 该用户从未签到
|
6楼
楼主 |
发表于 2005-2-20 19:42:00
|
只看该作者
|
【转贴】杀毒软件背后的黑幕
8 V n0 V* D4 u+ m5 d6 h
6 f' m7 ?0 z! B+ p& j; o- k$ H% b杀毒软件背后的黑幕——中国最严重的信息安全问题
/ z1 E B$ s& M0 ^3 R 翻开2004年第18期《大众软件》,那个杀毒软件市场占有率排名让我百感交集:毒霸
0 W0 {# r/ r @' m ]( }38%?瑞星29%,Norton14%,KV11%……,不要以为这只是几个简单的数字,这后面有太多" _& g/ A. t3 T& C4 Q
的故事,一时,竟不知从何讲起。这样,我们先看看各个杀毒软件的真实能力。(本评测4 Z- L6 l9 V, J7 |# `
中KV指KV2004)
5 P) A* \' X5 P/ L, o5 V' _3 S 一、病毒库
& i$ Q0 e. S7 Q* ] G1 W+ L& a 这些年头看过许多评测,有民间的也有媒体的,几乎都是以病毒库是否全面为依据。$ r0 U7 b2 a* E7 l
这是非常不科学的!暂且不说别的因素,我认为用杀毒软件对一堆病毒木马一通乱杀最后
# K7 O( O' `6 ?! w0 ^, q仅仅以检出率论英雄,是一种对读者不负责的数字游戏。" [# Q; J4 ]( V+ `- d! N. W# Z2 G) t1 a
举两个最简单的例子,你有用过Norton去杀黑洞2004吗?不说别的,就说最有影响力
; N1 Y$ ?$ D* t2 N3 M" P的0815版,Norton也是怎么杀也杀不出。这完全不是什么巧合,Norton如果杀n年前的经典
l0 t4 k# s2 w9 r! t7 b- _木马冰河84,也还是杀得出来的,只是会在隔离区里加上两个字作注释——罕见……
6 K' a) _. h7 {$ g2 u# v: |' s0 k! ~. | Norton是一个非常典型的例子,因为在这个方面的问题Norton是最明显的。不过其它+ ]4 }# Z2 Y E* O
的外国杀毒软件也好不了多少,哪怕是那个公认的杀毒王兼升级狂AVP,大家拿手上那帮大2 U- Z- Q9 s% O( l, @* M
马小马自个儿试试吧,保证叫它们死得惨不忍睹,AVP那么好的引擎又有何用呢?(据说当
% x, J$ A" Y: o4 [( ?2 j' d年因为Pc-cillin杀不了CIH的某些国内变种,所以有人就……)) o( |9 W7 Q9 v" n
就是不算木马,各种蠕虫变种也够这帮老外受的,其中最典型的就是Lovgate系列了。% O; g9 F7 A% \, M
有些用Norton的单位就算是天天更新,也总是不如它的变种来得快,甚至面对有些n年前的
5 z, l3 J+ Q5 i1 u" c0 P国产病毒,那帮老外也一声不吭。
4 O- W. O/ z$ Y" f: { 综上所述,我们只能得到两个结论:1、面对众多国产病毒木马,外国杀毒软件只是一7 t* L) K. T4 S) n, D( f$ Q
帮废物;2、以检出率论英雄是一个彻底的错误,因为一个1%可以包含很少的东西,也可以, g4 \" Q+ K- x
包含太多的东西,同样的检出率,一个可以杀灰鸽子,一个可以杀Beast或××国外二线木
" l, Q1 i4 d- ^4 q. M" S马,你会选哪个?
, G& ?( m% C. Z5 h1 Y4 R9 |' S 虽然如此,但如果检出率相差太大,那就是另一回事儿了。Norton的病毒库是非常不
% ]) m$ [3 N( | G& f& o" q全的,尽管在杀木马时与其它国外杀毒软件差不多,但在杀病毒时检出率相差实在太大。9 D2 E0 d4 \, D6 }
在许多病毒库比较齐全的评测中,(不包括公安部)Norton总是在最后几名徘徊,远远落# y3 u2 g$ d$ y9 d% ^/ z8 W
在其它老外后面,甚至在有次国外媒体评测时仅给了Norton6.8分,(满分10分,,AVP9分- a5 l# l5 K: o7 v8 b* M
)简直是……
0 {% C. X W2 ^! I2 U3 T) ~" j C 至于瑞星的病毒库也好不了多少,经常在民间评测中与Norton一起垫底,惟有木马库9 Z/ r* L8 j; K& r0 d" Q
齐全了许多,所以其杀毒能力可想而知……当然,瑞星杀Lovgate这些国产病毒的检出率显
# D4 z) O7 r q1 ^然高些,但木马不同的是,病毒是会自我传播的,所以国外病毒在国内照样常见。于是有- g1 y" c! _+ I) g3 F# @$ X, A
一次,我的一个用瑞星的同学在用Norton扫盘时扫出满盘的病毒……顺便说一句,当年瑞
7 d4 t) v1 J5 V' H# \6 S8 |5 Y星2003时人家可是一周一次升级!在这个方面,只有KV与毒霸过关,其它的实在差太远了
! t S6 T2 p* O2 E ~。) |' n8 P( e3 h! x, Z8 N
二、杀壳能力
' g! `5 P+ [+ {4 R3 K) Y% D 在我看过的评测中,基本上没有哪个把杀壳能力放在眼里的。事实上,没有杀壳能力
0 o) j/ f+ T- ?,一个杀毒软件在面对木马以及病毒变种时,基本上就成了废物,有谁用马不加壳?有谁$ G* }: C# ?; t4 ~& b6 f9 G9 e: W
改病毒不换壳?只要人家有意,你的杀毒软件一瞬间就可以挂掉。(近来网上有传言说加
: n: o+ J5 B2 ~% A了壳的木马自释放时会还原,这个说法是假的)经本人实验,各大杀毒软件杀壳能力如下
3 q0 I# o* s: g& C" e:
; _4 O1 ~) H- i; I( G McAfee及大多数国外二流杀毒软件:UPX+ O: b. Q- c3 q0 }$ R
瑞星:无$ a0 b& ?2 r0 j' {' v7 I4 S0 [
毒霸:无" G+ c5 ~7 a' X9 }8 ]% b- b5 w7 G
Norton:无5 o. M& w) j% ]( k
AVP:大多数流行壳# D0 w( a5 r( {) ^7 z" S1 ]
KV:大多数流行壳
0 Y# S* w9 D1 I2 P; I8 l UPX是一种免费软件,所以支持杀UPX无需交专利费,如果一个杀毒软件连UPX都杀不了
$ a: J: X' q! b5 f, _,那只能说明他们那帮人偷懒。当然,无论如何,没有杀壳能力的这些杀毒软件会轻易地# \- j9 M: B7 @$ D% H4 l
让你死翘翘的,所以大家今后必须重视杀壳能力。7 _( D- f ?( I$ T5 z X/ g
. O; e0 o5 B% _2 I! |/ w
* s# v: m+ O0 V1 z: A& H3 S. @% ~4 E7 e3 s$ K
同样的木马,一加壳便是不同的下场! A6 r* n5 E) X! g9 p
三、清除能力9 H# r" c( ^" e, O# G& k* U
不得不说,任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不
! ~7 k% y/ O! O* l2 g3 }理想,不过由于在杀毒过后这些文件都成了死链接,所以随便找一个清垃圾文件的软件就
4 `9 F# @9 e$ O1 r& D( ]0 B可以了。/ t8 V$ N6 _8 Q# f5 t1 s, a
其实关于清除能力,大多数的杀毒软件都差不多,不过倒还是有几个特例:
$ l. L' }& Y& ~6 k! C5 p N4 L" k瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下,杀Lovg
, K7 h( W; d3 z. z1 r" N& pate用了2天,杀某蠕虫病毒用了一周,杀folder.htt病毒用了超过一周时间也杀不干净,0 Q' [, o& x0 ~; V. n
最后只用搜索并删除同名文件却杀干净了!明显是跳杀现象。# {8 |! Q" s4 P1 M; B& ?
Norton则是一见染毒文件就删,实在令人怀疑Symantec的人是否学过汇编。另外Norton在
. n; l4 [( b3 F" J4 p P! W撞上一个病毒在内存中的进程时,竟经常不会自动关闭,需要你手动关闭,而其它任何杀' \9 T. k. X2 d- T5 G: x2 R
毒软件大都有此规则。
6 e- ]# f n: E j1 E& a 四、内存杀毒及DOS杀毒0 r8 y0 Q# ~7 D& M/ n. [
当今国外杀毒软件基本没有再提供DOS杀毒的了,所以面对dll进程守护式的病毒木马
7 n: s5 q4 Z7 J) s6 N2 V1 h e% a' R就只能到安全模式下碰运气了,并且有时还会失败。相比之下,毒霸、瑞星、KV都有DOS杀
: N \0 t2 d1 d4 [; E毒能力,只是毒霸杀不了NTFS,KV可以杀壳。3 o7 u) C1 C) R. g. O
国产杀毒软件都号称可以内存杀毒,但大都只是实时监控加进程关闭的换汤不换药,! G/ w& s* h% g" J
杀不了dll进程守护,甚至不去检查调用的dll文件,等于一个功能没加,只有KV一个一个
$ T7 Q0 J, E# n! y) qdll地检查,并有查到毒后反复检查内存及必要时自动开机检查的功能,dll进程守护的病; n, T. a, G( x. V! j$ s
毒木马基本上都可以挂掉。实话说,只有KV的可以算有内存杀毒功能,其它的都是吹牛。. k: _3 @# V3 h+ x l. r
) k: A% I# b5 g# z! T& D3 L
五、实时监控
: Q. ?0 C3 f: @# q3 w8 k 当今的杀毒软件几乎都要吹一吹自己的实时监控,但实话说,没什么稀奇的:一是对
' c& t; n$ T3 t: z进入内存的程序进行扫描,二是预读。(解压时查毒属于第一项)第一项没啥子稀奇,至2 j9 g( W8 I+ @. n& ^
于第二项,国产杀毒软件的速度大幅超过了老外,的确可喜可贺。
& x! `9 D ]/ W, P 尽管如此,不得不说说KV。KV的实时监控技术,即“动态比特滤毒”技术实在是太强
, [/ @5 C* ]9 r _& `- Q' |( k了。为什么我一直在用Net Transport呢?因为在打开KV文件监控的时候,KV会自动对进入
; k" n0 \, y+ ^4 \6 |% K电脑的文件进行扫描。如果是带毒的压缩包,KV会在下载结束的一瞬间报警,如果是EXE或
7 K$ _: T) t5 f+ u/ t* @DLL等,那么有时才下载到一半就会报警。另外如果你用Windows搜索时开KV文件监控,KV
$ m2 Y* l: w& u( _会顺带地扫出很多东西,(前提是你硬盘上有)上次我就是忘了这一点,结果把自己的黑
! m, U, }$ o8 P/ V9 q8 T* F" V# M软库一大半倒进了隔离区。(开个KV在网站上防Asp木马,爆爽!)4 Q( I2 f- t$ @& S) d; _5 ?
六、杀未知病毒能力+ T/ s1 d' K& ?% A
当今的杀毒软件对这一点都“非常重视”;所谓“重视”就是大肆做相关的广告;行
* F& f8 E p: ^; |为判断、虚拟机法、智能跟踪……如果这些都是实话,那么面对一个歪壳压的病毒,杀毒. [ V$ J% l1 o0 j$ r
软件们理应报警,但事实上没有一个杀毒软件做到这一点,这些谎言也就不攻自破了。当 d6 C2 m6 g4 L$ o {) D2 j
今的杀毒软件的防未知病毒机制其实只有启发式扫描,即仅仅是扫描文件中的可疑代码。0 S# D" t2 S; K
也就是说,如果解不了壳,再强的启发式扫描引擎也什么用也没有,由此,KV、AVP的表现8 Z8 o6 f4 |9 s" B& d
大幅超过了其它的杀毒软件。在加壳病毒横行的今天,其它的杀毒软件几乎全是吃鸭蛋。
" O; Z7 I! B) A; F! m' h3 I+ Z$ f9 ~ x" e) V
不论如何,毒霸、瑞星和AVP的误报率都算比较高,尤其是前两者,几乎只有误报纪录
d4 n3 Y# Q9 d* l,毒霸的实时未知病毒检测甚至会干扰到已知病毒检测。Norton与KV到目前为止我也没发' l1 F& L( G3 a4 M5 q- S1 [
现误报,不过Norton的未知病毒检测也不乍地,只是比毒霸、瑞星强了许多。
9 z1 i! I- ]/ o$ C7 z; y, Y6 n 不看误报率,只有AVP与KV的能力令人满意,AVP自然不用说,人家可是启发式扫描的
; S0 [! ?. g: {: X l. x鼻祖,具体能力大家也清楚。事实上KV也是非常强的,只是可能大家不知道,最经典的例
& v; t i9 B: O. R; k子就是当年的KV3000不升级就可以挂掉冲击波!不过据说KV未知病毒检出率略低于AVP,也" s3 i( `5 E2 B/ y6 N$ v7 \1 @( n
许这是为达到误报率为0所必须牺牲的吧。2 c+ a+ T5 L1 K/ }" H1 F3 h. c2 W
大家注意,哪怕是KV、AVP,它们杀未知木马的能力也为0,也许它们一向都只是在研
' I; h' G& J, j/ X: Z/ k/ p究病毒吧。若要杀未知木马,大家一定要用****,据我实验,****是第一个采用行为判断法7 U1 g+ }7 q' e/ y0 ~
的安全软件,同时有超强的专门对付木马蠕虫的启发式扫描引擎,对付加壳木马也非常有, T' ^+ \4 v) a7 ?2 ^3 {% X
一套,实为史上最强的杀马软件,曾被ZDNet评为年度十佳软件……如果你用过老版本的*
+ Y* n1 U4 k8 S4 g9 E7 c***杀当今的黑洞灰鸽子你就知道了。不过这有点扯远了。
! x2 n; e# N1 @$ _- n _ 七、速度2 y6 b4 g% M9 A; L0 }# y
首先对毒霸的“闪电扫描”提出质疑:3 \3 c9 q) l4 Y9 C: a. V. A _
①有谁愿意为了一点点时间而仅仅去扫某些病毒呢?安全至上呀。
7 l7 r5 e. H8 y ②病毒经常是相互附身一齐出现的,这可是常识呀。
! o: P" Z- p# W# c ③鬼知道它扫的是哪100个病毒?
s6 Q, U! Z/ k- ~" c6 g; w “闪电扫描”顶多是一个花哨的噱头,基本上没有人用,大家不必理会它。大多数杀7 t3 F0 h$ p- Q% q+ |3 U7 l
毒软件速度都差不多,可以接受就行了,不必排先后。不过AVP由于支持杀壳,所以在开了- ]- u# [6 H! b! v% b; ^# c
杀壳后速度慢了很多。但瑞星令人实在受不了,慢得甚至出现了专杀工具速度跑不过其它( L. p) D& d4 H; C7 l, T
完整杀毒软件的奇特现象……。KV还是令人佩服,又支持杀壳,速度仍然很快,着实先进1 y: X+ ~1 a$ w+ d
,不能杀壳的毒霸扫再快也无法动摇这一点。' m. ]" R. l6 e" q2 l- a' N5 F
八、集成度; X5 d3 q1 U1 [
老外们在这儿不得不出局:不支持QQ?Game over!0 j2 g- c. n1 z% A# c- n
KV的集成度肯定是最高的:有了动态滤毒,KV等于是支持了一切聊天软件与下载软件
; p$ Q2 l' @8 t, E" b,同时效率最高,名义上不支持QQ算什么?
+ a$ q) q. { H$ P' [% F$ R 毒霸及网镖在一次死机后图标全会消失不见,极不方便使用。瑞星用DLL进程守护解决9 k3 x0 {+ L( l" L1 [/ B- o
了这个问题,不过同时也带来了无尽的资源占用与冲突问题……
8 Y" l5 S" o* }* p/ I& q 九、压缩格式查杀支持(出于实用,我们只看ZIP与RAR), H0 U& w" Q. P; g) U; J9 F: [' I
KV:普通ZIP、超真空ZIP、RAR0 P( M& w# b1 ^( I
AVP:普通ZIP、超真空ZIP、RAR
7 x. z7 U. _( G0 U6 l; j 毒霸瑞星:普通ZIP、RAR c& {" o" X( a; t* o2 w$ I
其它大多数国外二流杀毒软件:普通ZIP
3 e) M$ u. I2 d8 @* Z1 x 大多数外国人都不用RAR,所以Norton与McAfee等都杀不了RAR; o* L. X/ y4 p% ^$ t9 A3 a ~: g
十、资源占用与冲突:7 n8 d) \" _- B7 m& r' h' I
KV与AVP资源占用最小,获得广泛好评。Norton毒霸一般般,但开了QQ后Norton资源占- O$ I0 |. s. _& O
用暴升……瑞星这方面问题极严重,不仅是当之无愧的冲突王,也是万“死”不辞的资源: m. \8 t, I0 |) H; Z" b' k
占用王,有些配置稍逊的电脑在开了瑞星后,(只装瑞星)弹出右健菜单竟需3—5秒……另
" @3 x6 o5 V% z" n! X! {外好象有一个说法,就是装了瑞星后装其它杀毒软件,基本上都会起冲突:装毒霸后不开实
* S$ K, e/ t' V; K7 x5 N) s时监控系统也爆慢,网上有人把Norton这样装则是根本进不了系统。当然也有例外,就看
- u9 y4 e1 [8 V* \ t你的造化了。
7 i; g7 S0 o9 q2 E" Q: c E4 \ 总结:Norton实在太废,除了公安部和某些菜鸟,几乎是人神共诛,连外国同行都不3 m* t9 {% R' z
以为然。(6.8分,妈呀!)虽然Norton是实时监控的鼻祖,但却不思进取,活该。大家若
5 R: j6 M0 d4 A一定要崇洋媚外,那就请用AVP。不过我一开头就跟大家讲得很清楚,非本土化的杀毒软件
) v6 v5 ]$ K2 M8 o, ^的下场嘛……& x, @* {( u4 W) P9 |
毒霸的表现勉强算二流,面对加壳木马还是太嫩了。瑞星则是我见过的最废的杀毒软
: S2 [9 E3 a, r! N3 j. ~件:毒库不全,耗资源,易冲突,不杀壳,速度慢,跳杀!这年头民间防病毒软件非常多( X7 b; R5 ]* ]* B- p* `, F
,大的有十几兆,小的只有几十KB,没有一个有跳杀的问题,扫上7天对它们都算神话来的' }0 _4 H& P( I( _9 \: w# ^
!毫不客气地说,这一点可以让我们确定,瑞星是全世界最废的杀毒软件——谁不知道跳
V. F5 ^0 z# f4 U杀意味着什么?( k% q8 F& a4 q
至于我对KV的评价,也绝不是一家之言。有许多国外媒体都在吹AVP,但这并不代表A
+ b j3 B8 U9 z& ?9 c( gVP比KV强,因为大家都没见过KV,惟一的例外是日本人评了一次,结果大家也知道,KV获1 r. [5 h& b9 t" o, o
胜。与此同时,国内大多数的黑客专业网站推荐的也是KV。这跟本文的结论是一致的。KV
8 e* H5 U. _* S% R' C5 |如果做好了国外病毒木马的收集工作,届时一定可以在国外压过AVP的风头。
- ~. l' K! T* M- u8 `7 i 我个人认为,本篇评测,是当今世界上最科学的评测之一:
Y$ x+ V7 t. J 1.一个评测如果只看重病毒库,那么只说明这帮人压根儿就不知道木马加壳术,不认
m. ~# i4 @$ l4 @/ w, b可加壳后的无敌木马的危险性,甚至连瑞星的跳杀问题都看不到!
9 w$ d8 h/ k) z% h @ 2.一个杀毒软件的能力是有限的,并非一个数字可以代表得了,正如水浒英雄的能力
8 s) V9 z& S) c8 ?3 R7 I并非那些“水浒人物卡”上的几个数字可以代表的,另外国外杀毒软件杀国产木马的狼狈( X, `6 ^" u3 B' C' O, {; T
相与评测时得到的检出率与分数完成不成比例,也能很好地说明这一点。一个真正合格的) W# G: Q' k& h6 H. b% v* ]0 h
评测应该是把各个杀毒软件的优点缺点都列出来,让读者自己去按自己的需要来判断,最
/ P$ P, ?/ S* e多分不同情况给它们简单排排名。% n) c9 _. \, t
3.一个评测如果只是泛泛而谈,而不分出杀毒软件的优劣高下,这只能说明这是一个- w0 i) y7 ^! Z
广告大串联,而不是什么评测。本评测中出现KV一边倒的局面并不能说明本人的方法不科
( V4 @5 y0 `; m学,反倒说明其它的评测根本算不上评测。
4 I* g7 i5 Y) \, W/ V) m$ [ 4.最重要的一点,本评测一切论据与细节都是公开的。(比如病毒名称,评价原因)
- a i" ^, w- w# q6 W1 e就算去除一些口说无凭的个人经验,只剩下大家可以自己操作自己实践的部分,大家仍会
8 H) V) ~+ U3 y3 g得到同样的结论。本评测的真实性无可怀疑正基于此,大家尽可乱试。
5 m: X3 b1 s2 \9 ^. S6 b8 a& d' r 如果仅仅是做个评测,那么离“黑幕”就差太远了,但是事情远不止这么简单。我认
: h; t3 b& V H" T为,如果压在KV头上的是AVP,我认为大家还有些讨论的余地,但我们可以看到,排在KV之- M# Z# K5 V, {" R/ h4 N; O8 e
前的尽是些垃圾:毒霸、瑞星和Norton。它们的流行与中国人随波逐流、轻信广告、做事
- A5 Y! |" h( p0 H* H) N$ h. z; b0 V不细究这些毛病都有关,这自然不用说,但我认为最重要的原因就是公安部的评测。
: X5 v( |) R y+ f5 t 公安部的评分是这样的:毒霸95,瑞星95,KV90,Norton85,其它的杀毒软件依次列
0 ?. V B- d0 l d/ t在后面。所谓检出率则是:毒霸100%,瑞星100%,KV100%,Norton9x%,依此类推。
0 O/ u( c" T2 j$ H 实话实说,公安部的评测是我见过的最假的评测,也是最害人的,因为它影响力最大
3 ~. |, J; C( F+ N& q6 D% @+ P+ p,随便就可以扯出一大堆疑点:: s; w8 r3 p. B C o
1.KV那么强的引擎,凭什么排在毒霸、瑞星后面?如果说毒霸、瑞星恰好撞上比较“2 Z( N7 i# T) G6 T2 S# v
适合”自己的病毒库,那还好说。但既然检出率都是100%,其它性能KV则是全面超越毒霸
8 j: Z! S2 e# }% q、瑞星,凭什么KV要比人家低5分?
z- n1 V" H7 T) R# B 2.作为史上最废的杀毒软件,独一无二的冲突王、资源王、跳杀王,瑞星凭什么遥遥
# C3 o1 [' e: {8 }4 O$ e& E领先,并列第一?
) O( c: c2 \& D4 F" k8 B! ^ 3.作为国内市场中病毒库最不全的杀毒软件,作为一个在民间评测与国外媒体评测中5 H+ c; h) n. P! U2 i
屡次垫底的杀毒软件,Norton凭什么比McAfee、PC—cillin、Panda这些家伙的分数与检出# Z* c f( E( Z/ H: z
率高?大家记住Norton当年的分数:6.3分!' }7 b+ S7 V* a% o \. ^
4.凭什么大名鼎鼎的AVP不参加评测?# A; @ Y. R8 }+ g
5.凭什么公安部几乎只看病毒库?虽然民间评测有这样的,但官方评测从来都不是这5 c$ ?) K# N" @' l: Y
样的。
' R' \* x& O0 A" \' k1 |5 g. I 6.凭什么公安部把除了病毒库之外的评分标准全不公开?6 b9 w! U5 q: a$ ^* O
7.凭什么公安部全盘都在暗箱操作?
! `) `: s2 ]: ?% ?+ k' @ d8 x 8.凭什么会出现三个杀毒软件同时得到100%检出率的情况?全世界的杀毒软件评测,3 G# V2 r" I% @' w; e
根本就没出现这种情况。要么,就是公安部病毒太不全,要么就是人家想搞“民族产业振
1 U- v3 a5 u: G7 P兴”。
! H3 ^: R, D( u9 f1 H0 y0 a……7 ^# {$ h: Q; D6 L. S7 i/ t
疑点多到了让人几乎可以窒息的程度。研究一下杀毒软件的历史,发现公安部评测实
# S2 ^' L" u1 T在害人。7 u$ Q- s/ }) ^1 y. h
众所周知,KV是早期中国最著名的杀毒软件,一度市场占有率遥遥领先,今天却落到+ h/ G. E+ P6 j. u) y
了这个地步,难道是技术问题?KV的病毒库一直是全国最全的几个之一,未知病毒查杀当
# t$ E( `0 p% d/ @0 I, c时在国内更是无可匹敌,而且早在KVW3000时代就可以杀UPX、Aspack甚至WWWPack这种偏壳
' \( T) V' Q* m8 s( o) M3 [,恐怕只有AVP称得上对手。虽然对Win2000支持不好,但当时又有多少人用Win2000呢?那
' m8 ^4 N4 n k$ Q8 `时KV的UI的确很差,但有些人认为KV那时用的是KV300的引擎,则纯粹是以貌取人,上面说% v% J# r4 a8 |2 z+ u2 S6 g5 g
得非常清楚。然而公安部从那时起便不给KV好脸色看,KV于是便一落千丈,落得今天这个
* c1 j1 K8 f! F Y地步。(硬盘炸弹固然也是一个原因,但今天还有几个网民记得这件事?还谈何影响力?
% G7 Q ^/ e2 ~) M C& f8 ^9 M再说,公安部做的可是评测,而不是历史清算)可是直到现在,毒霸、瑞星除了支持NT内* u, A: J, u5 Y9 b+ `$ S
核实时监控,几乎什么都比不上当年的KVW3000,足以证明公安部评测的胡闹与破坏性。前
' h( Q t9 b/ B面说了,KV的文件监控本来就可以达到QQ、UC、POPO等防毒功能,今天却在KV2005中特意 J$ B a2 R# ]8 d
“加上”相关功能,不得不说是一种无奈。/ G9 c/ y+ Z5 I5 y- W8 j5 h( j5 Z
KV的下场并非最惨的。有些人可能还记得当年有一个很著名的杀毒软件——行天。行
, e& f& _5 `- V. S- f天虽没有KV的强大引擎,但病毒之全实在是出类拔萃,几乎一直是全国第一,而其它的任
; y& r5 T5 }$ U. n何方面也不逊于毒霸,跳杀的瑞星更是不用说。安全之星XP(VRV)也一样,至少人家比瑞
( ^5 I7 q. c% ?: A2 x星毒库全,速度快,又没跳杀问题嘛。可是就是这样两个杀毒软件如今却销声匿迹,公安
: w- S1 Y: |! V7 W" X, m0 a部显然脱不了干系。
) z4 g: T% X5 |8 W1 q在这样一个节骨眼儿上,我不得不为KV说话——如果KV哪一天像行天VRV一样被整垮,我们
* C! y- O' _0 x中国还有什么可以拿得出手的杀毒软件?我们如何面对微软的进军?我们如何面对今后出% O2 {2 l. \: C0 K. y" m. \# z0 ?% [
现的彻底本土化的国外杀毒软件?网民们轻易相信广告固然是个原因,但如果没有公安部' [! `# o) c& g2 @- C1 y. q
的评测,网民们会这样吗?
0 a$ {/ s! p# h$ E 一切疑点表明,公安部评测并非乱测乱评,而是有非常非常强的倾向性,是明显经过$ u6 @' v, L- a2 R9 r( e+ x- v
人工操纵的非常明显的作弊行为!毫无疑问,这后面还有太多的故事、太多的后台、太多
% }; z; T7 z/ ^- D1 O! E: s6 w" M的黑幕、太多的权钱交易、太多的无耻。具体是谁在操纵,我也不知道,也没办法知道。' b0 ?# X7 ^1 H e! J
我只知道,它让三个垃圾占领了中国80%以上的杀毒软件市场。公安部评测,理应人神同诛1 T B1 L" ~4 T; N! n# R
!
! j: [2 s$ _; b J 公安部固然要负主要责任,但虚假广告照样脱不了干系。9 I5 \2 Q) R. `% M' }% s% s
瑞星的瞎吹倒不多,但也不是没有:“第五代国际领先可扩展引擎”——作呕!不过/ i+ q! s0 a- I
瑞星还算是比较“谦虚”的,比如防未知病毒能力就只敢加个“瑞星专利”作形容词,“! w" o# C: V E! q2 Y4 B) S
清除病毒”之前就不敢加个“彻底”,算有自知之明。
) x4 q1 i6 w* X Norton倒没做广告,到底是怎么流行的,除了OEM大家也清楚:谣言可畏啊!
( c1 n/ g! {9 y( }$ x8 m W 最最最最无耻的就是金山了,实在是令人发指!不信请看:0 @( i, h9 \. |5 |5 }
1、把你的金山毒霸包装翻到背面,一条一条地看:! P7 ^* N0 C6 t' t, o+ {
①“病毒处理速度>>病毒传播速度”这显然是瞎吹。
. Y) B" U X- W8 n ②“网页防毒,有效拦截……”这年头窗口炸弹写法也就几种,随便一找就找到一个
5 {2 }; O! \$ \3 @5 s, f, K毒霸杀不出的,(KV与Norton都杀得出)至于广告拦截更是效果几乎为0。你敢用这玩意儿, X" `- a& e; }7 j, v: w
拦网页木马吗? |1 X& ? p& f; B3 ?
③“闪电杀毒”前面也说了,花哨的垃圾。
! I' ^. S' Y, A; N ④“双引擎杀毒”金山的说法是:国际引擎是AVP的。懂一点杀毒软件的人都知道,双6 V% ?( n# Q+ `5 S' W
重过滤分析是100%不可能实现的,否则毒霸耗的资源肯定不止那么多,速度也不可能那么
/ I3 g, y( o2 i- P快。隐含的国际杀毒引擎杀国际病毒效果好的说法更是有违常识。同时,不能杀壳,不能
5 O$ K9 u$ c$ Y* f; G: M3 R, A) D杀RAR,脚本拦截与杀未知病毒烂,这根本不是AVP的作风,去掉了它们,AVP根本不能称之 X! g C* F# l Q0 U5 l0 u) u2 V6 ?
为AVP。再说AVP风头正盛,哪会干出这种卖引擎的傻事?' J) S# M) o' m* l$ y+ [4 d
依我看,有三种可能:
7 r, U$ o+ t* j9 G% V1 } (a)金山只买了一小部分引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒4 v. c) ~7 R- Y
,等于没买。% I( M3 I7 `( g0 Y
(b)金山只买了一个老版本的AVP引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未
# G% f; z/ a2 z$ u5 A! q, y知病毒,等于没买。这还是有可能的,因为毒霸老早就在吹它,时至今日,甚至懒得用一8 m V7 N$ k( I0 H% M/ o3 n
个“全新”作修饰。如果真是这样,我倒想给金山提个建议:买一个KV300的引擎,然后就
7 G; ~9 m0 S3 P9 k9 `可以号称集成了KV的引擎了……0 I z0 u2 ?8 U4 f Q5 r
(c)金山仅仅买了个名号,这就是真的没买了。) O8 u( u, ^4 Q ?3 b, Y6 S
这三条说到底就是没买嘛。& Z) H6 y& z4 l% n6 [" b* s
⑤压缩格式查杀:别的我没追究,反正金山号称可以杀RAR很久了,但直到推出增强版- ]. X. @# z) E' B6 _
时才兑现,实在无耻。这个不用多说,大家一试便知。
$ O9 `" Y$ }0 }. l/ n$ X$ ]) l⑥内存杀毒:前面的评测里讲得很清楚,不用多说,反正很多人都有毒霸报警却发现狂点, J1 t1 w; V5 k& w" y0 g& v
也清不了毒的经历。不能内存杀毒也罢,金山竟敢再加一句“带毒杀毒技术,无需启动到
, c$ M; I6 @5 {# m4 W9 r) o" ^DOS状态,直接在Windows环境下清除病毒”,真是厚颜无耻。每当我向金山售后服务问起 I# t; I9 R8 g- Q2 p# u( |
这个问题,人家都抛下一句话:“你到DOS下面去吧”。可你要知道,毒霸DOS版杀不了NT# d! |% D! b3 Y& h" u- S
FS呀!$ p1 c% i5 t5 j1 r. f. O( u
⑦硬盘修复:修复CIH与Opasoft造成的破坏我倒没话说,虽然我没试过,但号称修复
, c7 n7 l, u9 T9 J- g s/ tHdbreaker造成的破坏就肯定是胡扯了,实在是不自量力,我甚至怀疑这帮蠢货有没有见过
[2 S" B3 u) J: w- SHdbreaker。如果大家嫌自己电脑全是垃圾,也可以试试,反正我是很想在金山的每台电脑1 U' o# P# C# m3 B; T9 [! q
里都放上一个Aspack加壳的Hdbreaker:)% ]1 r, y0 G2 J, @7 ~
顺便骂骂网镖:
8 J" c2 ^0 p Y1 I% X l ①作为一个规则过滤式防火墙,规则设定选项是它的灵魂。网镖的规则设定选项直到7 j3 X9 F8 D4 {
今天也是最少最不全的,连设置繁琐的瑞星防火墙都比不上,还敢叫“个人专业防火墙”
, k5 L4 o" [% E8 d?我宁可用Windows自带的防火墙。
2 J, A) y) y" I$ i$ R ③很多人都知道,新网镖有一个功能,可以自动拦截木马并报警。这功能看来似乎有7 g( _: |- M% [9 r) N' E" ^, ~
用,但实际上是屁用没有。试想一下,网镖可以准确地报出木马名称,这肯定是人家动用9 p- I- m3 K- _: C
了毒霸的引擎杀出的已知木马。要杀便杀,金山却多此一举,实在无聊至极,是明显的作. t j* I& f. _2 j
秀行为。# y* [5 o P5 H
④金山网镖几乎是一周升级一次,但相信没有人发现过其中有什么变化,肯定是假升
" R0 ]* e1 G, v9 c2 `; D! N级。惟一的例外就是某次升级后,网镖会对冲击波报警,可我等早就打了补丁,要它作甚6 b- P' F% x _' Q8 P/ J
?可是这个“内建规则”哪里都没法把它关掉,只好让它产生一堆垃圾日志。1 u- }3 m+ i& u2 s/ I( |$ X
大家如果要用规则过滤式防火墙,那就用天网,试用版也行。如果你不嫌麻烦,那就
( I1 ?' i" [. v- ~用BlackICE。不论如何,就是不要用网镖,又花钱又受罪。
4 q: j3 j$ X( G; b3 I 2.金山那帮售后服务的人实在太菜,以下是经典问答:4 c8 A: U9 J7 y$ X- T" M& k
“毒霸怎么杀不了RAR?”“你到命令行下试一下,应该可以的……”,“毒霸怎么杀; C+ d; s! B; J2 s1 u1 U8 f/ k. P- Y% f
不了××病毒呀?狂点清除也杀不了耶。”“你到命令行下试试……”(小子,你们那个
' [, o& P2 W E很牛的“内存杀毒”呢?),“听说现在加壳木马很多耶,毒霸杀不杀得了?”“(有点. F$ M* h: ~' R0 x/ N
犹豫地说)应该可以的……”,大家还是自己实验的好。+ Y% H$ f4 D0 V( a3 }
3.有了以上几条,金山也仍然不能在众多骗子公司中“出类拔萃”,不过这一条可以
4 `% Y# f. V7 P( n改变这一点。
* ~0 ^; W5 n6 ~7 n/ h& a2 M 众所周知,毒霸6增强版加强了杀木马能力,号称可以增加查杀15000种木马。可是大# J6 @& u2 ^# N* G: J% G
家是否想过,这多出来的15000种木马是从哪儿来的?是从地里冒出来的还是从天上掉下来0 Y2 R. {* t: j' w: r6 J( A
的?显然都不是,金山获得木马的途径只可能是来自上报。这也意味着金山扣押了大量的
. b% @6 s+ J/ _% n( s+ ]' v( E上报木马,以便进行这样一次市场炒作。本人这个说法绝非口说无凭,因为我与我的许多7 ~! ?1 y+ R" p
朋友都有相关的体会:(其实根本就不用这么多,金山的广告就够了,自己仔细看吧)+ X$ o0 c; \: d$ W4 ^
3 R/ {& k h7 T0 j" n
①半年多以前,自己在电脑里抓了好几个木马,毒霸杀不出,便去上报。结果金山回; t1 F, s/ N, e
E—mail说已有人上报,要我等。我留了个心眼,过了几周便把它们拿出来杀杀,可是毒霸0 U1 s# w: J! {: q
一直不报警。这几个文件我已经弄丢了,但我希望那些给金山上报过木马的人把上报的木
7 I5 K# W9 Z: h, _# t7 r马用未升到增强版的毒霸杀杀看,相信结果很多都是一样的。
* K& c( F# J$ i; _ ②我有几个用毒霸的同学,在升到增强版后的那几分钟,电脑竟不约而同地报警说发
w$ Z& I' D) ?现木马。由于各种条件的限制,我只能搞到一个样本,不过相信这种情况一定为数不少。
v7 w" w Y& R! o' e大家千万不能上金山的当,像我那几个同学一样,还以为增强版的能力很强呢。 f- l- F4 m% f/ a
不管怎么说,毒霸的木马专杀本来就垃圾。木马专杀仅仅可以检查EXE关联与AUTOEXE
* h9 M) P# D6 ~" T0 H8 N' L/ qC.BAT以及CONFIG.SYS,比民间的“木马分析专家”差了几千倍,不能杀壳更是让木马专杀
5 M& P% V9 C& l; y$ W成为了废物,加上扣押的15000种木马后,病毒库齐全度才达到KV的水平。
8 M7 e, k7 H4 G; w, U# P% v “木马专杀”肯定是一个蓄谋已久的阴谋:全球每天才诞生200种病毒木马,就算它们
0 N7 i1 ]+ e+ c* O1 N4 y全是木马,就算它们全部被金山收集到,那金山收集15000种木马也需要2个半月……而现8 [1 x8 k1 o# w H. \- Y) J
在金山更是把15000改为了20000,所以……! O4 V5 t: k0 |
不得不承认,金山公司在国人心中的地位的确很高,但那仅仅是因为人家最早出现,
( }- q. X# B# Z而这并不能说明人家的产品好、信誉好,那只是国人的想当然。在雷军上台的这几年,金4 |+ P& G0 s2 [7 f1 K
山广告的确做得很火,但软件的技术几乎没有长进。这就不止网镖毒霸了:金山词霸2005
1 `3 X4 _% O5 e8 V' n仅仅是2002版换了个界面与发音库,词条中的错误却一个也没改;金山快译虽号称智能引
' M& [# h7 Y2 b' C* P8 p. [+ a擎,但翻译效果却一直未超过Office2003,而且是差很远,几乎只相当于把一堆词拼揍起
- c8 o3 _% `# u6 M( L来,据网友说,金山快译2005会把“Counter—strike”译成“计算机罢工”——妈呀,人2 x$ |$ A9 I! I8 d
家就是翻译成“柜台罢工”,我都不会介意的,可是“Counter”怎么跟计算机扯上关联了
/ D. t4 @0 r% \$ z4 ??至于WPS,我认为也没什么好说的:WPS花哨的功能越来越多,可是时至今日,WPS仍未实
5 T9 X' \( S3 X; ], \' m现电子表格中数据同步变换的功能,(即改一个数据,相关数据自动完成更改,这个功能
* k1 @, y7 v5 Q4 Y6 V' x是必备的)仍然需要大家自己一个个手动更改。而此功能在Office里面早已实现,这很是
) }5 s8 W. y" i( O说明问题。% C1 n; F$ t( G7 g* ~ `6 B
以上的说法并非本人发现,它们全都是网上已有的说法。综合起来,大家便可轻易看
- Y+ f1 H* m# V$ _: s% E出金山的底细。
8 g$ }* V4 {* a6 r" L9 y 当今骗子公司虽多,但也没有任何一个有金山这样明目张胆地坑人的,尤其是“木马) e9 A/ K3 }0 l2 w2 F# K
专杀”一事,炒作疯狂,全国媒体一齐尽献媚词,其设局构思更是伟大到了史无前例的地
. c3 |# O; I, L7 M0 C步,那个大名鼎鼎的网E拍又算哪根葱?知道有人会想说当年江民的硬盘炸弹事件,那的确
5 K! s$ B8 f+ f也是一个非常恶劣的行为,该骂。但当年的网民并不多,所以上网下载升级程序的受害者
$ P7 Q4 r) l# u* t并没有象大家宣传的那么多。再说那只是针对盗版用户的行为,(我没说这是合理的)而
: ?% g" v0 S0 p/ C9 p; @金山则是拿众多信赖金山的正版用户开刀,论动机金山显然更加无耻。硬盘炸弹事件早已
/ x: X9 g& C0 z8 d被公布于世,金山的“木马专杀”事件更应被公开在光天化日之下。至于两害谁轻谁重,
2 r( Q! i; T" E9 x2 [/ ]+ E那就是另外一个问题了。
4 z0 v; ~, _/ i! l V6 ] 但是,大家不要忘了,以上一切的一切,如果没有IT媒体的撑腰,都是不会发生的。+ s5 D, z: r& |; g6 Y5 K
大家不要把当今的媒体看得多神圣,多有光彩。人家不是搞舆论监督的,搞舆论监督的也) y- G' j v0 e2 I" M
不懂电脑。当今的IT媒体在面对谎言时,从来都没有打过头阵,从来都只是论坛的跟风者
( s+ _7 g, Y2 l, y" u: h- S9 c- U:3721、网E拍,它们全都是在网上论坛被骂得一塌胡涂的情况下才有媒体出来说话,有些
4 Y4 E* X, `: J/ r7 l3 x; l; l媒体更是直等到3721推出新版上网助手才出场,趁此机会做“评测”说3721根本没卸载方" I% D \3 i+ @3 u
面的问题。(鬼知道这年头他们收了多少金山瑞星的广告费?)( a1 K- U+ d6 w. e! e5 U2 z
他们从来都缺乏说真话的勇气。当金山瑞星“论战”之时,他们几乎是一言不发。不1 O: ?1 _5 v$ \! \
要以为这是什么“清高”或是“公正”,在金山瑞星无数漏洞百出,毫无水平的“论词”% c+ I6 ~2 M- I
面前,真正丢脸的应该是他们,这种无作为对于一个真正的媒体来说就是同流合污。这些" k' j* l( B9 |5 G1 \% l9 L
年头,他们又不分青红皂白地给了毒霸瑞星多少虚名妄词,多少沾着读者血汗钱的“编辑
( f1 o: Y2 _, [选择奖”。试问天下谁是真枪手?他们才是!" C" X, w( _; q! E
上文中许多发现其实并不是我的原创,像瑞星漏杀问题在有些论坛上早已有人提出,* p7 e% E2 p# ?
可是至今日,仍没有媒体敢提上半个字,足以证明他们的懦弱。看看他们干了些什么吧,) E6 }5 [' D$ _# V! S6 k6 w+ D c4 p" Y
整天仅仅是唱唱瑞星给它们的那首老歌:“半个月以来,病毒A和病毒B这两个病毒值得注
6 { s2 f7 w) Z2 ]. s8 v意。病毒A试图/会/除了会××××。病毒B(则)试图/会/除了会××××。可以上网的
S7 {! `! w8 ?, X0 F4 s+ C用户推荐采用在线杀毒方式,快速查杀这些病毒,也可以使用单机杀毒软件2004版,局域# I P' |9 v# c$ `& A: P" @7 I
网用户最好能使用瑞星杀毒软件网络版来彻底清除这些病毒。《瑞星在线杀毒》无需升级
& F3 [1 Y- L+ D& \5 j) A1 [5 m、《瑞星杀毒软件2004版》和《瑞星杀毒软件2004下载版》每工作日常规升级,遇紧急病
) G$ G$ p9 @( G8 V: n+ A6 V. e毒第一时间提供解决方案,每周升级的新病毒总数不少于400个!截止到×月底瑞星杀毒软 B2 a: `( q, m7 p! E+ e& o- E
件将升级至××.××版本,望广大用户及时升级。如遇病毒,请拨打反病毒急救电话:02 l( F' t" C `) z+ d' d
10—82678800或使用瑞星在线杀毒: http://online.rising.com.cn”这堆破玩# ]8 F" b. h* p5 _5 J( F
意儿对我们有何用?) e8 f0 C9 i1 N) m; ~
毒霸瑞星的地位并不是真刀真枪地干出来的,它们靠的是无尽的谎言:媒体的谎言,
. ?) A3 T y9 B6 d公安部的谎言,它们自己的谎言,颇有中国传统的“官官相护”之形。这正是看似简单的
9 m! E$ D& ?5 p! X2 ]1 r9 b# K H杀毒软件背后不可告人的黑幕。; F- T3 L7 X: u# E4 S" ^* h
(以上观点只指截止至10月初的现象。同时由于取证时间较长,难免有疏忽,敬请指出)
9 J" r% f1 D0 l8 t; h9 e& L申明我不是江民内线( s( ~! V8 v" s9 \/ I
[此贴子已经被作者于2005-2-20 19:43:19编辑过] . W# s3 U/ `. _* v
|
|
/1 
IP卡
狗仔卡
发表于 2005-2-19 20:57:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2005-2-20 10:51:00
发表于 2005-2-25 02:08:00
发表于 2005-3-12 03:46:00
