 该用户从未签到
|
6楼
楼主 |
发表于 2005-2-20 19:42:00
|
只看该作者
|
【转贴】杀毒软件背后的黑幕* _* p; c' p) |- X( v; u
1 T. ~7 ]1 ?' k. q8 v' E! u9 i杀毒软件背后的黑幕——中国最严重的信息安全问题+ z4 e6 M1 x# X. C' _
翻开2004年第18期《大众软件》,那个杀毒软件市场占有率排名让我百感交集:毒霸& u/ a4 ~# v8 w3 z0 @* }
38%?瑞星29%,Norton14%,KV11%……,不要以为这只是几个简单的数字,这后面有太多
& m- D8 Z3 f; i& |: l% G" L! w的故事,一时,竟不知从何讲起。这样,我们先看看各个杀毒软件的真实能力。(本评测
+ L4 x. G. f; P# t/ I中KV指KV2004)
6 x& h- @& H1 { }/ F s, S$ ~ 一、病毒库
, x0 V3 h n% j* S4 y& D 这些年头看过许多评测,有民间的也有媒体的,几乎都是以病毒库是否全面为依据。3 _/ Y* R! [( x' P$ m h' s" I
这是非常不科学的!暂且不说别的因素,我认为用杀毒软件对一堆病毒木马一通乱杀最后: i* C" L7 C7 K1 | Q
仅仅以检出率论英雄,是一种对读者不负责的数字游戏。2 J. B: \2 {! E
举两个最简单的例子,你有用过Norton去杀黑洞2004吗?不说别的,就说最有影响力
* y% Z% O8 p- U的0815版,Norton也是怎么杀也杀不出。这完全不是什么巧合,Norton如果杀n年前的经典( {9 a' _# C3 O
木马冰河84,也还是杀得出来的,只是会在隔离区里加上两个字作注释——罕见……6 q2 z2 }7 I7 a6 w
Norton是一个非常典型的例子,因为在这个方面的问题Norton是最明显的。不过其它
* b6 ^) {* r3 S! X5 S9 d的外国杀毒软件也好不了多少,哪怕是那个公认的杀毒王兼升级狂AVP,大家拿手上那帮大0 C) G% j/ \# g# i$ }) c
马小马自个儿试试吧,保证叫它们死得惨不忍睹,AVP那么好的引擎又有何用呢?(据说当
( \/ C- X7 c" {' }4 d年因为Pc-cillin杀不了CIH的某些国内变种,所以有人就……)
3 D7 V6 I' @: f8 E( T% W1 M8 A* s 就是不算木马,各种蠕虫变种也够这帮老外受的,其中最典型的就是Lovgate系列了。
5 o+ O6 W) s3 Z! d0 B有些用Norton的单位就算是天天更新,也总是不如它的变种来得快,甚至面对有些n年前的
: n* E8 d z& V" C国产病毒,那帮老外也一声不吭。/ F8 J5 @8 r+ U& w/ X7 c2 Q6 Y
综上所述,我们只能得到两个结论:1、面对众多国产病毒木马,外国杀毒软件只是一1 ]! l* `& F& u2 E. _) l
帮废物;2、以检出率论英雄是一个彻底的错误,因为一个1%可以包含很少的东西,也可以
2 d8 V) R$ j2 _2 W( z包含太多的东西,同样的检出率,一个可以杀灰鸽子,一个可以杀Beast或××国外二线木
; W; O; g. i2 {9 Q. h: H马,你会选哪个?4 ~ L; Y# d- l! o
虽然如此,但如果检出率相差太大,那就是另一回事儿了。Norton的病毒库是非常不3 b$ q- e3 B0 L+ y: D' \
全的,尽管在杀木马时与其它国外杀毒软件差不多,但在杀病毒时检出率相差实在太大。
" ]. M5 o z: g" J在许多病毒库比较齐全的评测中,(不包括公安部)Norton总是在最后几名徘徊,远远落
I+ [$ |) P" W4 d( r7 K在其它老外后面,甚至在有次国外媒体评测时仅给了Norton6.8分,(满分10分,,AVP9分
# s6 I! F# L. P0 L7 @' W; d$ g7 P)简直是……# T) T" ~; _! z3 S& K2 M% B
至于瑞星的病毒库也好不了多少,经常在民间评测中与Norton一起垫底,惟有木马库7 s: G% p. c* q# h/ B. ?( D
齐全了许多,所以其杀毒能力可想而知……当然,瑞星杀Lovgate这些国产病毒的检出率显
: s. j4 c) F9 w6 ~6 r/ N* X3 N% I然高些,但木马不同的是,病毒是会自我传播的,所以国外病毒在国内照样常见。于是有+ h% q6 R5 B, S( E% g4 M3 d
一次,我的一个用瑞星的同学在用Norton扫盘时扫出满盘的病毒……顺便说一句,当年瑞
' I1 s5 K7 j7 L& v% u星2003时人家可是一周一次升级!在这个方面,只有KV与毒霸过关,其它的实在差太远了
+ a" [3 }/ j0 I- D$ e6 ?% d6 v。
0 H1 |8 e7 ?6 I }7 a' C7 @ 二、杀壳能力1 x$ `5 C% u' I9 e' ]) c
在我看过的评测中,基本上没有哪个把杀壳能力放在眼里的。事实上,没有杀壳能力$ E% P2 w, ?8 H. {! T9 U8 q% L
,一个杀毒软件在面对木马以及病毒变种时,基本上就成了废物,有谁用马不加壳?有谁. j; \% |, m7 O, N2 y3 j/ W2 j7 J& l
改病毒不换壳?只要人家有意,你的杀毒软件一瞬间就可以挂掉。(近来网上有传言说加& ?, _$ ]$ E' U. @
了壳的木马自释放时会还原,这个说法是假的)经本人实验,各大杀毒软件杀壳能力如下
3 o4 \6 S% t4 C& }2 ?0 _6 N:
! y' M' z3 ]0 z, Z! ^ McAfee及大多数国外二流杀毒软件:UPX4 N @8 h/ q; A
瑞星:无
( \1 ^6 Z# [- q6 W3 L. J$ j 毒霸:无
5 l+ v- u9 @5 y4 p8 _! v# V Norton:无
# C8 b& I0 X6 T! k" ` AVP:大多数流行壳: V1 m- r" L, N/ x9 F7 F
KV:大多数流行壳+ l! ~0 Z; y) j. p
UPX是一种免费软件,所以支持杀UPX无需交专利费,如果一个杀毒软件连UPX都杀不了" x, j% w/ u5 z$ {2 h: W! F' n4 }
,那只能说明他们那帮人偷懒。当然,无论如何,没有杀壳能力的这些杀毒软件会轻易地1 U7 k+ Z8 O0 u( `1 c3 ]4 l
让你死翘翘的,所以大家今后必须重视杀壳能力。
" r( N7 S2 Y& F" e e& G E5 b8 h+ H! A* t* [
9 |# R- Z: v. u6 L4 M
- g6 f5 E, r6 z& Q& Z. s- q同样的木马,一加壳便是不同的下场
/ n1 D% W$ k4 w7 T0 U7 l; e三、清除能力7 e# L3 d5 ^, W7 O8 r2 `# B
不得不说,任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不
/ H2 A* b( g' y8 R2 T理想,不过由于在杀毒过后这些文件都成了死链接,所以随便找一个清垃圾文件的软件就
+ H0 F. D9 i/ b/ o9 S) e可以了。9 g/ n8 D; m, m9 ]4 E* t
其实关于清除能力,大多数的杀毒软件都差不多,不过倒还是有几个特例:
# }* F; Q! u8 r4 B; K) k瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下,杀Lovg% F8 u! S" N7 o
ate用了2天,杀某蠕虫病毒用了一周,杀folder.htt病毒用了超过一周时间也杀不干净,
* L0 W* _- f+ i4 r0 m7 y最后只用搜索并删除同名文件却杀干净了!明显是跳杀现象。
! u6 J a5 v5 T, yNorton则是一见染毒文件就删,实在令人怀疑Symantec的人是否学过汇编。另外Norton在" j# ~1 s# q+ w U
撞上一个病毒在内存中的进程时,竟经常不会自动关闭,需要你手动关闭,而其它任何杀3 e: t, k n7 `2 M' S
毒软件大都有此规则。
R4 w% M! f0 o+ G: N- a% J 四、内存杀毒及DOS杀毒 O% C. g+ S* E7 v2 `
当今国外杀毒软件基本没有再提供DOS杀毒的了,所以面对dll进程守护式的病毒木马
+ r0 p' W" m. Y7 @7 K# g, O就只能到安全模式下碰运气了,并且有时还会失败。相比之下,毒霸、瑞星、KV都有DOS杀
5 l, g6 o% U5 {. i9 i毒能力,只是毒霸杀不了NTFS,KV可以杀壳。
" G6 t; L1 O5 B- l& `! Q- a 国产杀毒软件都号称可以内存杀毒,但大都只是实时监控加进程关闭的换汤不换药,
. i- W/ H3 p8 C8 s9 g2 o杀不了dll进程守护,甚至不去检查调用的dll文件,等于一个功能没加,只有KV一个一个; [# \* ^7 F/ l9 X7 X5 U
dll地检查,并有查到毒后反复检查内存及必要时自动开机检查的功能,dll进程守护的病: v3 H; q0 z. S- n
毒木马基本上都可以挂掉。实话说,只有KV的可以算有内存杀毒功能,其它的都是吹牛。5 D5 j, c2 g' V, [- s
2 t* \; J+ f6 @; h
五、实时监控; t1 D# K& @! y$ E' @
当今的杀毒软件几乎都要吹一吹自己的实时监控,但实话说,没什么稀奇的:一是对) Q! g6 f$ l$ C' o* S- ]
进入内存的程序进行扫描,二是预读。(解压时查毒属于第一项)第一项没啥子稀奇,至' N# j/ |7 ]. z$ x( C& }3 f* W
于第二项,国产杀毒软件的速度大幅超过了老外,的确可喜可贺。+ I9 E; u2 A1 e' Q H
尽管如此,不得不说说KV。KV的实时监控技术,即“动态比特滤毒”技术实在是太强+ _& x2 E+ C v/ _0 R
了。为什么我一直在用Net Transport呢?因为在打开KV文件监控的时候,KV会自动对进入1 x; J% _& w* H% p- f' b' C7 [7 r) }9 M
电脑的文件进行扫描。如果是带毒的压缩包,KV会在下载结束的一瞬间报警,如果是EXE或% o& ?6 \1 @' M& _0 ?- j
DLL等,那么有时才下载到一半就会报警。另外如果你用Windows搜索时开KV文件监控,KV7 R1 G4 c3 a" `1 u4 G: f, I
会顺带地扫出很多东西,(前提是你硬盘上有)上次我就是忘了这一点,结果把自己的黑
2 D* R' r2 S' P: g$ s/ i. t软库一大半倒进了隔离区。(开个KV在网站上防Asp木马,爆爽!)* d4 h. V) {" Z% D3 n
六、杀未知病毒能力
# P9 W: ?3 x1 O 当今的杀毒软件对这一点都“非常重视”;所谓“重视”就是大肆做相关的广告;行 \6 i5 U" f8 x( x% a
为判断、虚拟机法、智能跟踪……如果这些都是实话,那么面对一个歪壳压的病毒,杀毒3 N% s6 p" f; A, q7 \4 {$ H
软件们理应报警,但事实上没有一个杀毒软件做到这一点,这些谎言也就不攻自破了。当; J, x( Y& E- y% T- ^6 Z4 a! b) c
今的杀毒软件的防未知病毒机制其实只有启发式扫描,即仅仅是扫描文件中的可疑代码。
# C' W5 i9 ]1 Q5 p4 h& y- c* ^也就是说,如果解不了壳,再强的启发式扫描引擎也什么用也没有,由此,KV、AVP的表现
f: `5 y% Z+ I4 o1 J大幅超过了其它的杀毒软件。在加壳病毒横行的今天,其它的杀毒软件几乎全是吃鸭蛋。% o" t8 `- Q" Q6 w% @$ j; _ U
0 r4 G9 q+ o" L
不论如何,毒霸、瑞星和AVP的误报率都算比较高,尤其是前两者,几乎只有误报纪录6 {$ R( o+ }/ l. g( ?5 v
,毒霸的实时未知病毒检测甚至会干扰到已知病毒检测。Norton与KV到目前为止我也没发
: G) |" R9 Y& \' `: q6 w. h; P现误报,不过Norton的未知病毒检测也不乍地,只是比毒霸、瑞星强了许多。
) U3 a) R0 `3 {# A9 S% I 不看误报率,只有AVP与KV的能力令人满意,AVP自然不用说,人家可是启发式扫描的
) l/ ]# V9 U {0 c# P0 @7 }9 V鼻祖,具体能力大家也清楚。事实上KV也是非常强的,只是可能大家不知道,最经典的例' L' O5 P6 C- h$ t: |
子就是当年的KV3000不升级就可以挂掉冲击波!不过据说KV未知病毒检出率略低于AVP,也
& G9 w( Q! ]$ t+ e许这是为达到误报率为0所必须牺牲的吧。- O" X S+ R q
大家注意,哪怕是KV、AVP,它们杀未知木马的能力也为0,也许它们一向都只是在研
2 f q/ V' P9 ?1 o$ n- v究病毒吧。若要杀未知木马,大家一定要用****,据我实验,****是第一个采用行为判断法' e" ?" ^0 {3 V5 r5 T! M# a% f
的安全软件,同时有超强的专门对付木马蠕虫的启发式扫描引擎,对付加壳木马也非常有3 q' S C2 I$ U5 x
一套,实为史上最强的杀马软件,曾被ZDNet评为年度十佳软件……如果你用过老版本的* R$ \; r, j% }: ?0 n0 a
***杀当今的黑洞灰鸽子你就知道了。不过这有点扯远了。
- O( L; |" a8 o. X5 C4 C- }1 u. p 七、速度( c2 V( t! S/ S$ H! e
首先对毒霸的“闪电扫描”提出质疑:; w# Q7 ~; W$ i# q( c
①有谁愿意为了一点点时间而仅仅去扫某些病毒呢?安全至上呀。6 C- h( z! p6 t, q: n
②病毒经常是相互附身一齐出现的,这可是常识呀。
B# |5 Y! R4 o) X ③鬼知道它扫的是哪100个病毒?
; E F0 q' j3 [# @9 y “闪电扫描”顶多是一个花哨的噱头,基本上没有人用,大家不必理会它。大多数杀
2 t) s; J! [" P( Z i毒软件速度都差不多,可以接受就行了,不必排先后。不过AVP由于支持杀壳,所以在开了' e9 E$ |6 ~1 U! W9 T9 t+ Y
杀壳后速度慢了很多。但瑞星令人实在受不了,慢得甚至出现了专杀工具速度跑不过其它 R/ n$ l' }+ I
完整杀毒软件的奇特现象……。KV还是令人佩服,又支持杀壳,速度仍然很快,着实先进
R( e9 N' x' h. L5 L$ T,不能杀壳的毒霸扫再快也无法动摇这一点。
$ T5 s4 W3 o# u' X, m/ F* [3 W 八、集成度/ {5 \4 N. U% S& P& \) {/ ?5 F
老外们在这儿不得不出局:不支持QQ?Game over!. a1 u# u2 v" Y$ _, |" T
KV的集成度肯定是最高的:有了动态滤毒,KV等于是支持了一切聊天软件与下载软件
e. D9 f# Y; q/ u( G( P,同时效率最高,名义上不支持QQ算什么?
# V `% L0 J) r' ~. x 毒霸及网镖在一次死机后图标全会消失不见,极不方便使用。瑞星用DLL进程守护解决
6 g9 X( O0 M, z& d. L. A了这个问题,不过同时也带来了无尽的资源占用与冲突问题……, d+ A3 k5 x5 ^) A+ d7 W4 P" l
九、压缩格式查杀支持(出于实用,我们只看ZIP与RAR)
- Z) q( M6 k: T8 `1 M KV:普通ZIP、超真空ZIP、RAR/ z* f& u4 \6 L$ q @3 D( P z
AVP:普通ZIP、超真空ZIP、RAR% m# @+ p" B& m0 g9 J, ?: T" d8 \
毒霸瑞星:普通ZIP、RAR4 W6 B6 Y1 W7 u
其它大多数国外二流杀毒软件:普通ZIP' l3 V# k0 e. ?1 p+ D
大多数外国人都不用RAR,所以Norton与McAfee等都杀不了RAR
' `' c) k4 u4 S 十、资源占用与冲突:
" e# e( H U# y! a5 u KV与AVP资源占用最小,获得广泛好评。Norton毒霸一般般,但开了QQ后Norton资源占
' b! T) E: V1 U1 v3 F* t用暴升……瑞星这方面问题极严重,不仅是当之无愧的冲突王,也是万“死”不辞的资源/ j& Q; q. j1 s- ~6 m% g
占用王,有些配置稍逊的电脑在开了瑞星后,(只装瑞星)弹出右健菜单竟需3—5秒……另
- f" T. A4 g* {外好象有一个说法,就是装了瑞星后装其它杀毒软件,基本上都会起冲突:装毒霸后不开实3 U1 Y' T' A1 B! R0 A
时监控系统也爆慢,网上有人把Norton这样装则是根本进不了系统。当然也有例外,就看
) m& b0 W6 s% M6 b' k你的造化了。
. m( D4 b( l4 O" F) N- S1 { 总结:Norton实在太废,除了公安部和某些菜鸟,几乎是人神共诛,连外国同行都不
7 d* z; L }7 U& f- @1 s$ F/ U7 F以为然。(6.8分,妈呀!)虽然Norton是实时监控的鼻祖,但却不思进取,活该。大家若0 V4 {1 {8 @/ ?: z
一定要崇洋媚外,那就请用AVP。不过我一开头就跟大家讲得很清楚,非本土化的杀毒软件) R/ W" k( j9 @7 i; b K" H" i5 ?
的下场嘛……0 p# K$ \5 p) Y' M% W
毒霸的表现勉强算二流,面对加壳木马还是太嫩了。瑞星则是我见过的最废的杀毒软, b0 A2 {9 p/ P' ]* W
件:毒库不全,耗资源,易冲突,不杀壳,速度慢,跳杀!这年头民间防病毒软件非常多
& j7 J) P0 G2 G5 M% z2 L% Z,大的有十几兆,小的只有几十KB,没有一个有跳杀的问题,扫上7天对它们都算神话来的3 c8 z4 D; ?# l) C. ~
!毫不客气地说,这一点可以让我们确定,瑞星是全世界最废的杀毒软件——谁不知道跳# a2 k, _, k' I' d
杀意味着什么?* w5 a. \% p" w1 d0 t8 X
至于我对KV的评价,也绝不是一家之言。有许多国外媒体都在吹AVP,但这并不代表A* f! w3 u) U8 S4 x4 @4 O
VP比KV强,因为大家都没见过KV,惟一的例外是日本人评了一次,结果大家也知道,KV获0 L3 \' \7 w" k( p! S2 c
胜。与此同时,国内大多数的黑客专业网站推荐的也是KV。这跟本文的结论是一致的。KV% H2 g; C; J6 ~ K: J6 ~) ~6 B
如果做好了国外病毒木马的收集工作,届时一定可以在国外压过AVP的风头。
& u/ p" T0 p" n2 [; J 我个人认为,本篇评测,是当今世界上最科学的评测之一:8 \* R* M% N" B. Y" p4 S
1.一个评测如果只看重病毒库,那么只说明这帮人压根儿就不知道木马加壳术,不认4 Q H6 k' m, z* g' \6 {- Q' w
可加壳后的无敌木马的危险性,甚至连瑞星的跳杀问题都看不到!0 F- c; a' j* L* k
2.一个杀毒软件的能力是有限的,并非一个数字可以代表得了,正如水浒英雄的能力
5 ~7 b% V: r+ e. ^0 m6 r并非那些“水浒人物卡”上的几个数字可以代表的,另外国外杀毒软件杀国产木马的狼狈
* a" t' s* b+ `! N相与评测时得到的检出率与分数完成不成比例,也能很好地说明这一点。一个真正合格的
! S P* j4 Q" d# O评测应该是把各个杀毒软件的优点缺点都列出来,让读者自己去按自己的需要来判断,最
3 w7 b, \ k0 [. K+ b' D( k! E: o多分不同情况给它们简单排排名。+ K3 X8 [/ G6 X6 ~: Z
3.一个评测如果只是泛泛而谈,而不分出杀毒软件的优劣高下,这只能说明这是一个
8 _+ P& L& y# Q' {8 e# ]/ z# a广告大串联,而不是什么评测。本评测中出现KV一边倒的局面并不能说明本人的方法不科, n* K& U- `+ ]. H# S2 X
学,反倒说明其它的评测根本算不上评测。# X: A5 C# R9 q0 }1 x T
4.最重要的一点,本评测一切论据与细节都是公开的。(比如病毒名称,评价原因)8 D" i7 c3 \: T- Y
就算去除一些口说无凭的个人经验,只剩下大家可以自己操作自己实践的部分,大家仍会: U' s9 n8 K2 x6 ?9 s* d9 S
得到同样的结论。本评测的真实性无可怀疑正基于此,大家尽可乱试。8 j6 p6 G6 M: z. f4 [' _; w8 n
如果仅仅是做个评测,那么离“黑幕”就差太远了,但是事情远不止这么简单。我认1 ~! k S8 z. f
为,如果压在KV头上的是AVP,我认为大家还有些讨论的余地,但我们可以看到,排在KV之
+ H0 V5 W1 j1 p; U4 M7 d6 `前的尽是些垃圾:毒霸、瑞星和Norton。它们的流行与中国人随波逐流、轻信广告、做事" F' v+ n8 ?7 |
不细究这些毛病都有关,这自然不用说,但我认为最重要的原因就是公安部的评测。6 \' Z4 S) `$ S+ I3 M2 U
公安部的评分是这样的:毒霸95,瑞星95,KV90,Norton85,其它的杀毒软件依次列' B- @% R5 z# z) S/ c/ m
在后面。所谓检出率则是:毒霸100%,瑞星100%,KV100%,Norton9x%,依此类推。
% I& B7 e0 h+ }; M; [5 T 实话实说,公安部的评测是我见过的最假的评测,也是最害人的,因为它影响力最大
4 B' v( g& H# J' [- \# Y, b,随便就可以扯出一大堆疑点:
6 m/ y7 \3 a& ^ 1.KV那么强的引擎,凭什么排在毒霸、瑞星后面?如果说毒霸、瑞星恰好撞上比较“/ u$ i) V9 G( L# N: P2 B7 J+ L
适合”自己的病毒库,那还好说。但既然检出率都是100%,其它性能KV则是全面超越毒霸
- H4 g6 I9 d8 y9 Y; _、瑞星,凭什么KV要比人家低5分?
" k' K) n, _4 S/ y4 f, Q# w 2.作为史上最废的杀毒软件,独一无二的冲突王、资源王、跳杀王,瑞星凭什么遥遥
6 v9 r; x1 B, H6 V7 Y: A* s6 P领先,并列第一?
8 O& a( h4 `8 c 3.作为国内市场中病毒库最不全的杀毒软件,作为一个在民间评测与国外媒体评测中
; T, t9 O) i& b# y5 T屡次垫底的杀毒软件,Norton凭什么比McAfee、PC—cillin、Panda这些家伙的分数与检出) w! a6 s* R3 o) @# A% l
率高?大家记住Norton当年的分数:6.3分!+ k' B1 d. F+ s; j0 g
4.凭什么大名鼎鼎的AVP不参加评测?
+ ^( L; J7 N" W4 K, ?! x 5.凭什么公安部几乎只看病毒库?虽然民间评测有这样的,但官方评测从来都不是这- k; G# M6 D0 e- G" \$ o5 ~. F# V
样的。! `1 \2 h3 J% A3 E: b
6.凭什么公安部把除了病毒库之外的评分标准全不公开?, V' C3 m9 y/ q4 e# V
7.凭什么公安部全盘都在暗箱操作?0 A5 K- X4 {1 H
8.凭什么会出现三个杀毒软件同时得到100%检出率的情况?全世界的杀毒软件评测,$ K; E3 ~& I& F ^. d" u
根本就没出现这种情况。要么,就是公安部病毒太不全,要么就是人家想搞“民族产业振( F+ d9 Y8 t$ c- ]3 |: [ }
兴”。
# h5 Y. K: g# |) C# S1 Z……
" p8 x9 y& d( U# j5 I9 x 疑点多到了让人几乎可以窒息的程度。研究一下杀毒软件的历史,发现公安部评测实
' T$ I+ f) ]3 u8 B- q在害人。
/ _9 q3 @6 L5 d2 P7 J 众所周知,KV是早期中国最著名的杀毒软件,一度市场占有率遥遥领先,今天却落到2 f( G2 k# Z. d$ p; e
了这个地步,难道是技术问题?KV的病毒库一直是全国最全的几个之一,未知病毒查杀当! ^: p" ~- a, Y0 l: W) |
时在国内更是无可匹敌,而且早在KVW3000时代就可以杀UPX、Aspack甚至WWWPack这种偏壳
$ Y4 u8 J. G6 b N) N: G2 e,恐怕只有AVP称得上对手。虽然对Win2000支持不好,但当时又有多少人用Win2000呢?那
4 ^) r2 v2 B, ]$ _- b8 B0 @! ] I时KV的UI的确很差,但有些人认为KV那时用的是KV300的引擎,则纯粹是以貌取人,上面说& d8 D2 L/ Z; r" h
得非常清楚。然而公安部从那时起便不给KV好脸色看,KV于是便一落千丈,落得今天这个
# V6 G: n& Z: f5 p* n7 C地步。(硬盘炸弹固然也是一个原因,但今天还有几个网民记得这件事?还谈何影响力?; O4 k/ [8 a: ^9 X0 O- ^
再说,公安部做的可是评测,而不是历史清算)可是直到现在,毒霸、瑞星除了支持NT内
: ~ @3 \8 V: z' h& J核实时监控,几乎什么都比不上当年的KVW3000,足以证明公安部评测的胡闹与破坏性。前
. b0 f# s" k; Z6 l: h& g: n面说了,KV的文件监控本来就可以达到QQ、UC、POPO等防毒功能,今天却在KV2005中特意5 {' G! ]! U6 v% k- n/ `* K
“加上”相关功能,不得不说是一种无奈。
8 |" b; N0 j6 Y3 k, e6 q KV的下场并非最惨的。有些人可能还记得当年有一个很著名的杀毒软件——行天。行( M; ^% |# \( I' T' W% F
天虽没有KV的强大引擎,但病毒之全实在是出类拔萃,几乎一直是全国第一,而其它的任- p( J" B5 |8 T& R3 w1 x5 W
何方面也不逊于毒霸,跳杀的瑞星更是不用说。安全之星XP(VRV)也一样,至少人家比瑞
) E- G; v- Q1 |& i' G" j星毒库全,速度快,又没跳杀问题嘛。可是就是这样两个杀毒软件如今却销声匿迹,公安# [. S, l4 Z/ B) L
部显然脱不了干系。
4 @2 B5 K* @ e6 y! v! Q9 p在这样一个节骨眼儿上,我不得不为KV说话——如果KV哪一天像行天VRV一样被整垮,我们% ~# O- P9 K/ [
中国还有什么可以拿得出手的杀毒软件?我们如何面对微软的进军?我们如何面对今后出: ?+ S' W/ m Q) M
现的彻底本土化的国外杀毒软件?网民们轻易相信广告固然是个原因,但如果没有公安部
) `8 ~, c8 T o( S# z的评测,网民们会这样吗?
3 [8 P. d; l& g8 D' c# F( } 一切疑点表明,公安部评测并非乱测乱评,而是有非常非常强的倾向性,是明显经过4 C" K5 U8 S* I/ ^# c; D8 B
人工操纵的非常明显的作弊行为!毫无疑问,这后面还有太多的故事、太多的后台、太多4 A1 B* D: ?4 V+ V6 \7 m
的黑幕、太多的权钱交易、太多的无耻。具体是谁在操纵,我也不知道,也没办法知道。' \! b3 e5 v/ h0 {2 w
我只知道,它让三个垃圾占领了中国80%以上的杀毒软件市场。公安部评测,理应人神同诛. I6 J& Z& J$ \& W! M2 p
!& p0 X9 @8 a" x2 B
公安部固然要负主要责任,但虚假广告照样脱不了干系。
2 \' \9 Z* Q. J% |) |7 J 瑞星的瞎吹倒不多,但也不是没有:“第五代国际领先可扩展引擎”——作呕!不过
+ b' D& Y. C! g9 ?; k3 t瑞星还算是比较“谦虚”的,比如防未知病毒能力就只敢加个“瑞星专利”作形容词,“ c/ L! v) M! B& R% y" F4 Y
清除病毒”之前就不敢加个“彻底”,算有自知之明。% k- g/ ^! w5 P
Norton倒没做广告,到底是怎么流行的,除了OEM大家也清楚:谣言可畏啊!
4 `1 {4 u% a( x V9 u 最最最最无耻的就是金山了,实在是令人发指!不信请看:
1 q, C. j4 u9 P2 ?+ _$ y 1、把你的金山毒霸包装翻到背面,一条一条地看:0 Q; ]( i1 T- _" g. h
①“病毒处理速度>>病毒传播速度”这显然是瞎吹。
5 v) I: o. S8 h: h( z2 s ②“网页防毒,有效拦截……”这年头窗口炸弹写法也就几种,随便一找就找到一个( h% C# F b% c" C1 p. H5 M* o
毒霸杀不出的,(KV与Norton都杀得出)至于广告拦截更是效果几乎为0。你敢用这玩意儿2 _3 n* V1 ^; a0 E3 O) X
拦网页木马吗?3 e: Z7 W" r1 w2 O3 H, a: ]9 e, J
③“闪电杀毒”前面也说了,花哨的垃圾。7 s# F' L6 ]8 P
④“双引擎杀毒”金山的说法是:国际引擎是AVP的。懂一点杀毒软件的人都知道,双7 P: V( Q* G5 Y1 y
重过滤分析是100%不可能实现的,否则毒霸耗的资源肯定不止那么多,速度也不可能那么
) H' i" A: Q0 e3 R) F快。隐含的国际杀毒引擎杀国际病毒效果好的说法更是有违常识。同时,不能杀壳,不能
* ~% j5 S5 s) R5 h杀RAR,脚本拦截与杀未知病毒烂,这根本不是AVP的作风,去掉了它们,AVP根本不能称之+ l6 o, X1 _4 B( V" w
为AVP。再说AVP风头正盛,哪会干出这种卖引擎的傻事?% U$ w) P" a0 g! d, P+ T8 J6 P* C5 b: Z
依我看,有三种可能:
( \( m5 E, ?- l (a)金山只买了一小部分引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒
, c* |7 s, E2 p" c& v# B6 e' h" B+ c,等于没买。
, C' V3 m9 `, B+ [: J) k1 X" z6 L (b)金山只买了一个老版本的AVP引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未# U H' Z+ {- a/ ~! B1 s/ T" a
知病毒,等于没买。这还是有可能的,因为毒霸老早就在吹它,时至今日,甚至懒得用一' D# v# ~8 U& n, ]* t
个“全新”作修饰。如果真是这样,我倒想给金山提个建议:买一个KV300的引擎,然后就( |8 ]+ a/ t4 q1 |# n4 X
可以号称集成了KV的引擎了……+ @0 S5 k+ v: Q; R
(c)金山仅仅买了个名号,这就是真的没买了。
- Q) A- S! a( u' ] 这三条说到底就是没买嘛。
3 \3 |1 W: e2 R5 E- T' { ⑤压缩格式查杀:别的我没追究,反正金山号称可以杀RAR很久了,但直到推出增强版5 E9 R7 l4 q2 I: x9 I$ m
时才兑现,实在无耻。这个不用多说,大家一试便知。6 ^5 s) m1 y, ~6 ~/ |' b
⑥内存杀毒:前面的评测里讲得很清楚,不用多说,反正很多人都有毒霸报警却发现狂点7 ~* q) ?% m- `
也清不了毒的经历。不能内存杀毒也罢,金山竟敢再加一句“带毒杀毒技术,无需启动到0 s% b# x4 S* E3 a' p
DOS状态,直接在Windows环境下清除病毒”,真是厚颜无耻。每当我向金山售后服务问起8 y4 |5 w; Y+ j0 |
这个问题,人家都抛下一句话:“你到DOS下面去吧”。可你要知道,毒霸DOS版杀不了NT* e7 h$ Z. |* E1 Y! h* C
FS呀!
6 j* e `; c A2 H8 O ⑦硬盘修复:修复CIH与Opasoft造成的破坏我倒没话说,虽然我没试过,但号称修复
) d. M, n: O& l) S" OHdbreaker造成的破坏就肯定是胡扯了,实在是不自量力,我甚至怀疑这帮蠢货有没有见过) w0 V) U/ Z2 x: H4 u/ |
Hdbreaker。如果大家嫌自己电脑全是垃圾,也可以试试,反正我是很想在金山的每台电脑
% F# U; ]2 d2 Y7 A7 O c/ k里都放上一个Aspack加壳的Hdbreaker:)7 {- G: p5 [% b( R. S4 X
顺便骂骂网镖:8 m( _. C7 a: P( R, v
①作为一个规则过滤式防火墙,规则设定选项是它的灵魂。网镖的规则设定选项直到
3 X/ L! v8 d8 X4 ]& D. [, r今天也是最少最不全的,连设置繁琐的瑞星防火墙都比不上,还敢叫“个人专业防火墙”
8 Q9 f, D! U2 q- \. |. W0 J+ B?我宁可用Windows自带的防火墙。0 y/ P1 \7 Z4 N; J5 O* \* H' p
③很多人都知道,新网镖有一个功能,可以自动拦截木马并报警。这功能看来似乎有
3 x( i: E2 \' U2 m+ N' q. t5 x用,但实际上是屁用没有。试想一下,网镖可以准确地报出木马名称,这肯定是人家动用
- |, F8 ?# @0 O) r了毒霸的引擎杀出的已知木马。要杀便杀,金山却多此一举,实在无聊至极,是明显的作3 g, P0 a$ ~! b- m3 i4 b
秀行为。' V9 G! a5 |3 j1 y
④金山网镖几乎是一周升级一次,但相信没有人发现过其中有什么变化,肯定是假升
! e2 Y- D5 T% `# c4 l级。惟一的例外就是某次升级后,网镖会对冲击波报警,可我等早就打了补丁,要它作甚
; C' p* h; M% u. u5 a% a?可是这个“内建规则”哪里都没法把它关掉,只好让它产生一堆垃圾日志。& c" X- {) h) s+ r
大家如果要用规则过滤式防火墙,那就用天网,试用版也行。如果你不嫌麻烦,那就
/ s$ e7 e1 R2 ^) A* {8 ?, `用BlackICE。不论如何,就是不要用网镖,又花钱又受罪。
; K3 q- O% q( l 2.金山那帮售后服务的人实在太菜,以下是经典问答:
& O& f' o0 X& m4 d; { “毒霸怎么杀不了RAR?”“你到命令行下试一下,应该可以的……”,“毒霸怎么杀- P/ u T9 v7 p* k. l; X
不了××病毒呀?狂点清除也杀不了耶。”“你到命令行下试试……”(小子,你们那个; U- T' R; D3 ^4 q
很牛的“内存杀毒”呢?),“听说现在加壳木马很多耶,毒霸杀不杀得了?”“(有点
- R2 ~+ u% X: ~9 v! w! Z犹豫地说)应该可以的……”,大家还是自己实验的好。& h+ v7 W1 v! s) N
3.有了以上几条,金山也仍然不能在众多骗子公司中“出类拔萃”,不过这一条可以
9 ^8 ^& W& j) g0 X3 G0 ~改变这一点。6 Z u& F4 J1 |* H) [0 ]
众所周知,毒霸6增强版加强了杀木马能力,号称可以增加查杀15000种木马。可是大
% K7 J% c9 {. d1 U% g" o! I家是否想过,这多出来的15000种木马是从哪儿来的?是从地里冒出来的还是从天上掉下来
% m- ~9 Z9 H9 t/ j的?显然都不是,金山获得木马的途径只可能是来自上报。这也意味着金山扣押了大量的( T7 |( }& \+ Y; u. ?" T/ Z4 H
上报木马,以便进行这样一次市场炒作。本人这个说法绝非口说无凭,因为我与我的许多3 q* I/ B1 ?8 T+ o, |
朋友都有相关的体会:(其实根本就不用这么多,金山的广告就够了,自己仔细看吧)
- X: Q; g5 H* G$ x$ v+ K
- H% M6 X# s2 W9 o$ @4 k. P3 p/ Z ①半年多以前,自己在电脑里抓了好几个木马,毒霸杀不出,便去上报。结果金山回
' Y0 u! z) Q) V/ L1 RE—mail说已有人上报,要我等。我留了个心眼,过了几周便把它们拿出来杀杀,可是毒霸" `6 B0 e+ y' D* }8 l
一直不报警。这几个文件我已经弄丢了,但我希望那些给金山上报过木马的人把上报的木7 [) o- T& v% S! d" _
马用未升到增强版的毒霸杀杀看,相信结果很多都是一样的。
, D. O) _1 Y% I: b3 \/ P1 [ ②我有几个用毒霸的同学,在升到增强版后的那几分钟,电脑竟不约而同地报警说发
4 q) j0 ]( Y2 p9 L: X0 I2 F现木马。由于各种条件的限制,我只能搞到一个样本,不过相信这种情况一定为数不少。* h# ^& Z( ]' `
大家千万不能上金山的当,像我那几个同学一样,还以为增强版的能力很强呢。
+ K* O( t% j- I$ B0 {$ p: B 不管怎么说,毒霸的木马专杀本来就垃圾。木马专杀仅仅可以检查EXE关联与AUTOEXE3 c( z/ |$ k; r V) s- P& v
C.BAT以及CONFIG.SYS,比民间的“木马分析专家”差了几千倍,不能杀壳更是让木马专杀" o" j D/ ?4 J; ?) i* {* [" a
成为了废物,加上扣押的15000种木马后,病毒库齐全度才达到KV的水平。# K$ P) z4 e- k2 R5 d
“木马专杀”肯定是一个蓄谋已久的阴谋:全球每天才诞生200种病毒木马,就算它们
+ V" U0 T, ]7 u/ b; Z4 Z! Z全是木马,就算它们全部被金山收集到,那金山收集15000种木马也需要2个半月……而现* w4 @- r0 r! J5 c* K. c' a p8 p
在金山更是把15000改为了20000,所以……9 i/ T d+ _( R# a& H$ p
不得不承认,金山公司在国人心中的地位的确很高,但那仅仅是因为人家最早出现,: V# d: O' u1 W8 A. v0 C$ Z
而这并不能说明人家的产品好、信誉好,那只是国人的想当然。在雷军上台的这几年,金
3 \: {: C# ?% w) N, K山广告的确做得很火,但软件的技术几乎没有长进。这就不止网镖毒霸了:金山词霸2005
( I; z% B; J- t9 I) w: U仅仅是2002版换了个界面与发音库,词条中的错误却一个也没改;金山快译虽号称智能引5 r Y+ k% n# H( b4 f3 k8 }# L6 d
擎,但翻译效果却一直未超过Office2003,而且是差很远,几乎只相当于把一堆词拼揍起
4 Z( {7 w, q: d6 F/ B' a来,据网友说,金山快译2005会把“Counter—strike”译成“计算机罢工”——妈呀,人
' m q. [. a0 {5 |& x家就是翻译成“柜台罢工”,我都不会介意的,可是“Counter”怎么跟计算机扯上关联了. F! B" @1 ~9 j' K3 J; O# x
?至于WPS,我认为也没什么好说的:WPS花哨的功能越来越多,可是时至今日,WPS仍未实
! x* g* q* Q+ t5 U" ~- Z2 N! q: O现电子表格中数据同步变换的功能,(即改一个数据,相关数据自动完成更改,这个功能3 \. d' j$ g1 I* U4 B! L3 R
是必备的)仍然需要大家自己一个个手动更改。而此功能在Office里面早已实现,这很是& O6 M5 M2 `6 u
说明问题。; P/ [# r& y2 Z: O& E+ _
以上的说法并非本人发现,它们全都是网上已有的说法。综合起来,大家便可轻易看
$ h: N) |( Q# |& J出金山的底细。6 D9 n. W6 T- `
当今骗子公司虽多,但也没有任何一个有金山这样明目张胆地坑人的,尤其是“木马8 C( d. X, ^8 @+ M2 ^3 g9 l3 L
专杀”一事,炒作疯狂,全国媒体一齐尽献媚词,其设局构思更是伟大到了史无前例的地
; z9 Z1 \( Y; ?步,那个大名鼎鼎的网E拍又算哪根葱?知道有人会想说当年江民的硬盘炸弹事件,那的确4 X# b. m) V2 u1 O8 R" z9 b
也是一个非常恶劣的行为,该骂。但当年的网民并不多,所以上网下载升级程序的受害者0 E, V) I/ g! r6 p7 \
并没有象大家宣传的那么多。再说那只是针对盗版用户的行为,(我没说这是合理的)而6 M: \ Y2 H( U/ n
金山则是拿众多信赖金山的正版用户开刀,论动机金山显然更加无耻。硬盘炸弹事件早已
! K% Z7 j- D. Y I# }7 u被公布于世,金山的“木马专杀”事件更应被公开在光天化日之下。至于两害谁轻谁重,
3 b$ O+ U2 q+ T5 M; N) U& m+ L那就是另外一个问题了。
# e6 j9 W) l: o: A' H# U 但是,大家不要忘了,以上一切的一切,如果没有IT媒体的撑腰,都是不会发生的。
5 Q T5 a* v; @3 U大家不要把当今的媒体看得多神圣,多有光彩。人家不是搞舆论监督的,搞舆论监督的也 O# |" J% O/ a
不懂电脑。当今的IT媒体在面对谎言时,从来都没有打过头阵,从来都只是论坛的跟风者- v0 {1 ]% n2 ?5 B4 ~9 q
:3721、网E拍,它们全都是在网上论坛被骂得一塌胡涂的情况下才有媒体出来说话,有些5 L$ W' p1 W- R
媒体更是直等到3721推出新版上网助手才出场,趁此机会做“评测”说3721根本没卸载方/ L' n, A1 c7 P9 p3 a
面的问题。(鬼知道这年头他们收了多少金山瑞星的广告费?)
: O, D/ t6 b5 i! K5 J, a+ y 他们从来都缺乏说真话的勇气。当金山瑞星“论战”之时,他们几乎是一言不发。不
( l' P3 Z5 F8 w& S, i6 {要以为这是什么“清高”或是“公正”,在金山瑞星无数漏洞百出,毫无水平的“论词”
9 ?, g6 Q, \; E7 H$ O9 k. K面前,真正丢脸的应该是他们,这种无作为对于一个真正的媒体来说就是同流合污。这些; B9 t& w# W( T. e: t
年头,他们又不分青红皂白地给了毒霸瑞星多少虚名妄词,多少沾着读者血汗钱的“编辑! `+ `/ w# M/ q9 W2 r) ?7 f1 [7 K
选择奖”。试问天下谁是真枪手?他们才是!( p1 _+ ~( I8 G: B8 s
上文中许多发现其实并不是我的原创,像瑞星漏杀问题在有些论坛上早已有人提出,
0 N9 g, g* t, Q, g可是至今日,仍没有媒体敢提上半个字,足以证明他们的懦弱。看看他们干了些什么吧,% X, z6 u4 L F
整天仅仅是唱唱瑞星给它们的那首老歌:“半个月以来,病毒A和病毒B这两个病毒值得注5 m/ n5 l, w8 @ i+ I8 E$ Z
意。病毒A试图/会/除了会××××。病毒B(则)试图/会/除了会××××。可以上网的 r! ^! f2 M( @* R8 s3 C5 H
用户推荐采用在线杀毒方式,快速查杀这些病毒,也可以使用单机杀毒软件2004版,局域
- a) a" K! t, C' k2 h网用户最好能使用瑞星杀毒软件网络版来彻底清除这些病毒。《瑞星在线杀毒》无需升级3 f. }/ X' Z5 v
、《瑞星杀毒软件2004版》和《瑞星杀毒软件2004下载版》每工作日常规升级,遇紧急病
' _; n& F$ B, n4 x" b, w6 |( Q毒第一时间提供解决方案,每周升级的新病毒总数不少于400个!截止到×月底瑞星杀毒软
1 Y5 l6 o. e; a6 F/ S件将升级至××.××版本,望广大用户及时升级。如遇病毒,请拨打反病毒急救电话:0
' Y6 J% M$ ~# r1 Q6 x, Y- }10—82678800或使用瑞星在线杀毒: http://online.rising.com.cn”这堆破玩
' ?+ j' b1 F* f$ N3 D, h意儿对我们有何用?
( v' |0 x/ D+ Y; x; ? 毒霸瑞星的地位并不是真刀真枪地干出来的,它们靠的是无尽的谎言:媒体的谎言,
% c/ Q6 n, z9 b" U+ v/ p& d, W* e% t公安部的谎言,它们自己的谎言,颇有中国传统的“官官相护”之形。这正是看似简单的" Y7 K) g& D- ?6 E
杀毒软件背后不可告人的黑幕。7 B$ L u6 T& H/ \% \4 A
(以上观点只指截止至10月初的现象。同时由于取证时间较长,难免有疏忽,敬请指出)
6 P% Q) Y, z5 I& H- x申明我不是江民内线6 _& G1 h% W2 P1 g! k4 K1 U+ @- t
[此贴子已经被作者于2005-2-20 19:43:19编辑过] ( B3 t% K5 `! ]) ^
|
|
/1 
IP卡
狗仔卡
发表于 2005-2-19 20:57:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2005-2-20 10:51:00
发表于 2005-2-25 02:08:00
发表于 2005-3-12 03:46:00
