# ]2 m
总结:Norton实在太废,除了公安部和某些菜鸟,几乎是人神共诛,连外国同行都不8 i5 B5 v: n. ?
以为然。(6.8分,妈呀!)虽然Norton是实时监控的鼻祖,但却不思进取,活该。大家若" x* N* v- Z0 |9 {% Y+ Y
一定要崇洋媚外,那就请用AVP。不过我一开头就跟大家讲得很清楚,非本土化的杀毒软件' L9 H# R$ f2 ?
的下场嘛……: J3 Q% g: B- l* Q, `
毒霸的表现勉强算二流,面对加壳木马还是太嫩了。瑞星则是我见过的最废的杀毒软
6 _) e* R$ r; @0 J9 P! g) |件:毒库不全,耗资源,易冲突,不杀壳,速度慢,跳杀!这年头民间防病毒软件非常多! T& N6 f: A" [- m/ {( x0 Y
,大的有十几兆,小的只有几十KB,没有一个有跳杀的问题,扫上7天对它们都算神话来的
( f( ^1 ?0 G1 H* m% [!毫不客气地说,这一点可以让我们确定,瑞星是全世界最废的杀毒软件——谁不知道跳2 M9 Z2 I; \% W. W
杀意味着什么?
& ~( k# V, A. i6 h+ u" {3 K 至于我对KV的评价,也绝不是一家之言。有许多国外媒体都在吹AVP,但这并不代表A( p5 F& s5 V+ S2 ~: X( |5 v3 I
VP比KV强,因为大家都没见过KV,惟一的例外是日本人评了一次,结果大家也知道,KV获- B9 I, f$ H' z3 G+ q
胜。与此同时,国内大多数的黑客专业网站推荐的也是KV。这跟本文的结论是一致的。KV
2 @' O: A+ o" s如果做好了国外病毒木马的收集工作,届时一定可以在国外压过AVP的风头。
/ Y3 ^" j7 H$ e1 N& e0 F- y; p; } 我个人认为,本篇评测,是当今世界上最科学的评测之一:6 q0 ~7 ]0 S2 J! _9 {2 B' U
1.一个评测如果只看重病毒库,那么只说明这帮人压根儿就不知道木马加壳术,不认$ W4 {5 U1 v6 A: D- a
可加壳后的无敌木马的危险性,甚至连瑞星的跳杀问题都看不到!. R2 \& g0 R- w
2.一个杀毒软件的能力是有限的,并非一个数字可以代表得了,正如水浒英雄的能力
0 L7 j$ d/ c' g9 s- a并非那些“水浒人物卡”上的几个数字可以代表的,另外国外杀毒软件杀国产木马的狼狈/ K3 `; v. {: U+ a, ^1 X8 O, b
相与评测时得到的检出率与分数完成不成比例,也能很好地说明这一点。一个真正合格的
: G8 \' `! e9 e评测应该是把各个杀毒软件的优点缺点都列出来,让读者自己去按自己的需要来判断,最! Q: d6 T% ^! c" C' \+ h, }4 B! i
多分不同情况给它们简单排排名。
* C$ i& E+ `# E9 F. V9 w 3.一个评测如果只是泛泛而谈,而不分出杀毒软件的优劣高下,这只能说明这是一个
1 E2 k' n* D& S2 Z" `广告大串联,而不是什么评测。本评测中出现KV一边倒的局面并不能说明本人的方法不科: m- t b- C' i4 f
学,反倒说明其它的评测根本算不上评测。
. b/ [% R, `# c& L8 ] R 4.最重要的一点,本评测一切论据与细节都是公开的。(比如病毒名称,评价原因)
' _3 T" k+ i6 u" I0 f: M5 F" O就算去除一些口说无凭的个人经验,只剩下大家可以自己操作自己实践的部分,大家仍会
) m4 N' g' v, m. y% Y x7 r" `得到同样的结论。本评测的真实性无可怀疑正基于此,大家尽可乱试。
$ a" k0 ^9 n, i5 D0 ` 如果仅仅是做个评测,那么离“黑幕”就差太远了,但是事情远不止这么简单。我认
' H% R- [5 ^1 u; T7 k8 s为,如果压在KV头上的是AVP,我认为大家还有些讨论的余地,但我们可以看到,排在KV之+ R& t! t) {7 y; D6 v
前的尽是些垃圾:毒霸、瑞星和Norton。它们的流行与中国人随波逐流、轻信广告、做事3 f: }# D. b$ v9 E" q+ k6 ^
不细究这些毛病都有关,这自然不用说,但我认为最重要的原因就是公安部的评测。
. P' n: A- T; T6 G3 d) t) l 公安部的评分是这样的:毒霸95,瑞星95,KV90,Norton85,其它的杀毒软件依次列; i% W) I4 M1 M
在后面。所谓检出率则是:毒霸100%,瑞星100%,KV100%,Norton9x%,依此类推。
. k& A3 {4 _6 t- a/ H 实话实说,公安部的评测是我见过的最假的评测,也是最害人的,因为它影响力最大; Q, |, M) V; }- y% u% X# A: p
,随便就可以扯出一大堆疑点:0 G) V; [/ j' B o9 q a2 S
1.KV那么强的引擎,凭什么排在毒霸、瑞星后面?如果说毒霸、瑞星恰好撞上比较“* U l+ L1 E% s% T6 X4 A2 \
适合”自己的病毒库,那还好说。但既然检出率都是100%,其它性能KV则是全面超越毒霸
( r4 ~. G$ k5 }: J" t4 Z、瑞星,凭什么KV要比人家低5分?3 C( Y) l3 V8 S* [+ k
2.作为史上最废的杀毒软件,独一无二的冲突王、资源王、跳杀王,瑞星凭什么遥遥
4 i- T& h# O; l领先,并列第一?
. z; u: B3 A" Y$ f; R4 } 3.作为国内市场中病毒库最不全的杀毒软件,作为一个在民间评测与国外媒体评测中
9 o, C$ F0 q) g8 |; M屡次垫底的杀毒软件,Norton凭什么比McAfee、PC—cillin、Panda这些家伙的分数与检出
6 L1 p6 L! u# ~4 C. ]率高?大家记住Norton当年的分数:6.3分!+ {7 T6 O5 a- z& |' b9 K- m" F
4.凭什么大名鼎鼎的AVP不参加评测?
: ?0 s+ q. U9 [4 H( g 5.凭什么公安部几乎只看病毒库?虽然民间评测有这样的,但官方评测从来都不是这, {( T- V8 R( N( _' l
样的。
2 [& d/ A: }8 I) Y 6.凭什么公安部把除了病毒库之外的评分标准全不公开?
9 n% P% P1 P& j0 \& K 7.凭什么公安部全盘都在暗箱操作?
: R- p# \: w+ m( D/ f) E. b 8.凭什么会出现三个杀毒软件同时得到100%检出率的情况?全世界的杀毒软件评测,
+ i) f3 p0 [3 u; X0 n5 h* j根本就没出现这种情况。要么,就是公安部病毒太不全,要么就是人家想搞“民族产业振
$ g8 V. |3 k7 h4 u7 L兴”。
# i' f# L g; X, a" G0 q3 s! Z! d……
3 }0 T( p3 L# u" V, V* K 疑点多到了让人几乎可以窒息的程度。研究一下杀毒软件的历史,发现公安部评测实0 f8 U3 M" C- Q( R
在害人。
: c4 R# w2 m7 q7 F7 k 众所周知,KV是早期中国最著名的杀毒软件,一度市场占有率遥遥领先,今天却落到
* T) A, A/ i) K) W了这个地步,难道是技术问题?KV的病毒库一直是全国最全的几个之一,未知病毒查杀当
+ C8 F8 b1 a3 {时在国内更是无可匹敌,而且早在KVW3000时代就可以杀UPX、Aspack甚至WWWPack这种偏壳9 z5 Q! q' @7 }+ ?& d* S
,恐怕只有AVP称得上对手。虽然对Win2000支持不好,但当时又有多少人用Win2000呢?那$ B# v6 G d: ]" t; W
时KV的UI的确很差,但有些人认为KV那时用的是KV300的引擎,则纯粹是以貌取人,上面说
" ? ?$ X9 v% w0 d得非常清楚。然而公安部从那时起便不给KV好脸色看,KV于是便一落千丈,落得今天这个
4 i- F$ J- R; h' R( \0 N地步。(硬盘炸弹固然也是一个原因,但今天还有几个网民记得这件事?还谈何影响力?+ p* O' J" s' X5 ?
再说,公安部做的可是评测,而不是历史清算)可是直到现在,毒霸、瑞星除了支持NT内" Y. l. ~% D K9 S" Z4 r& L4 ^
核实时监控,几乎什么都比不上当年的KVW3000,足以证明公安部评测的胡闹与破坏性。前
9 g. ^' t2 F5 ^7 V面说了,KV的文件监控本来就可以达到QQ、UC、POPO等防毒功能,今天却在KV2005中特意% l" e7 s+ v2 q6 }) W6 ]9 {4 `
“加上”相关功能,不得不说是一种无奈。" m+ t/ [. R* h5 v% v9 w5 \; J
KV的下场并非最惨的。有些人可能还记得当年有一个很著名的杀毒软件——行天。行
! s6 B. P( c7 U9 i; |( }天虽没有KV的强大引擎,但病毒之全实在是出类拔萃,几乎一直是全国第一,而其它的任7 R5 m' t, ?9 n. ~
何方面也不逊于毒霸,跳杀的瑞星更是不用说。安全之星XP(VRV)也一样,至少人家比瑞% i% ^. C- f: a1 X* Z
星毒库全,速度快,又没跳杀问题嘛。可是就是这样两个杀毒软件如今却销声匿迹,公安! G/ y, |' E! u
部显然脱不了干系。
, P4 ~: j. m+ N4 I% r: F L* m. ^在这样一个节骨眼儿上,我不得不为KV说话——如果KV哪一天像行天VRV一样被整垮,我们
: |% _ q% G V1 T& Q0 [$ }中国还有什么可以拿得出手的杀毒软件?我们如何面对微软的进军?我们如何面对今后出$ a/ b9 U7 e/ @( k$ s/ |2 F4 v
现的彻底本土化的国外杀毒软件?网民们轻易相信广告固然是个原因,但如果没有公安部4 B5 G7 t) j% Y
的评测,网民们会这样吗?
: d& W$ ]% s2 p+ {' Q/ D- x 一切疑点表明,公安部评测并非乱测乱评,而是有非常非常强的倾向性,是明显经过
; a( @2 c+ T! x ^& o人工操纵的非常明显的作弊行为!毫无疑问,这后面还有太多的故事、太多的后台、太多9 J. K7 e5 w' a& l; C0 k- v
的黑幕、太多的权钱交易、太多的无耻。具体是谁在操纵,我也不知道,也没办法知道。2 |! J4 g6 V+ e; [
我只知道,它让三个垃圾占领了中国80%以上的杀毒软件市场。公安部评测,理应人神同诛! D7 b4 z4 X3 f6 F
!
) z$ e9 g5 B% l5 P; W 公安部固然要负主要责任,但虚假广告照样脱不了干系。$ x. G5 l" N o
瑞星的瞎吹倒不多,但也不是没有:“第五代国际领先可扩展引擎”——作呕!不过6 d' f% g8 }( s+ ?% l
瑞星还算是比较“谦虚”的,比如防未知病毒能力就只敢加个“瑞星专利”作形容词,“5 L9 r) F" t$ W I
清除病毒”之前就不敢加个“彻底”,算有自知之明。
, `/ s9 h' I: R [# T5 x Norton倒没做广告,到底是怎么流行的,除了OEM大家也清楚:谣言可畏啊!% [% c: P: F- u" M( H
最最最最无耻的就是金山了,实在是令人发指!不信请看:
% I0 G' y# D9 [- n1 O) k 1、把你的金山毒霸包装翻到背面,一条一条地看:# k4 V2 e# z& l/ Y( u* ~9 o* C
①“病毒处理速度>>病毒传播速度”这显然是瞎吹。2 [% P# A" p) m$ Q0 _
②“网页防毒,有效拦截……”这年头窗口炸弹写法也就几种,随便一找就找到一个& @, F$ M8 i- L Y( p$ E: {
毒霸杀不出的,(KV与Norton都杀得出)至于广告拦截更是效果几乎为0。你敢用这玩意儿% m5 L- a& E; g, X! s
拦网页木马吗?
8 s1 a, F7 z7 `; A6 |4 w' F ③“闪电杀毒”前面也说了,花哨的垃圾。
6 @4 C! v% A" o; K. d5 x1 @2 j8 [ ④“双引擎杀毒”金山的说法是:国际引擎是AVP的。懂一点杀毒软件的人都知道,双
9 e6 r* X$ j6 |0 E% F重过滤分析是100%不可能实现的,否则毒霸耗的资源肯定不止那么多,速度也不可能那么
* t# U6 ^2 A. p% R; [快。隐含的国际杀毒引擎杀国际病毒效果好的说法更是有违常识。同时,不能杀壳,不能* n- Z% U; N. |& e- b: u
杀RAR,脚本拦截与杀未知病毒烂,这根本不是AVP的作风,去掉了它们,AVP根本不能称之
. \/ A# q2 t( M E为AVP。再说AVP风头正盛,哪会干出这种卖引擎的傻事?" y G5 @5 O" T3 R/ a4 i7 s7 ~* { q
依我看,有三种可能:
+ l4 |* p) T9 E. P, D0 X (a)金山只买了一小部分引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒
$ T& c( A0 H- `! a" x% h3 v# l,等于没买。/ L% b" \3 i t/ d2 {$ v* n
(b)金山只买了一个老版本的AVP引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未
/ \4 \* a* H t' ^ Q1 ]# V( s知病毒,等于没买。这还是有可能的,因为毒霸老早就在吹它,时至今日,甚至懒得用一
$ N4 R6 Y4 m/ K个“全新”作修饰。如果真是这样,我倒想给金山提个建议:买一个KV300的引擎,然后就& N7 H* ^/ z! V0 L0 [ d: {1 Y% J4 [
可以号称集成了KV的引擎了……1 a; O; O: u4 D$ f7 o# F2 P
(c)金山仅仅买了个名号,这就是真的没买了。. h, C4 e3 [& l5 F0 o" o4 ~8 D5 U
这三条说到底就是没买嘛。
; N& ^& j) r7 D! X5 Q ⑤压缩格式查杀:别的我没追究,反正金山号称可以杀RAR很久了,但直到推出增强版& l; ? x! [, @& b! }, d. ]
时才兑现,实在无耻。这个不用多说,大家一试便知。
" u9 }) a! y! S$ |: q) i. s⑥内存杀毒:前面的评测里讲得很清楚,不用多说,反正很多人都有毒霸报警却发现狂点# ~6 h# M4 X& w/ {$ f* V$ |
也清不了毒的经历。不能内存杀毒也罢,金山竟敢再加一句“带毒杀毒技术,无需启动到2 k q, v% _; J5 g' [
DOS状态,直接在Windows环境下清除病毒”,真是厚颜无耻。每当我向金山售后服务问起& w& R6 T9 I/ }6 `# y& E, n) ?
这个问题,人家都抛下一句话:“你到DOS下面去吧”。可你要知道,毒霸DOS版杀不了NT
' }, W- ]3 p+ }! `4 M* x" j; FFS呀!
" C& w* g0 @3 k8 i; I ⑦硬盘修复:修复CIH与Opasoft造成的破坏我倒没话说,虽然我没试过,但号称修复
0 q6 J7 v0 l% F& v4 W1 _Hdbreaker造成的破坏就肯定是胡扯了,实在是不自量力,我甚至怀疑这帮蠢货有没有见过
: w( g3 s4 d+ P! j1 N# jHdbreaker。如果大家嫌自己电脑全是垃圾,也可以试试,反正我是很想在金山的每台电脑8 F& f* K9 ?& C. c
里都放上一个Aspack加壳的Hdbreaker:)
_. r3 P- b3 [/ G# m: Z 顺便骂骂网镖:
: k- l7 q9 z. N9 j( e ①作为一个规则过滤式防火墙,规则设定选项是它的灵魂。网镖的规则设定选项直到
. f* `3 B9 e) m) o今天也是最少最不全的,连设置繁琐的瑞星防火墙都比不上,还敢叫“个人专业防火墙”4 O4 H. f8 F+ P F
?我宁可用Windows自带的防火墙。
9 ^; M" j1 W; @8 k ③很多人都知道,新网镖有一个功能,可以自动拦截木马并报警。这功能看来似乎有 F, R( E( |5 O5 t7 \
用,但实际上是屁用没有。试想一下,网镖可以准确地报出木马名称,这肯定是人家动用6 K7 ?. Y) G3 m: g/ h$ r; W
了毒霸的引擎杀出的已知木马。要杀便杀,金山却多此一举,实在无聊至极,是明显的作
5 V; I1 Q7 {) A. h+ A秀行为。: b( N6 z: T; N5 t2 ?
④金山网镖几乎是一周升级一次,但相信没有人发现过其中有什么变化,肯定是假升
; K( s3 | y2 t1 E, q* x级。惟一的例外就是某次升级后,网镖会对冲击波报警,可我等早就打了补丁,要它作甚
9 t+ Y+ b' L) ?1 k5 r?可是这个“内建规则”哪里都没法把它关掉,只好让它产生一堆垃圾日志。
: |! l" X! F% u; J 大家如果要用规则过滤式防火墙,那就用天网,试用版也行。如果你不嫌麻烦,那就% l6 s' ]: V6 S g
用BlackICE。不论如何,就是不要用网镖,又花钱又受罪。+ a8 [! O: o z& i7 l* g1 M1 F9 o
2.金山那帮售后服务的人实在太菜,以下是经典问答:) H7 [7 ~3 T0 q+ O
“毒霸怎么杀不了RAR?”“你到命令行下试一下,应该可以的……”,“毒霸怎么杀
0 W1 w6 o. k* y6 Y0 d, k不了××病毒呀?狂点清除也杀不了耶。”“你到命令行下试试……”(小子,你们那个
3 Z* J8 q/ o/ `1 m0 _$ `, X. v2 }很牛的“内存杀毒”呢?),“听说现在加壳木马很多耶,毒霸杀不杀得了?”“(有点3 @8 D8 a1 R7 Y# b2 S# N p
犹豫地说)应该可以的……”,大家还是自己实验的好。
3 G& w$ z! K5 J7 z& |6 s 3.有了以上几条,金山也仍然不能在众多骗子公司中“出类拔萃”,不过这一条可以 E6 i0 B1 ?/ h3 h# E; a5 G3 x
改变这一点。6 S! L+ D3 o) L
众所周知,毒霸6增强版加强了杀木马能力,号称可以增加查杀15000种木马。可是大8 {2 ^7 q8 w _7 p, x0 B
家是否想过,这多出来的15000种木马是从哪儿来的?是从地里冒出来的还是从天上掉下来
! p, [6 b- F' u; l的?显然都不是,金山获得木马的途径只可能是来自上报。这也意味着金山扣押了大量的0 G; @, u1 }9 E
上报木马,以便进行这样一次市场炒作。本人这个说法绝非口说无凭,因为我与我的许多3 g1 o+ f+ F/ W7 z8 Q
朋友都有相关的体会:(其实根本就不用这么多,金山的广告就够了,自己仔细看吧); o( F( |5 P. [+ C5 d; z$ c
% H0 a! z4 X5 ]9 a. t9 T ①半年多以前,自己在电脑里抓了好几个木马,毒霸杀不出,便去上报。结果金山回& F* A3 C' S3 ?) t. B
E—mail说已有人上报,要我等。我留了个心眼,过了几周便把它们拿出来杀杀,可是毒霸
8 L2 Z% @ [% F4 k# W' [一直不报警。这几个文件我已经弄丢了,但我希望那些给金山上报过木马的人把上报的木
6 T9 x7 V( E& w) S! N马用未升到增强版的毒霸杀杀看,相信结果很多都是一样的。
|4 Q' j$ @) I, J9 {6 |- G7 B ②我有几个用毒霸的同学,在升到增强版后的那几分钟,电脑竟不约而同地报警说发
8 T# p4 c6 u2 X! j* R0 t现木马。由于各种条件的限制,我只能搞到一个样本,不过相信这种情况一定为数不少。& o% W p5 p% a
大家千万不能上金山的当,像我那几个同学一样,还以为增强版的能力很强呢。$ A" G9 e' d6 L; Z1 P9 N
不管怎么说,毒霸的木马专杀本来就垃圾。木马专杀仅仅可以检查EXE关联与AUTOEXE8 w. F9 j& p; W$ E; Q) r j* k& l
C.BAT以及CONFIG.SYS,比民间的“木马分析专家”差了几千倍,不能杀壳更是让木马专杀
: I# C9 e. |5 \0 V5 Z$ n成为了废物,加上扣押的15000种木马后,病毒库齐全度才达到KV的水平。4 r0 ^6 _1 ?/ j& i$ Q
“木马专杀”肯定是一个蓄谋已久的阴谋:全球每天才诞生200种病毒木马,就算它们9 y3 p8 K$ m3 B( {
全是木马,就算它们全部被金山收集到,那金山收集15000种木马也需要2个半月……而现
9 R! F) M4 y5 v) m在金山更是把15000改为了20000,所以……" [' o0 M5 w) `' D# d7 ]& ]- N- |3 l
不得不承认,金山公司在国人心中的地位的确很高,但那仅仅是因为人家最早出现,4 M" z* g: w, I; k: [. H4 _* d
而这并不能说明人家的产品好、信誉好,那只是国人的想当然。在雷军上台的这几年,金$ @. v5 d7 W7 w) L
山广告的确做得很火,但软件的技术几乎没有长进。这就不止网镖毒霸了:金山词霸2005
( c2 }* F# z; n, `$ x仅仅是2002版换了个界面与发音库,词条中的错误却一个也没改;金山快译虽号称智能引
, e3 ?( |2 @. v; W1 q擎,但翻译效果却一直未超过Office2003,而且是差很远,几乎只相当于把一堆词拼揍起( g2 N9 D& l6 R# g) k; Q
来,据网友说,金山快译2005会把“Counter—strike”译成“计算机罢工”——妈呀,人
5 u# L2 n$ z5 ^9 K家就是翻译成“柜台罢工”,我都不会介意的,可是“Counter”怎么跟计算机扯上关联了
, T4 d) v/ J$ v {" u9 ]?至于WPS,我认为也没什么好说的:WPS花哨的功能越来越多,可是时至今日,WPS仍未实! d+ P4 y7 O m% n
现电子表格中数据同步变换的功能,(即改一个数据,相关数据自动完成更改,这个功能: J5 h$ `7 }2 B$ Q' a, N) E: ~
是必备的)仍然需要大家自己一个个手动更改。而此功能在Office里面早已实现,这很是6 b6 J# m" u) L
说明问题。
# Y% \0 t d# x' j 以上的说法并非本人发现,它们全都是网上已有的说法。综合起来,大家便可轻易看
" r" I7 t( m" ]; H3 Y( B s9 B出金山的底细。+ `2 y" U! q9 S" M/ B' U' \* u
当今骗子公司虽多,但也没有任何一个有金山这样明目张胆地坑人的,尤其是“木马& S9 h4 f+ n C6 Y& `
专杀”一事,炒作疯狂,全国媒体一齐尽献媚词,其设局构思更是伟大到了史无前例的地! X2 O& K' {) {2 v8 g
步,那个大名鼎鼎的网E拍又算哪根葱?知道有人会想说当年江民的硬盘炸弹事件,那的确
3 r& @0 M6 ]& x& R7 a) e4 K也是一个非常恶劣的行为,该骂。但当年的网民并不多,所以上网下载升级程序的受害者' r! \6 T' y7 l4 G5 `1 @2 M/ C
并没有象大家宣传的那么多。再说那只是针对盗版用户的行为,(我没说这是合理的)而
/ L) D& p# _5 S# R金山则是拿众多信赖金山的正版用户开刀,论动机金山显然更加无耻。硬盘炸弹事件早已; e1 Q% f: y0 R6 P* E
被公布于世,金山的“木马专杀”事件更应被公开在光天化日之下。至于两害谁轻谁重,* h M3 f4 w: ?: m s c4 G
那就是另外一个问题了。- u- i0 j n+ e1 E
但是,大家不要忘了,以上一切的一切,如果没有IT媒体的撑腰,都是不会发生的。$ r. c9 l4 z, u
大家不要把当今的媒体看得多神圣,多有光彩。人家不是搞舆论监督的,搞舆论监督的也, ~$ ]' P- x/ I1 s
不懂电脑。当今的IT媒体在面对谎言时,从来都没有打过头阵,从来都只是论坛的跟风者" h' z& \+ F, Q: r
:3721、网E拍,它们全都是在网上论坛被骂得一塌胡涂的情况下才有媒体出来说话,有些
6 ~4 L% d) q) Y! @0 k7 x9 c媒体更是直等到3721推出新版上网助手才出场,趁此机会做“评测”说3721根本没卸载方
* z9 T5 \5 ?- O& N面的问题。(鬼知道这年头他们收了多少金山瑞星的广告费?)
2 `7 \$ s* V; A% O 他们从来都缺乏说真话的勇气。当金山瑞星“论战”之时,他们几乎是一言不发。不2 F4 F( _7 R9 B7 i0 @# U0 F& o
要以为这是什么“清高”或是“公正”,在金山瑞星无数漏洞百出,毫无水平的“论词”
' w1 I& _0 A6 j面前,真正丢脸的应该是他们,这种无作为对于一个真正的媒体来说就是同流合污。这些
/ c0 T# Q* g# }) J* @5 F8 I年头,他们又不分青红皂白地给了毒霸瑞星多少虚名妄词,多少沾着读者血汗钱的“编辑& u) h) t8 K3 g5 G: O2 N
选择奖”。试问天下谁是真枪手?他们才是!, J) o4 c( Y% q7 ^
上文中许多发现其实并不是我的原创,像瑞星漏杀问题在有些论坛上早已有人提出,0 M! H5 W+ I* i! C
可是至今日,仍没有媒体敢提上半个字,足以证明他们的懦弱。看看他们干了些什么吧,
. v4 j, L; k9 N/ T1 C- i. Q整天仅仅是唱唱瑞星给它们的那首老歌:“半个月以来,病毒A和病毒B这两个病毒值得注
$ j2 J0 M% O, t6 i+ W意。病毒A试图/会/除了会××××。病毒B(则)试图/会/除了会××××。可以上网的
# t3 b7 H8 n5 y* q4 e( a用户推荐采用在线杀毒方式,快速查杀这些病毒,也可以使用单机杀毒软件2004版,局域
% U' g" P7 k* x/ A1 t8 X* q3 b5 j网用户最好能使用瑞星杀毒软件网络版来彻底清除这些病毒。《瑞星在线杀毒》无需升级
; G% n1 O A( h8 E( h" _' T" }" F、《瑞星杀毒软件2004版》和《瑞星杀毒软件2004下载版》每工作日常规升级,遇紧急病' H. N5 L8 K. J O" l6 ?; r
毒第一时间提供解决方案,每周升级的新病毒总数不少于400个!截止到×月底瑞星杀毒软( `( Z, w) r, A4 l* w' y( N) W% }) P
件将升级至××.××版本,望广大用户及时升级。如遇病毒,请拨打反病毒急救电话:03 ], y! T0 l# Q% j' k" I3 _
10—82678800或使用瑞星在线杀毒: http://online.rising.com.cn”这堆破玩
: C1 J3 Y, w. H" _# l意儿对我们有何用?
, V3 o! q4 a+ x. V6 I 毒霸瑞星的地位并不是真刀真枪地干出来的,它们靠的是无尽的谎言:媒体的谎言,
, v3 \ m e5 D- T- L公安部的谎言,它们自己的谎言,颇有中国传统的“官官相护”之形。这正是看似简单的3 i; J, P; G- B7 a* \% H
杀毒软件背后不可告人的黑幕。+ p0 \- a' t$ q$ P7 p- S- X
(以上观点只指截止至10月初的现象。同时由于取证时间较长,难免有疏忽,敬请指出)* c3 [- [1 ~! W7 w( d3 c
申明我不是江民内线
7 a; C: V# f% v; {7 V [此贴子已经被作者于2005-2-20 19:43:19编辑过]
c6 k4 d& g! o! V |
|