|
|
6楼
楼主 |
发表于 2005-2-20 19:42:00
|
只看该作者
|
【转贴】杀毒软件背后的黑幕
( J5 o3 q/ |3 w* T) g4 w5 Y- ~! E) t" k. w, g2 H2 U: ^; u
杀毒软件背后的黑幕——中国最严重的信息安全问题
- R" H e. S, ^+ R0 G# r 翻开2004年第18期《大众软件》,那个杀毒软件市场占有率排名让我百感交集:毒霸
1 I! N; S( \# E1 d2 R8 p1 a38%?瑞星29%,Norton14%,KV11%……,不要以为这只是几个简单的数字,这后面有太多7 f& }; v9 u+ ?8 l+ E0 d. S
的故事,一时,竟不知从何讲起。这样,我们先看看各个杀毒软件的真实能力。(本评测$ E) X' c4 F9 D# B _
中KV指KV2004)% ~- F1 k6 _! H/ N
一、病毒库$ u' _% F* n/ P
这些年头看过许多评测,有民间的也有媒体的,几乎都是以病毒库是否全面为依据。
6 y% o' d! O" w+ N这是非常不科学的!暂且不说别的因素,我认为用杀毒软件对一堆病毒木马一通乱杀最后0 ?" S0 k, G. N: ]# u
仅仅以检出率论英雄,是一种对读者不负责的数字游戏。7 u5 z K5 S1 l7 q0 s" i9 v
举两个最简单的例子,你有用过Norton去杀黑洞2004吗?不说别的,就说最有影响力
7 u: N3 ~, y3 U( u* K. |; o! C的0815版,Norton也是怎么杀也杀不出。这完全不是什么巧合,Norton如果杀n年前的经典, u4 B1 R: |1 B/ g" v9 f0 @
木马冰河84,也还是杀得出来的,只是会在隔离区里加上两个字作注释——罕见……- {4 Q c* f+ q- @% J; W
Norton是一个非常典型的例子,因为在这个方面的问题Norton是最明显的。不过其它) b. A& B, z- x5 T
的外国杀毒软件也好不了多少,哪怕是那个公认的杀毒王兼升级狂AVP,大家拿手上那帮大
( j+ v d5 ~, y+ f1 H* b! h. \2 p马小马自个儿试试吧,保证叫它们死得惨不忍睹,AVP那么好的引擎又有何用呢?(据说当: z! n5 D3 b/ y w- k/ z4 R
年因为Pc-cillin杀不了CIH的某些国内变种,所以有人就……)/ {. @( J2 d' y; }3 }+ w
就是不算木马,各种蠕虫变种也够这帮老外受的,其中最典型的就是Lovgate系列了。5 ~9 v: Y1 M# c1 V. I E* Y* f/ r
有些用Norton的单位就算是天天更新,也总是不如它的变种来得快,甚至面对有些n年前的
* |$ a, V- ?: |9 w! {/ e3 r9 Z国产病毒,那帮老外也一声不吭。! w; F; @& J( v, ^: ^% W
综上所述,我们只能得到两个结论:1、面对众多国产病毒木马,外国杀毒软件只是一
# d! _/ t* d) L8 M/ ~6 X( l- _帮废物;2、以检出率论英雄是一个彻底的错误,因为一个1%可以包含很少的东西,也可以: i4 Y& u9 J$ E! ?" H% F
包含太多的东西,同样的检出率,一个可以杀灰鸽子,一个可以杀Beast或××国外二线木. I& v2 W3 H4 e1 I5 w
马,你会选哪个?, l2 M* ~& k$ q( j' e8 ~
虽然如此,但如果检出率相差太大,那就是另一回事儿了。Norton的病毒库是非常不: J6 o; _, z- A
全的,尽管在杀木马时与其它国外杀毒软件差不多,但在杀病毒时检出率相差实在太大。
# J0 @5 y0 r% n, v9 v在许多病毒库比较齐全的评测中,(不包括公安部)Norton总是在最后几名徘徊,远远落" y* }! y# R' F& }! O& w/ c4 U4 Q
在其它老外后面,甚至在有次国外媒体评测时仅给了Norton6.8分,(满分10分,,AVP9分
+ v* i- b$ T: h! j0 M: J)简直是……
( r9 H( T1 M3 f3 ]: E" U 至于瑞星的病毒库也好不了多少,经常在民间评测中与Norton一起垫底,惟有木马库
/ \: k9 w; G- a. j @齐全了许多,所以其杀毒能力可想而知……当然,瑞星杀Lovgate这些国产病毒的检出率显. h; W6 a) A1 T# N1 h
然高些,但木马不同的是,病毒是会自我传播的,所以国外病毒在国内照样常见。于是有
$ Z3 [4 |! `$ h j一次,我的一个用瑞星的同学在用Norton扫盘时扫出满盘的病毒……顺便说一句,当年瑞$ R2 u1 d3 j+ m9 h
星2003时人家可是一周一次升级!在这个方面,只有KV与毒霸过关,其它的实在差太远了
" j; c( ? Q+ a. n9 r. E$ z- i。& |0 L2 H' @- Y2 ?2 n$ Y! F
二、杀壳能力
" u. a: o; n! y5 u4 {4 ]3 t) j 在我看过的评测中,基本上没有哪个把杀壳能力放在眼里的。事实上,没有杀壳能力# M1 @9 y; j0 q) B
,一个杀毒软件在面对木马以及病毒变种时,基本上就成了废物,有谁用马不加壳?有谁
: {5 g+ [6 t- c6 T+ T5 z; R改病毒不换壳?只要人家有意,你的杀毒软件一瞬间就可以挂掉。(近来网上有传言说加
/ f( }1 k$ e, D' Q( @了壳的木马自释放时会还原,这个说法是假的)经本人实验,各大杀毒软件杀壳能力如下0 s( h) ^0 t5 J2 ^6 c# Y% k
:3 J n( L; {7 v# @8 x
McAfee及大多数国外二流杀毒软件:UPX) b' k+ d3 x8 e( w* n |+ T( ?
瑞星:无$ Z0 Q$ |' w6 b) B( ?3 w$ W8 `) v" t: v
毒霸:无
# U, }4 O2 n9 O* v4 ~, o Norton:无
( h. _# y3 @- V8 ` AVP:大多数流行壳
, X' N: q% X+ ]; ^& |4 l C* P KV:大多数流行壳& k8 |8 `6 w3 F o2 q) G
UPX是一种免费软件,所以支持杀UPX无需交专利费,如果一个杀毒软件连UPX都杀不了: T2 x0 F+ {2 R# V8 j/ H8 f
,那只能说明他们那帮人偷懒。当然,无论如何,没有杀壳能力的这些杀毒软件会轻易地( ]! V4 o: ~* k; h; `, ?/ M- G
让你死翘翘的,所以大家今后必须重视杀壳能力。% X7 M* p7 b" T& Y( m. M' F9 }
$ A' ~/ n7 O( b0 Z8 `- N8 D9 n$ }) @
/ O& Z3 r4 r# V/ T9 g0 r
% u" S- M" `# M1 z% E同样的木马,一加壳便是不同的下场- l) k5 y) Q/ Q, o2 \+ f0 c
三、清除能力1 Z8 G3 \* u+ W
不得不说,任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不
8 B0 p. y8 ? y) u理想,不过由于在杀毒过后这些文件都成了死链接,所以随便找一个清垃圾文件的软件就
. n# M- [' N/ C. b7 k% m( m' V) w可以了。5 [% x+ R! I$ R7 n4 y
其实关于清除能力,大多数的杀毒软件都差不多,不过倒还是有几个特例:
c+ l* ^. J3 k1 v- _' ?瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下,杀Lovg
/ F) ~# A; R* X: xate用了2天,杀某蠕虫病毒用了一周,杀folder.htt病毒用了超过一周时间也杀不干净,
' k; o0 i4 @ Y7 B2 q% a, z0 O最后只用搜索并删除同名文件却杀干净了!明显是跳杀现象。6 Q8 @2 U0 m \5 V2 a
Norton则是一见染毒文件就删,实在令人怀疑Symantec的人是否学过汇编。另外Norton在
$ v# Z0 u' ~# ^3 _& n H/ w1 @撞上一个病毒在内存中的进程时,竟经常不会自动关闭,需要你手动关闭,而其它任何杀( ?, t& Z. ^/ A1 i6 u7 l0 Y! t
毒软件大都有此规则。: I* O2 V$ I- j* k- r! c8 S8 F7 N+ L
四、内存杀毒及DOS杀毒; X0 ?2 Q& y# U* {
当今国外杀毒软件基本没有再提供DOS杀毒的了,所以面对dll进程守护式的病毒木马" M: ]+ m ] u$ l# t
就只能到安全模式下碰运气了,并且有时还会失败。相比之下,毒霸、瑞星、KV都有DOS杀
3 V6 H& g4 u4 s1 x毒能力,只是毒霸杀不了NTFS,KV可以杀壳。
9 @5 F5 _+ O* n( n% [ 国产杀毒软件都号称可以内存杀毒,但大都只是实时监控加进程关闭的换汤不换药,) U9 z# Z) o1 o- ~4 X" h5 V
杀不了dll进程守护,甚至不去检查调用的dll文件,等于一个功能没加,只有KV一个一个
) e$ Q: V4 I& J* ^dll地检查,并有查到毒后反复检查内存及必要时自动开机检查的功能,dll进程守护的病2 p* e4 {7 n, K/ u. k
毒木马基本上都可以挂掉。实话说,只有KV的可以算有内存杀毒功能,其它的都是吹牛。 [* \: w8 s* _
- _: t! ~1 e4 I3 I, A& h; x
五、实时监控
+ x$ ~/ N; E' K0 w7 U/ H 当今的杀毒软件几乎都要吹一吹自己的实时监控,但实话说,没什么稀奇的:一是对
3 Y, \, }0 C; v6 w进入内存的程序进行扫描,二是预读。(解压时查毒属于第一项)第一项没啥子稀奇,至; Y/ D$ w, z) Q, y- \$ q
于第二项,国产杀毒软件的速度大幅超过了老外,的确可喜可贺。
3 F( g( j1 k# o" a 尽管如此,不得不说说KV。KV的实时监控技术,即“动态比特滤毒”技术实在是太强
" N8 m/ [" n& q( G" p* s! p9 v* ]了。为什么我一直在用Net Transport呢?因为在打开KV文件监控的时候,KV会自动对进入$ r" H: ?- c1 g! B. i3 Z
电脑的文件进行扫描。如果是带毒的压缩包,KV会在下载结束的一瞬间报警,如果是EXE或+ }$ @3 f7 @& E! H* j% r
DLL等,那么有时才下载到一半就会报警。另外如果你用Windows搜索时开KV文件监控,KV, ^5 k. |5 x! I7 A' T8 _# ?1 `
会顺带地扫出很多东西,(前提是你硬盘上有)上次我就是忘了这一点,结果把自己的黑7 j. w' ]+ P) ~0 P7 `
软库一大半倒进了隔离区。(开个KV在网站上防Asp木马,爆爽!)
7 Q M5 H5 L9 S4 R, t7 B# i; s 六、杀未知病毒能力& Z! p8 j' A s) \" S
当今的杀毒软件对这一点都“非常重视”;所谓“重视”就是大肆做相关的广告;行
6 U9 T J: q3 Y" ~( u: w0 i为判断、虚拟机法、智能跟踪……如果这些都是实话,那么面对一个歪壳压的病毒,杀毒
! `( o( l! O' i软件们理应报警,但事实上没有一个杀毒软件做到这一点,这些谎言也就不攻自破了。当# n& i' ?& C9 M
今的杀毒软件的防未知病毒机制其实只有启发式扫描,即仅仅是扫描文件中的可疑代码。! c+ c3 R4 x* k8 z! I8 l6 B) y# J
也就是说,如果解不了壳,再强的启发式扫描引擎也什么用也没有,由此,KV、AVP的表现
1 S% ^+ Y! H8 I1 ^大幅超过了其它的杀毒软件。在加壳病毒横行的今天,其它的杀毒软件几乎全是吃鸭蛋。1 F* o& Q' e( ?. i1 a+ ^
2 q, ?, W: w" z! h! \0 }" F/ y9 g 不论如何,毒霸、瑞星和AVP的误报率都算比较高,尤其是前两者,几乎只有误报纪录3 H9 y5 H- Q9 a3 H. o7 }/ ^
,毒霸的实时未知病毒检测甚至会干扰到已知病毒检测。Norton与KV到目前为止我也没发
* A4 s0 i0 M9 i+ `" Z( i9 r现误报,不过Norton的未知病毒检测也不乍地,只是比毒霸、瑞星强了许多。* f* `" D1 }# Z6 m* G4 U
不看误报率,只有AVP与KV的能力令人满意,AVP自然不用说,人家可是启发式扫描的
' d& I3 c2 I" @. G鼻祖,具体能力大家也清楚。事实上KV也是非常强的,只是可能大家不知道,最经典的例
# ]2 l6 }5 j( r7 m% `, l4 F子就是当年的KV3000不升级就可以挂掉冲击波!不过据说KV未知病毒检出率略低于AVP,也
, J( k# H$ b a$ f9 t) t2 v, z许这是为达到误报率为0所必须牺牲的吧。
, |; @. H B3 ~- @ 大家注意,哪怕是KV、AVP,它们杀未知木马的能力也为0,也许它们一向都只是在研6 S- j- }- m V% Y5 D9 }0 `! g1 Y |
究病毒吧。若要杀未知木马,大家一定要用****,据我实验,****是第一个采用行为判断法
' r4 q/ J& ?# K. F9 d3 ^5 _) z' G的安全软件,同时有超强的专门对付木马蠕虫的启发式扫描引擎,对付加壳木马也非常有
$ P6 X4 x' k9 F" E; f一套,实为史上最强的杀马软件,曾被ZDNet评为年度十佳软件……如果你用过老版本的*
N( [" }0 W! c2 S! n. g***杀当今的黑洞灰鸽子你就知道了。不过这有点扯远了。
9 u' n5 M. t3 i8 J4 V. T- o 七、速度) u( S4 o0 q" K8 A$ I7 `" H. K
首先对毒霸的“闪电扫描”提出质疑:0 m/ C7 | c: [6 ]. Z
①有谁愿意为了一点点时间而仅仅去扫某些病毒呢?安全至上呀。
% r, a! V) j2 I1 k' c2 A' T, m ②病毒经常是相互附身一齐出现的,这可是常识呀。$ y- p3 \1 M5 q# s4 h7 w' Z0 J) v7 f
③鬼知道它扫的是哪100个病毒?+ @) u8 _. B9 p- ?$ E$ J
“闪电扫描”顶多是一个花哨的噱头,基本上没有人用,大家不必理会它。大多数杀& ~5 C/ r0 V% d# U/ o! s
毒软件速度都差不多,可以接受就行了,不必排先后。不过AVP由于支持杀壳,所以在开了/ [* E4 v" s' S) q
杀壳后速度慢了很多。但瑞星令人实在受不了,慢得甚至出现了专杀工具速度跑不过其它
+ F3 l1 R% w8 [! ~/ M- x3 A& B完整杀毒软件的奇特现象……。KV还是令人佩服,又支持杀壳,速度仍然很快,着实先进9 `- X$ A9 x3 U/ a% [
,不能杀壳的毒霸扫再快也无法动摇这一点。
2 M6 m* O9 g& W" |- A 八、集成度' v) i" k# l6 A8 I# @
老外们在这儿不得不出局:不支持QQ?Game over!3 j K( n4 }0 I d# w
KV的集成度肯定是最高的:有了动态滤毒,KV等于是支持了一切聊天软件与下载软件
6 Z' q9 U- f& b* U,同时效率最高,名义上不支持QQ算什么?
) Y4 M$ q4 M3 U. | 毒霸及网镖在一次死机后图标全会消失不见,极不方便使用。瑞星用DLL进程守护解决
, J+ f0 w9 i7 h0 ]" j) V了这个问题,不过同时也带来了无尽的资源占用与冲突问题……
7 k, r9 d) c6 r; l/ Q 九、压缩格式查杀支持(出于实用,我们只看ZIP与RAR)! p' n- r; M4 k: V
KV:普通ZIP、超真空ZIP、RAR5 n% @; P `! o/ L( t
AVP:普通ZIP、超真空ZIP、RAR, _. `% k* S9 E3 B
毒霸瑞星:普通ZIP、RAR6 o" l! L. h0 W6 ~; H+ Z" F" M
其它大多数国外二流杀毒软件:普通ZIP& u3 \- q% }6 g5 l6 D
大多数外国人都不用RAR,所以Norton与McAfee等都杀不了RAR
: F/ x/ y# T b2 Q) Q 十、资源占用与冲突:
6 K# E4 ]2 Z& K. Z* @ KV与AVP资源占用最小,获得广泛好评。Norton毒霸一般般,但开了QQ后Norton资源占
" p6 T* f1 M* d% G' y用暴升……瑞星这方面问题极严重,不仅是当之无愧的冲突王,也是万“死”不辞的资源
* p* G0 c4 R/ G f: l9 W占用王,有些配置稍逊的电脑在开了瑞星后,(只装瑞星)弹出右健菜单竟需3—5秒……另4 G$ X$ Q& o, d ^0 q
外好象有一个说法,就是装了瑞星后装其它杀毒软件,基本上都会起冲突:装毒霸后不开实1 e) R* p+ N8 D* @6 J% b
时监控系统也爆慢,网上有人把Norton这样装则是根本进不了系统。当然也有例外,就看7 J6 R) D( U L- U! p
你的造化了。 l7 n! `8 j9 r0 H: h4 w: [
总结:Norton实在太废,除了公安部和某些菜鸟,几乎是人神共诛,连外国同行都不' X: E: T1 p& X- n3 D( O( S9 m8 q
以为然。(6.8分,妈呀!)虽然Norton是实时监控的鼻祖,但却不思进取,活该。大家若
' R% V" M* Z# c( a一定要崇洋媚外,那就请用AVP。不过我一开头就跟大家讲得很清楚,非本土化的杀毒软件% b, a/ Y: `7 r2 V$ O( t+ n- L
的下场嘛……
1 Q, ]. c5 G' a- R" l1 f* x 毒霸的表现勉强算二流,面对加壳木马还是太嫩了。瑞星则是我见过的最废的杀毒软( D5 Y2 \6 \: e6 Y! r( Q
件:毒库不全,耗资源,易冲突,不杀壳,速度慢,跳杀!这年头民间防病毒软件非常多
, i# H, @& E0 m }9 y,大的有十几兆,小的只有几十KB,没有一个有跳杀的问题,扫上7天对它们都算神话来的1 |0 \/ h% r" H
!毫不客气地说,这一点可以让我们确定,瑞星是全世界最废的杀毒软件——谁不知道跳0 k& ^( a2 z# F$ c9 _, q7 o
杀意味着什么?
( h9 b) x9 ?; V0 B 至于我对KV的评价,也绝不是一家之言。有许多国外媒体都在吹AVP,但这并不代表A3 j2 ?5 p/ ~/ F0 x5 {; g
VP比KV强,因为大家都没见过KV,惟一的例外是日本人评了一次,结果大家也知道,KV获3 l# ?9 D7 }$ \% V4 [; z
胜。与此同时,国内大多数的黑客专业网站推荐的也是KV。这跟本文的结论是一致的。KV
9 M4 D) k1 C) c. M- S5 ?如果做好了国外病毒木马的收集工作,届时一定可以在国外压过AVP的风头。
% c+ a: I$ f3 X: ] e3 x. n 我个人认为,本篇评测,是当今世界上最科学的评测之一:
) x# O1 W2 R6 t1 c 1.一个评测如果只看重病毒库,那么只说明这帮人压根儿就不知道木马加壳术,不认
& G, p! P$ ]8 \7 P( }/ ~- o可加壳后的无敌木马的危险性,甚至连瑞星的跳杀问题都看不到!; U; t7 P; U4 R6 x+ l8 m% ^& m
2.一个杀毒软件的能力是有限的,并非一个数字可以代表得了,正如水浒英雄的能力& s) e. F+ F- C; h" F0 y
并非那些“水浒人物卡”上的几个数字可以代表的,另外国外杀毒软件杀国产木马的狼狈
; U! w8 K/ C' ]4 L" b相与评测时得到的检出率与分数完成不成比例,也能很好地说明这一点。一个真正合格的
- m% L6 Y5 u& b+ j评测应该是把各个杀毒软件的优点缺点都列出来,让读者自己去按自己的需要来判断,最& |. u% w+ R$ t" T/ u
多分不同情况给它们简单排排名。$ G! f n3 v( B% U B
3.一个评测如果只是泛泛而谈,而不分出杀毒软件的优劣高下,这只能说明这是一个& ?" I0 a' ~+ B5 L/ O) U
广告大串联,而不是什么评测。本评测中出现KV一边倒的局面并不能说明本人的方法不科, T# n6 _4 X ~: Z1 e# e9 U
学,反倒说明其它的评测根本算不上评测。
. ]( {1 A1 K9 O9 n- m5 M ^. s 4.最重要的一点,本评测一切论据与细节都是公开的。(比如病毒名称,评价原因): Y$ l4 J: L) I0 k4 X* c
就算去除一些口说无凭的个人经验,只剩下大家可以自己操作自己实践的部分,大家仍会5 O' `7 z1 n' g6 g# U( x: B
得到同样的结论。本评测的真实性无可怀疑正基于此,大家尽可乱试。6 b! M3 Y7 e+ D6 d* ^2 H
如果仅仅是做个评测,那么离“黑幕”就差太远了,但是事情远不止这么简单。我认
6 `6 K" b& o F$ y ~' V6 [( [9 U! M& ^为,如果压在KV头上的是AVP,我认为大家还有些讨论的余地,但我们可以看到,排在KV之
5 N1 D0 k+ V3 {! ]前的尽是些垃圾:毒霸、瑞星和Norton。它们的流行与中国人随波逐流、轻信广告、做事% ^* `! N8 s! }. P! f g0 W
不细究这些毛病都有关,这自然不用说,但我认为最重要的原因就是公安部的评测。* W' r" T, c2 ?' e. \1 h
公安部的评分是这样的:毒霸95,瑞星95,KV90,Norton85,其它的杀毒软件依次列
/ Y- ] ^* c( D在后面。所谓检出率则是:毒霸100%,瑞星100%,KV100%,Norton9x%,依此类推。& F- _8 [. I5 g7 m1 T" H) o3 L- Z6 [
实话实说,公安部的评测是我见过的最假的评测,也是最害人的,因为它影响力最大
6 E* k7 |- ?9 L" @; s- C9 s,随便就可以扯出一大堆疑点:
" G( i1 q' i5 y' p, M5 f 1.KV那么强的引擎,凭什么排在毒霸、瑞星后面?如果说毒霸、瑞星恰好撞上比较“
( P( v4 G: Q' m: Y4 L* k# c j7 \$ A适合”自己的病毒库,那还好说。但既然检出率都是100%,其它性能KV则是全面超越毒霸
; M8 b2 A. D; `) X、瑞星,凭什么KV要比人家低5分?
7 r. ?7 j1 Q- j1 [9 |# ]! A4 U2 t 2.作为史上最废的杀毒软件,独一无二的冲突王、资源王、跳杀王,瑞星凭什么遥遥5 W" E- j* a4 g% C. C2 \! {
领先,并列第一?& O3 g. E% R$ j' e9 e+ L) g/ s
3.作为国内市场中病毒库最不全的杀毒软件,作为一个在民间评测与国外媒体评测中
* B% \9 M9 F. Q8 k屡次垫底的杀毒软件,Norton凭什么比McAfee、PC—cillin、Panda这些家伙的分数与检出
5 X- F& O( o8 G; J+ l, @率高?大家记住Norton当年的分数:6.3分!: j2 F" N9 x+ ~
4.凭什么大名鼎鼎的AVP不参加评测?! n% \/ F6 h; l [: F
5.凭什么公安部几乎只看病毒库?虽然民间评测有这样的,但官方评测从来都不是这
! b6 Z1 f* ^6 {5 |1 R样的。! J7 K% _" e. a) M5 Q# _4 v
6.凭什么公安部把除了病毒库之外的评分标准全不公开?
, y) M5 l; ~" ~* r0 } 7.凭什么公安部全盘都在暗箱操作?+ |" X9 Q: \0 |* a
8.凭什么会出现三个杀毒软件同时得到100%检出率的情况?全世界的杀毒软件评测,. U$ V" ?, s2 E+ O) D, g: h
根本就没出现这种情况。要么,就是公安部病毒太不全,要么就是人家想搞“民族产业振( E: X- j" M& l) o/ d
兴”。) ]7 N" ?" z# S8 v* x2 a
……
3 S4 W5 M& A" x, o5 m" d( _ 疑点多到了让人几乎可以窒息的程度。研究一下杀毒软件的历史,发现公安部评测实5 k9 H% N* I J- f' t
在害人。& q5 q" ~- I1 V6 F; j$ c! F) s
众所周知,KV是早期中国最著名的杀毒软件,一度市场占有率遥遥领先,今天却落到# f; ~$ T+ f) @1 e3 U/ j( Q1 q
了这个地步,难道是技术问题?KV的病毒库一直是全国最全的几个之一,未知病毒查杀当
: Y/ g: ^/ k4 p时在国内更是无可匹敌,而且早在KVW3000时代就可以杀UPX、Aspack甚至WWWPack这种偏壳
B) V/ _/ h( ~ r' z,恐怕只有AVP称得上对手。虽然对Win2000支持不好,但当时又有多少人用Win2000呢?那
! ?4 a2 P& f _" c9 [时KV的UI的确很差,但有些人认为KV那时用的是KV300的引擎,则纯粹是以貌取人,上面说2 @! F4 F0 s0 I1 Q
得非常清楚。然而公安部从那时起便不给KV好脸色看,KV于是便一落千丈,落得今天这个+ p) P3 A2 p& ~% u
地步。(硬盘炸弹固然也是一个原因,但今天还有几个网民记得这件事?还谈何影响力?
3 t: S$ B5 [: f. e3 \! a; F$ X再说,公安部做的可是评测,而不是历史清算)可是直到现在,毒霸、瑞星除了支持NT内
6 c p; \, o0 m' i) J4 u核实时监控,几乎什么都比不上当年的KVW3000,足以证明公安部评测的胡闹与破坏性。前$ Q& j; P' `6 J2 B
面说了,KV的文件监控本来就可以达到QQ、UC、POPO等防毒功能,今天却在KV2005中特意
, Q1 a' K$ W. d0 K6 \, u" |! I0 `4 Q“加上”相关功能,不得不说是一种无奈。; G& _- y3 M2 _/ U
KV的下场并非最惨的。有些人可能还记得当年有一个很著名的杀毒软件——行天。行
6 F& k/ y8 U9 U天虽没有KV的强大引擎,但病毒之全实在是出类拔萃,几乎一直是全国第一,而其它的任# o- H9 E5 A3 |% a) t2 Q- v% A
何方面也不逊于毒霸,跳杀的瑞星更是不用说。安全之星XP(VRV)也一样,至少人家比瑞
/ q7 F: y3 o: R$ S, r! x) G星毒库全,速度快,又没跳杀问题嘛。可是就是这样两个杀毒软件如今却销声匿迹,公安5 d0 c4 Q% q8 M
部显然脱不了干系。
% L* H3 l. ?& w9 |在这样一个节骨眼儿上,我不得不为KV说话——如果KV哪一天像行天VRV一样被整垮,我们
+ K, q6 G" q; k& k9 M中国还有什么可以拿得出手的杀毒软件?我们如何面对微软的进军?我们如何面对今后出) m" ~3 T' y0 X G/ f
现的彻底本土化的国外杀毒软件?网民们轻易相信广告固然是个原因,但如果没有公安部
6 ^8 [# o% e* s8 Z# ~, ~的评测,网民们会这样吗?. g5 w! o$ ]& [* x! G! l
一切疑点表明,公安部评测并非乱测乱评,而是有非常非常强的倾向性,是明显经过
* ]$ s: F# y2 j( t人工操纵的非常明显的作弊行为!毫无疑问,这后面还有太多的故事、太多的后台、太多- G, V* g: S- \( b3 f( A9 o( r
的黑幕、太多的权钱交易、太多的无耻。具体是谁在操纵,我也不知道,也没办法知道。 u8 T) A1 j! u) M" f
我只知道,它让三个垃圾占领了中国80%以上的杀毒软件市场。公安部评测,理应人神同诛
7 o* ^+ f3 c5 ~# _ T# z9 N!
9 s6 h2 e9 q* F ~ 公安部固然要负主要责任,但虚假广告照样脱不了干系。$ I- H9 q5 v" B& ]6 V0 Q
瑞星的瞎吹倒不多,但也不是没有:“第五代国际领先可扩展引擎”——作呕!不过6 b, W" } y# @% C8 Y
瑞星还算是比较“谦虚”的,比如防未知病毒能力就只敢加个“瑞星专利”作形容词,“3 D9 }6 H5 W1 z6 t6 J: G
清除病毒”之前就不敢加个“彻底”,算有自知之明。3 U- G" _9 `' K: F! n# j4 M# t
Norton倒没做广告,到底是怎么流行的,除了OEM大家也清楚:谣言可畏啊!
2 M; _( G$ j, G2 j 最最最最无耻的就是金山了,实在是令人发指!不信请看:
' w% i. v ?0 {6 U3 A% ~) n* O) N; ? 1、把你的金山毒霸包装翻到背面,一条一条地看:
( o/ `( V* m% b/ E ①“病毒处理速度>>病毒传播速度”这显然是瞎吹。
u. Y( r, i# R. U+ N ②“网页防毒,有效拦截……”这年头窗口炸弹写法也就几种,随便一找就找到一个
( }9 }7 \! U8 T9 n! u9 [毒霸杀不出的,(KV与Norton都杀得出)至于广告拦截更是效果几乎为0。你敢用这玩意儿; c! s1 F% j/ a7 S$ _9 ?6 O
拦网页木马吗?
8 A& u- X9 W9 k+ R. |6 n i, Y5 B ③“闪电杀毒”前面也说了,花哨的垃圾。: y1 K8 K2 i5 o" K# P" n, c
④“双引擎杀毒”金山的说法是:国际引擎是AVP的。懂一点杀毒软件的人都知道,双3 Q. _6 W3 S) a" \9 Q
重过滤分析是100%不可能实现的,否则毒霸耗的资源肯定不止那么多,速度也不可能那么0 {' F& M. x6 T: R @/ g) o
快。隐含的国际杀毒引擎杀国际病毒效果好的说法更是有违常识。同时,不能杀壳,不能
# R( C/ p& G2 N0 ^6 ~) j杀RAR,脚本拦截与杀未知病毒烂,这根本不是AVP的作风,去掉了它们,AVP根本不能称之
4 v0 E' ^0 Y, U. t$ N为AVP。再说AVP风头正盛,哪会干出这种卖引擎的傻事?
: q( q( ]2 \& ]: k6 _: i8 F 依我看,有三种可能:! o# Y( `& q- ~4 w! ?: c
(a)金山只买了一小部分引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒
7 d+ g& q2 v& V" z2 Y: j% r$ P [; F,等于没买。 t/ J) T5 ?5 w
(b)金山只买了一个老版本的AVP引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未
4 s6 y* S4 v) ^" n. e; b$ d& h6 i6 [知病毒,等于没买。这还是有可能的,因为毒霸老早就在吹它,时至今日,甚至懒得用一
4 R; E, K7 u& V1 x4 c2 E! L个“全新”作修饰。如果真是这样,我倒想给金山提个建议:买一个KV300的引擎,然后就 Y3 K3 ?( P6 m% ^$ L9 C
可以号称集成了KV的引擎了……
5 d2 z/ i# s' a0 b (c)金山仅仅买了个名号,这就是真的没买了。
) L3 R5 e- Y5 A7 _6 ~) N 这三条说到底就是没买嘛。
- g0 i, E. V& r ⑤压缩格式查杀:别的我没追究,反正金山号称可以杀RAR很久了,但直到推出增强版2 W$ Z! u3 Y% W% G& X. _
时才兑现,实在无耻。这个不用多说,大家一试便知。6 ~, g0 R7 ]4 |
⑥内存杀毒:前面的评测里讲得很清楚,不用多说,反正很多人都有毒霸报警却发现狂点
4 m1 l7 n0 }0 y R. Y2 ?: j/ Q$ Q也清不了毒的经历。不能内存杀毒也罢,金山竟敢再加一句“带毒杀毒技术,无需启动到! N( V9 i3 ]. [' W! J
DOS状态,直接在Windows环境下清除病毒”,真是厚颜无耻。每当我向金山售后服务问起2 w' c! _9 X/ E5 j* W
这个问题,人家都抛下一句话:“你到DOS下面去吧”。可你要知道,毒霸DOS版杀不了NT
5 Z) d3 \& }9 c' J: ?4 bFS呀!
$ v4 n6 }" A3 _! N ⑦硬盘修复:修复CIH与Opasoft造成的破坏我倒没话说,虽然我没试过,但号称修复- ]" I& O a: ] R7 T
Hdbreaker造成的破坏就肯定是胡扯了,实在是不自量力,我甚至怀疑这帮蠢货有没有见过- W4 M$ I1 m0 I
Hdbreaker。如果大家嫌自己电脑全是垃圾,也可以试试,反正我是很想在金山的每台电脑
$ H+ E2 @6 Y% l1 t; F/ [7 r4 b里都放上一个Aspack加壳的Hdbreaker:)' O/ s- i) B- j' I, V* X& Y5 Y8 Y
顺便骂骂网镖:! Q+ R; N; C+ S! _) A/ I/ x4 @5 Y
①作为一个规则过滤式防火墙,规则设定选项是它的灵魂。网镖的规则设定选项直到
% \9 \! |8 r2 M1 i3 ]% C3 m今天也是最少最不全的,连设置繁琐的瑞星防火墙都比不上,还敢叫“个人专业防火墙”
$ j2 V0 X: t9 x! w$ n?我宁可用Windows自带的防火墙。
" `: u4 _0 \6 d5 ` ③很多人都知道,新网镖有一个功能,可以自动拦截木马并报警。这功能看来似乎有
) }; c/ s+ |# g, E& X7 ?3 } Z用,但实际上是屁用没有。试想一下,网镖可以准确地报出木马名称,这肯定是人家动用
9 D# r$ W* M8 { E了毒霸的引擎杀出的已知木马。要杀便杀,金山却多此一举,实在无聊至极,是明显的作# }, z0 B3 J- W: h# W$ x
秀行为。8 e9 r( l; A) w* d
④金山网镖几乎是一周升级一次,但相信没有人发现过其中有什么变化,肯定是假升- F% |* y* c8 h: ?: o: t0 t
级。惟一的例外就是某次升级后,网镖会对冲击波报警,可我等早就打了补丁,要它作甚
/ t( v; j) ~2 G6 a- t?可是这个“内建规则”哪里都没法把它关掉,只好让它产生一堆垃圾日志。5 p8 h/ P$ @* j5 W
大家如果要用规则过滤式防火墙,那就用天网,试用版也行。如果你不嫌麻烦,那就# p( R7 i/ Y' }0 K3 v
用BlackICE。不论如何,就是不要用网镖,又花钱又受罪。
* _# L$ F$ y2 p1 _) ^6 l9 l) s( q% V 2.金山那帮售后服务的人实在太菜,以下是经典问答:3 j/ k& _/ p! P, U5 {' l0 t1 W
“毒霸怎么杀不了RAR?”“你到命令行下试一下,应该可以的……”,“毒霸怎么杀. i9 v c# H9 V9 H2 b' P+ `3 C6 \5 G
不了××病毒呀?狂点清除也杀不了耶。”“你到命令行下试试……”(小子,你们那个+ A$ ^3 x' ^& N9 X- O- W( E
很牛的“内存杀毒”呢?),“听说现在加壳木马很多耶,毒霸杀不杀得了?”“(有点3 ]" F+ f, S. q! x5 Q3 X
犹豫地说)应该可以的……”,大家还是自己实验的好。1 G) v |# b4 ~9 e- t8 D2 i4 U; e( }
3.有了以上几条,金山也仍然不能在众多骗子公司中“出类拔萃”,不过这一条可以, d- `5 K$ q/ R) o
改变这一点。) u4 {) `! N" s4 [2 {
众所周知,毒霸6增强版加强了杀木马能力,号称可以增加查杀15000种木马。可是大
# N7 {, o5 r& z( O" B r: r8 ^家是否想过,这多出来的15000种木马是从哪儿来的?是从地里冒出来的还是从天上掉下来
' x i# F5 _3 q* y的?显然都不是,金山获得木马的途径只可能是来自上报。这也意味着金山扣押了大量的/ r- s3 m/ B0 f, O, u# U5 s
上报木马,以便进行这样一次市场炒作。本人这个说法绝非口说无凭,因为我与我的许多 \/ `7 [. f3 f5 Q3 B
朋友都有相关的体会:(其实根本就不用这么多,金山的广告就够了,自己仔细看吧)' s! D3 C! C0 I, W% f u
# {8 X7 h) G1 k9 _9 P ①半年多以前,自己在电脑里抓了好几个木马,毒霸杀不出,便去上报。结果金山回) _$ Q+ i3 I' \* s
E—mail说已有人上报,要我等。我留了个心眼,过了几周便把它们拿出来杀杀,可是毒霸6 c3 H0 H: D& ~$ j3 K9 {' P3 k
一直不报警。这几个文件我已经弄丢了,但我希望那些给金山上报过木马的人把上报的木
+ J" y0 R5 t* x$ B马用未升到增强版的毒霸杀杀看,相信结果很多都是一样的。
+ a/ Z+ c& a" h, d0 p ②我有几个用毒霸的同学,在升到增强版后的那几分钟,电脑竟不约而同地报警说发% }7 K, |4 {' x( f; P( n
现木马。由于各种条件的限制,我只能搞到一个样本,不过相信这种情况一定为数不少。
' v3 T v; p( ?6 ~8 I6 C8 f8 |大家千万不能上金山的当,像我那几个同学一样,还以为增强版的能力很强呢。
9 Q6 {( Y8 o4 q; F6 }$ V( X 不管怎么说,毒霸的木马专杀本来就垃圾。木马专杀仅仅可以检查EXE关联与AUTOEXE
# K! i8 I2 I7 YC.BAT以及CONFIG.SYS,比民间的“木马分析专家”差了几千倍,不能杀壳更是让木马专杀
! M( q& U j2 g6 M成为了废物,加上扣押的15000种木马后,病毒库齐全度才达到KV的水平。# l" @ [9 ~- ]1 n8 n1 ?
“木马专杀”肯定是一个蓄谋已久的阴谋:全球每天才诞生200种病毒木马,就算它们: V* B" K2 a+ r2 j l' j" {" C/ _
全是木马,就算它们全部被金山收集到,那金山收集15000种木马也需要2个半月……而现
8 r1 L+ Y: u$ D" P2 L/ J/ S在金山更是把15000改为了20000,所以……
' W' G) I, _1 E7 K, f; j6 |* C! { 不得不承认,金山公司在国人心中的地位的确很高,但那仅仅是因为人家最早出现,
. T1 q) \+ D7 D5 d4 \而这并不能说明人家的产品好、信誉好,那只是国人的想当然。在雷军上台的这几年,金
* T% V- E6 n: ^' Y/ [+ @山广告的确做得很火,但软件的技术几乎没有长进。这就不止网镖毒霸了:金山词霸2005
k4 l0 `* H5 B* R2 K( a- D" E3 C仅仅是2002版换了个界面与发音库,词条中的错误却一个也没改;金山快译虽号称智能引7 v2 e, J% x% E. U5 ]+ l# {6 r
擎,但翻译效果却一直未超过Office2003,而且是差很远,几乎只相当于把一堆词拼揍起4 ~" t/ I, B" n! b% n) w3 _6 K
来,据网友说,金山快译2005会把“Counter—strike”译成“计算机罢工”——妈呀,人# g3 L" @) ~$ Q
家就是翻译成“柜台罢工”,我都不会介意的,可是“Counter”怎么跟计算机扯上关联了- C p' M/ ^! ]9 j( [9 b
?至于WPS,我认为也没什么好说的:WPS花哨的功能越来越多,可是时至今日,WPS仍未实% u* M' S I6 e6 V/ }
现电子表格中数据同步变换的功能,(即改一个数据,相关数据自动完成更改,这个功能
j, W( ^) ]8 N4 I1 w* v是必备的)仍然需要大家自己一个个手动更改。而此功能在Office里面早已实现,这很是
5 K0 E! k) _+ e- z! N- s# b说明问题。& Z5 i: i0 a/ O) J# ]
以上的说法并非本人发现,它们全都是网上已有的说法。综合起来,大家便可轻易看* n3 A9 u0 x C) A: b. I* Y7 X2 k
出金山的底细。
3 b8 f- m8 n! s. ` 当今骗子公司虽多,但也没有任何一个有金山这样明目张胆地坑人的,尤其是“木马
4 M8 D8 r) E; E+ ~2 o- R3 e/ W( H* m专杀”一事,炒作疯狂,全国媒体一齐尽献媚词,其设局构思更是伟大到了史无前例的地
0 l# l9 N4 ?; N步,那个大名鼎鼎的网E拍又算哪根葱?知道有人会想说当年江民的硬盘炸弹事件,那的确* R2 W+ {6 n. l/ }% V! Q
也是一个非常恶劣的行为,该骂。但当年的网民并不多,所以上网下载升级程序的受害者$ ?* M3 q k1 c" \) R
并没有象大家宣传的那么多。再说那只是针对盗版用户的行为,(我没说这是合理的)而
; m+ l* y2 P3 l+ n! L0 V# F金山则是拿众多信赖金山的正版用户开刀,论动机金山显然更加无耻。硬盘炸弹事件早已
9 Q6 D' t5 P$ [' r0 Y( ~# C* L6 {. a被公布于世,金山的“木马专杀”事件更应被公开在光天化日之下。至于两害谁轻谁重,* X, q2 w" ?( `& U
那就是另外一个问题了。
( `$ L) ^% h- t" a0 F 但是,大家不要忘了,以上一切的一切,如果没有IT媒体的撑腰,都是不会发生的。+ U% l( i. @1 z8 f1 B: f$ \
大家不要把当今的媒体看得多神圣,多有光彩。人家不是搞舆论监督的,搞舆论监督的也
9 y0 t( Z" I& {5 M! m! G不懂电脑。当今的IT媒体在面对谎言时,从来都没有打过头阵,从来都只是论坛的跟风者
! t' }& P" L. B* a6 `:3721、网E拍,它们全都是在网上论坛被骂得一塌胡涂的情况下才有媒体出来说话,有些7 ?- G: y5 Q( k1 B. w
媒体更是直等到3721推出新版上网助手才出场,趁此机会做“评测”说3721根本没卸载方
" g/ p i$ B! J. z6 R% B面的问题。(鬼知道这年头他们收了多少金山瑞星的广告费?)* N: v9 c4 r' M' H2 v. k
他们从来都缺乏说真话的勇气。当金山瑞星“论战”之时,他们几乎是一言不发。不. _2 H* d/ y/ o# o, w8 v5 u* g
要以为这是什么“清高”或是“公正”,在金山瑞星无数漏洞百出,毫无水平的“论词”! q9 H4 c/ l: |+ r! q0 G/ C
面前,真正丢脸的应该是他们,这种无作为对于一个真正的媒体来说就是同流合污。这些
+ }3 N8 C, l. H! |+ G _年头,他们又不分青红皂白地给了毒霸瑞星多少虚名妄词,多少沾着读者血汗钱的“编辑
! K/ A( b! S& ^- ?$ x选择奖”。试问天下谁是真枪手?他们才是!
7 O3 d+ ` g8 {6 e 上文中许多发现其实并不是我的原创,像瑞星漏杀问题在有些论坛上早已有人提出,
! z% g. C S3 L. X5 l3 S可是至今日,仍没有媒体敢提上半个字,足以证明他们的懦弱。看看他们干了些什么吧,9 R# \0 c2 x" [6 M, x
整天仅仅是唱唱瑞星给它们的那首老歌:“半个月以来,病毒A和病毒B这两个病毒值得注
8 C+ k7 Q6 E `) p' K5 h: z8 o意。病毒A试图/会/除了会××××。病毒B(则)试图/会/除了会××××。可以上网的
7 o$ [. q5 M7 K `; _/ N) m用户推荐采用在线杀毒方式,快速查杀这些病毒,也可以使用单机杀毒软件2004版,局域
/ N# `6 S( S9 e) n' y+ S网用户最好能使用瑞星杀毒软件网络版来彻底清除这些病毒。《瑞星在线杀毒》无需升级5 o6 k+ f8 }/ ?# V7 c; S c4 x
、《瑞星杀毒软件2004版》和《瑞星杀毒软件2004下载版》每工作日常规升级,遇紧急病
+ N# I, h3 F8 f+ \# O( D: o0 Z1 O I毒第一时间提供解决方案,每周升级的新病毒总数不少于400个!截止到×月底瑞星杀毒软
# J* ~& f+ G5 i, K件将升级至××.××版本,望广大用户及时升级。如遇病毒,请拨打反病毒急救电话:0
' c8 l- j$ U' l% ]9 C+ [10—82678800或使用瑞星在线杀毒: http://online.rising.com.cn”这堆破玩
+ h. E, g5 R8 f$ A! P4 H意儿对我们有何用?
! D+ ]1 w% D( A 毒霸瑞星的地位并不是真刀真枪地干出来的,它们靠的是无尽的谎言:媒体的谎言,
) g0 k% m5 X( l8 c. g( z' D7 Q公安部的谎言,它们自己的谎言,颇有中国传统的“官官相护”之形。这正是看似简单的
1 I+ |8 V, j/ ]) v6 H杀毒软件背后不可告人的黑幕。* _. {$ G+ L9 d+ q/ U& M9 ?" S
(以上观点只指截止至10月初的现象。同时由于取证时间较长,难免有疏忽,敬请指出)
' ^9 X' c! E6 S7 y' J5 q+ t申明我不是江民内线
! q1 B6 ~7 t! A. d: m% L* g' P [此贴子已经被作者于2005-2-20 19:43:19编辑过] - v! t v- x O. G: h
|
|
/1 
IP卡
狗仔卡
发表于 2005-2-19 20:57:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2005-2-20 10:51:00
发表于 2005-2-25 02:08:00
发表于 2005-3-12 03:46:00
