|
|
6楼
楼主 |
发表于 2005-2-20 19:42:00
|
只看该作者
|
【转贴】杀毒软件背后的黑幕6 ]3 f1 ?9 l" A
* L3 Y8 l9 U& l' b杀毒软件背后的黑幕——中国最严重的信息安全问题
/ Z( j% m! _ T3 B0 J" n 翻开2004年第18期《大众软件》,那个杀毒软件市场占有率排名让我百感交集:毒霸3 t2 w+ h' f ]
38%?瑞星29%,Norton14%,KV11%……,不要以为这只是几个简单的数字,这后面有太多
# I2 i$ q. |$ y" j; F& M+ g的故事,一时,竟不知从何讲起。这样,我们先看看各个杀毒软件的真实能力。(本评测
) y. G/ R6 u! {4 N2 |, Y, _中KV指KV2004)) ]* |8 l9 H3 A! u/ U% H7 B" k7 }0 Q
一、病毒库6 C+ T+ ?0 ], ]( P( N) G
这些年头看过许多评测,有民间的也有媒体的,几乎都是以病毒库是否全面为依据。! A5 T/ V7 f. d$ ]1 }+ {" U$ o
这是非常不科学的!暂且不说别的因素,我认为用杀毒软件对一堆病毒木马一通乱杀最后
& B0 h% o) h' U2 p+ w% Q仅仅以检出率论英雄,是一种对读者不负责的数字游戏。
9 v, P& H- @1 N$ ^4 E7 {, k 举两个最简单的例子,你有用过Norton去杀黑洞2004吗?不说别的,就说最有影响力
$ @' s R6 ]( c1 ^9 y8 K9 _' y; }的0815版,Norton也是怎么杀也杀不出。这完全不是什么巧合,Norton如果杀n年前的经典
! V; y9 |: D$ E: r X木马冰河84,也还是杀得出来的,只是会在隔离区里加上两个字作注释——罕见……& L. S3 [' ]& O/ ^
Norton是一个非常典型的例子,因为在这个方面的问题Norton是最明显的。不过其它% c! U! E$ h% O# E9 }8 p
的外国杀毒软件也好不了多少,哪怕是那个公认的杀毒王兼升级狂AVP,大家拿手上那帮大
0 X/ h2 s8 Q' A马小马自个儿试试吧,保证叫它们死得惨不忍睹,AVP那么好的引擎又有何用呢?(据说当# w- G" o4 D1 F- M: H/ n( K
年因为Pc-cillin杀不了CIH的某些国内变种,所以有人就……)
. A+ u& s9 e& j% S7 Z) E 就是不算木马,各种蠕虫变种也够这帮老外受的,其中最典型的就是Lovgate系列了。) u, p3 l* ~; W1 |# X' i
有些用Norton的单位就算是天天更新,也总是不如它的变种来得快,甚至面对有些n年前的% j# t4 s' x' c# o
国产病毒,那帮老外也一声不吭。: U( |8 g) R' ~; L* o* P
综上所述,我们只能得到两个结论:1、面对众多国产病毒木马,外国杀毒软件只是一
1 R) ~( q. T- J+ C7 G' b" n6 i帮废物;2、以检出率论英雄是一个彻底的错误,因为一个1%可以包含很少的东西,也可以
8 e [) u1 a! ]/ a0 m包含太多的东西,同样的检出率,一个可以杀灰鸽子,一个可以杀Beast或××国外二线木
0 U. Q$ Q7 z7 n; }" u马,你会选哪个?2 W5 t0 ]$ _) o- G/ C
虽然如此,但如果检出率相差太大,那就是另一回事儿了。Norton的病毒库是非常不
! z% r6 u; r6 _( o全的,尽管在杀木马时与其它国外杀毒软件差不多,但在杀病毒时检出率相差实在太大。& q$ P' n2 V! i c3 b5 b5 |
在许多病毒库比较齐全的评测中,(不包括公安部)Norton总是在最后几名徘徊,远远落
6 m9 i9 ^: h& W! I2 A+ ^& O$ \在其它老外后面,甚至在有次国外媒体评测时仅给了Norton6.8分,(满分10分,,AVP9分
4 m1 g7 t& E; R1 X) N)简直是……
. L/ }" A4 k1 q* R) [8 D& w 至于瑞星的病毒库也好不了多少,经常在民间评测中与Norton一起垫底,惟有木马库8 k R$ o4 |# H0 }1 ]
齐全了许多,所以其杀毒能力可想而知……当然,瑞星杀Lovgate这些国产病毒的检出率显
* g! c- A$ \& N然高些,但木马不同的是,病毒是会自我传播的,所以国外病毒在国内照样常见。于是有1 b, v, ?/ l4 o2 f R
一次,我的一个用瑞星的同学在用Norton扫盘时扫出满盘的病毒……顺便说一句,当年瑞, }3 o/ w( C+ \3 o4 n% J( T
星2003时人家可是一周一次升级!在这个方面,只有KV与毒霸过关,其它的实在差太远了
% X% [! w& h1 q+ Z- a4 [。
& x. W% N T% d% _: y# w# a" X& d 二、杀壳能力" ~4 G4 P# d a9 q6 a( z
在我看过的评测中,基本上没有哪个把杀壳能力放在眼里的。事实上,没有杀壳能力
' I2 O/ b9 h' |6 Q7 u,一个杀毒软件在面对木马以及病毒变种时,基本上就成了废物,有谁用马不加壳?有谁
| z% l7 c' c改病毒不换壳?只要人家有意,你的杀毒软件一瞬间就可以挂掉。(近来网上有传言说加
3 [5 D$ Q1 A E. E了壳的木马自释放时会还原,这个说法是假的)经本人实验,各大杀毒软件杀壳能力如下: M1 O) L% ~7 n/ l7 @
:7 G* g( C3 {, d+ X- q1 g
McAfee及大多数国外二流杀毒软件:UPX/ `: x+ l! M3 S# b o9 @5 I% W
瑞星:无
1 a: E; J; C7 T# |. D `& m 毒霸:无 A& i6 p6 Y% S4 a8 O
Norton:无9 y/ L0 }, s) d' m7 g0 T
AVP:大多数流行壳
# `7 ]4 s) R4 w, a+ l4 z7 {* T KV:大多数流行壳- z. [5 m9 o0 V6 E3 e
UPX是一种免费软件,所以支持杀UPX无需交专利费,如果一个杀毒软件连UPX都杀不了
* A1 D0 ` k; V! b" v, o,那只能说明他们那帮人偷懒。当然,无论如何,没有杀壳能力的这些杀毒软件会轻易地
0 j; B9 \6 [ p3 E# l5 `让你死翘翘的,所以大家今后必须重视杀壳能力。
3 P, a6 I/ J) `! E# P f k% Q2 h) b* P! S+ J; i5 Q6 a
- S$ S$ P2 g! j5 w) F! b
# S: B9 i# C* S3 Q c
同样的木马,一加壳便是不同的下场
5 t9 ^- `% s% o3 j( b; S, E三、清除能力
3 |& j% u" f$ c 不得不说,任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不
* @/ A+ S- v$ X* ^; M) \- }理想,不过由于在杀毒过后这些文件都成了死链接,所以随便找一个清垃圾文件的软件就 |2 D1 c) D/ y
可以了。% g4 s" Q' H r( t3 k
其实关于清除能力,大多数的杀毒软件都差不多,不过倒还是有几个特例:( T% S. o/ F1 D3 q5 @
瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下,杀Lovg
# _4 ], @% r- ]& t2 bate用了2天,杀某蠕虫病毒用了一周,杀folder.htt病毒用了超过一周时间也杀不干净,
# B: i" [, ~6 v% q* `! W( X% c最后只用搜索并删除同名文件却杀干净了!明显是跳杀现象。
" i; }8 r9 Z9 b+ kNorton则是一见染毒文件就删,实在令人怀疑Symantec的人是否学过汇编。另外Norton在
/ N! O d- C5 T4 f撞上一个病毒在内存中的进程时,竟经常不会自动关闭,需要你手动关闭,而其它任何杀# m" [6 Y- i' t# G- d
毒软件大都有此规则。; o3 r; ^$ ^3 }
四、内存杀毒及DOS杀毒
0 D8 X( ?$ I7 X2 [# D6 B( D% f 当今国外杀毒软件基本没有再提供DOS杀毒的了,所以面对dll进程守护式的病毒木马
9 D- j* p) b4 ^, Y# U" x. Z. l/ V就只能到安全模式下碰运气了,并且有时还会失败。相比之下,毒霸、瑞星、KV都有DOS杀. Q9 x/ D4 k# S
毒能力,只是毒霸杀不了NTFS,KV可以杀壳。
- V6 ~1 w7 l8 f7 b 国产杀毒软件都号称可以内存杀毒,但大都只是实时监控加进程关闭的换汤不换药,
' Y0 U8 O ? k* i$ s杀不了dll进程守护,甚至不去检查调用的dll文件,等于一个功能没加,只有KV一个一个
! y9 R. m% Y0 r$ f; mdll地检查,并有查到毒后反复检查内存及必要时自动开机检查的功能,dll进程守护的病5 J \9 o& U' z* b# i+ t. F
毒木马基本上都可以挂掉。实话说,只有KV的可以算有内存杀毒功能,其它的都是吹牛。
, L; O. L& W+ a9 P( L8 {$ N3 R
6 A2 N+ B- @, c 五、实时监控
4 r2 V/ W, ^$ }, E% \: R2 ? 当今的杀毒软件几乎都要吹一吹自己的实时监控,但实话说,没什么稀奇的:一是对1 V, f( O+ B- b% j! a/ q/ m
进入内存的程序进行扫描,二是预读。(解压时查毒属于第一项)第一项没啥子稀奇,至. n- y. y7 q8 q
于第二项,国产杀毒软件的速度大幅超过了老外,的确可喜可贺。
/ t3 x7 O5 P0 U! c& G. N6 U1 D4 ?' f 尽管如此,不得不说说KV。KV的实时监控技术,即“动态比特滤毒”技术实在是太强
. U; t, p- p" e! C了。为什么我一直在用Net Transport呢?因为在打开KV文件监控的时候,KV会自动对进入
. t5 N: Z t! y$ b, S l8 x/ z电脑的文件进行扫描。如果是带毒的压缩包,KV会在下载结束的一瞬间报警,如果是EXE或. I$ E4 y9 j. G R% C
DLL等,那么有时才下载到一半就会报警。另外如果你用Windows搜索时开KV文件监控,KV
1 {; T5 n. ~+ \5 J会顺带地扫出很多东西,(前提是你硬盘上有)上次我就是忘了这一点,结果把自己的黑; y7 X: n6 e) ~
软库一大半倒进了隔离区。(开个KV在网站上防Asp木马,爆爽!)
+ r1 A' h" \. i 六、杀未知病毒能力+ u& |1 a6 L) p+ k) ?
当今的杀毒软件对这一点都“非常重视”;所谓“重视”就是大肆做相关的广告;行: l4 f/ b6 A9 }
为判断、虚拟机法、智能跟踪……如果这些都是实话,那么面对一个歪壳压的病毒,杀毒+ }; H( y' w$ s+ ~6 f
软件们理应报警,但事实上没有一个杀毒软件做到这一点,这些谎言也就不攻自破了。当
+ e& R' a% A/ P2 h5 j# N今的杀毒软件的防未知病毒机制其实只有启发式扫描,即仅仅是扫描文件中的可疑代码。
; `3 k5 d3 M: o, S也就是说,如果解不了壳,再强的启发式扫描引擎也什么用也没有,由此,KV、AVP的表现
4 r! R) _( I2 ~. I大幅超过了其它的杀毒软件。在加壳病毒横行的今天,其它的杀毒软件几乎全是吃鸭蛋。
/ R1 F% }8 y6 U2 T9 d+ E+ ]" N: ?0 H0 h/ B( {% N% O6 |
不论如何,毒霸、瑞星和AVP的误报率都算比较高,尤其是前两者,几乎只有误报纪录
( _; r7 Q- |% V! v& W2 G1 S* A,毒霸的实时未知病毒检测甚至会干扰到已知病毒检测。Norton与KV到目前为止我也没发
; a! y$ F% `' d现误报,不过Norton的未知病毒检测也不乍地,只是比毒霸、瑞星强了许多。
3 u3 e3 S8 D' f' s: q 不看误报率,只有AVP与KV的能力令人满意,AVP自然不用说,人家可是启发式扫描的
/ P; ]; m( }* M4 a o2 X+ Q" j) l K鼻祖,具体能力大家也清楚。事实上KV也是非常强的,只是可能大家不知道,最经典的例
5 T7 I/ g# [0 |: ]8 E' Z) f2 I1 ]子就是当年的KV3000不升级就可以挂掉冲击波!不过据说KV未知病毒检出率略低于AVP,也
# {; I) A# ^6 I; T e* g许这是为达到误报率为0所必须牺牲的吧。! v5 l6 X V$ R& A" D* o- O
大家注意,哪怕是KV、AVP,它们杀未知木马的能力也为0,也许它们一向都只是在研& S+ J0 C7 I& ^4 g A: f9 v! q. }5 s
究病毒吧。若要杀未知木马,大家一定要用****,据我实验,****是第一个采用行为判断法! w; `7 N' e# O! L/ `- I. v$ W
的安全软件,同时有超强的专门对付木马蠕虫的启发式扫描引擎,对付加壳木马也非常有+ H! a- R9 W$ Q1 |
一套,实为史上最强的杀马软件,曾被ZDNet评为年度十佳软件……如果你用过老版本的*
/ E: y, v( S" o0 F. Q***杀当今的黑洞灰鸽子你就知道了。不过这有点扯远了。" D; ~- V- \3 R" D
七、速度
d1 E+ U2 s$ J4 q4 | 首先对毒霸的“闪电扫描”提出质疑:
e- D0 i3 F0 W R7 { ①有谁愿意为了一点点时间而仅仅去扫某些病毒呢?安全至上呀。6 {4 \+ N/ n) M: N+ v3 c* Y
②病毒经常是相互附身一齐出现的,这可是常识呀。
( _0 k( g7 y( d! b1 A ③鬼知道它扫的是哪100个病毒?
0 l+ n( E7 @# X4 ?" U$ K2 R “闪电扫描”顶多是一个花哨的噱头,基本上没有人用,大家不必理会它。大多数杀+ b3 m! r k! z' u+ b% I4 L7 b) R
毒软件速度都差不多,可以接受就行了,不必排先后。不过AVP由于支持杀壳,所以在开了
# ^# h- P1 {# u杀壳后速度慢了很多。但瑞星令人实在受不了,慢得甚至出现了专杀工具速度跑不过其它
/ w+ K8 p' l9 D2 J" c$ l3 o3 ~. E完整杀毒软件的奇特现象……。KV还是令人佩服,又支持杀壳,速度仍然很快,着实先进
O* y; V% l1 X% `& J3 r F4 ]1 U,不能杀壳的毒霸扫再快也无法动摇这一点。1 v5 C4 A! ]) U1 x, @
八、集成度% Z; z5 Q7 R, I+ y w% o
老外们在这儿不得不出局:不支持QQ?Game over!
! @8 K) n7 R! |$ h KV的集成度肯定是最高的:有了动态滤毒,KV等于是支持了一切聊天软件与下载软件
% s# _$ @3 ~# A,同时效率最高,名义上不支持QQ算什么?
+ ]9 S$ r; F4 D3 ]! _: ~ 毒霸及网镖在一次死机后图标全会消失不见,极不方便使用。瑞星用DLL进程守护解决
7 ?8 W5 ?8 j! a& L: I9 V( A了这个问题,不过同时也带来了无尽的资源占用与冲突问题……
6 U( q3 `7 M; e* v 九、压缩格式查杀支持(出于实用,我们只看ZIP与RAR)
) R4 W2 d0 }; ]; z KV:普通ZIP、超真空ZIP、RAR
! G8 @: ~9 }; p! t/ M9 S' {/ O AVP:普通ZIP、超真空ZIP、RAR
" K3 q- U$ W; y' L1 G 毒霸瑞星:普通ZIP、RAR/ Y( B+ Q& E6 F ~, G* c2 {
其它大多数国外二流杀毒软件:普通ZIP
# E# ~* l6 }$ V1 ~+ j; j7 A 大多数外国人都不用RAR,所以Norton与McAfee等都杀不了RAR
* f( R/ `5 W( l7 B E9 r0 \ p 十、资源占用与冲突:% y( E5 m7 R o1 m1 F# a) u
KV与AVP资源占用最小,获得广泛好评。Norton毒霸一般般,但开了QQ后Norton资源占
# ]% ?8 a' F% u9 i( B" I6 Q& S8 Z用暴升……瑞星这方面问题极严重,不仅是当之无愧的冲突王,也是万“死”不辞的资源" L8 n4 ]; {4 U( k$ g
占用王,有些配置稍逊的电脑在开了瑞星后,(只装瑞星)弹出右健菜单竟需3—5秒……另+ Z- E7 N# C& o- A' U1 z
外好象有一个说法,就是装了瑞星后装其它杀毒软件,基本上都会起冲突:装毒霸后不开实
/ `( Z, V- ]$ C时监控系统也爆慢,网上有人把Norton这样装则是根本进不了系统。当然也有例外,就看
6 U9 v0 P) S" [) s7 `8 a! @. ~9 x你的造化了。
* f* ^4 Z) V+ h g5 c5 K0 q 总结:Norton实在太废,除了公安部和某些菜鸟,几乎是人神共诛,连外国同行都不
. V: b3 x7 l5 Q以为然。(6.8分,妈呀!)虽然Norton是实时监控的鼻祖,但却不思进取,活该。大家若
9 s" x: n' Y8 T3 M( A0 R, \* e一定要崇洋媚外,那就请用AVP。不过我一开头就跟大家讲得很清楚,非本土化的杀毒软件: K# g5 ^! S3 _9 y' ]- P
的下场嘛……
: I4 ^+ N; G% g5 F4 E: X# { 毒霸的表现勉强算二流,面对加壳木马还是太嫩了。瑞星则是我见过的最废的杀毒软2 ^; q: q9 `5 B" T+ i! s$ Y$ h
件:毒库不全,耗资源,易冲突,不杀壳,速度慢,跳杀!这年头民间防病毒软件非常多
% m5 k8 c7 \8 r4 R9 @- i,大的有十几兆,小的只有几十KB,没有一个有跳杀的问题,扫上7天对它们都算神话来的" ]4 F2 k& w* |
!毫不客气地说,这一点可以让我们确定,瑞星是全世界最废的杀毒软件——谁不知道跳* Y8 {* _6 V4 H
杀意味着什么?0 d# ?! N9 [: q9 N2 a0 v
至于我对KV的评价,也绝不是一家之言。有许多国外媒体都在吹AVP,但这并不代表A* [+ L6 {: y$ a! K! x5 |* F( L/ h
VP比KV强,因为大家都没见过KV,惟一的例外是日本人评了一次,结果大家也知道,KV获
2 K# j& ]8 `" t) y: X' @- [- c胜。与此同时,国内大多数的黑客专业网站推荐的也是KV。这跟本文的结论是一致的。KV/ I1 Q5 J: G' k
如果做好了国外病毒木马的收集工作,届时一定可以在国外压过AVP的风头。9 {! k* E9 b5 _. y+ I1 V
我个人认为,本篇评测,是当今世界上最科学的评测之一:8 _! f! Y" H( ]3 p. z/ R
1.一个评测如果只看重病毒库,那么只说明这帮人压根儿就不知道木马加壳术,不认
( D- V/ [# ~" I5 o; K. F可加壳后的无敌木马的危险性,甚至连瑞星的跳杀问题都看不到! e+ k8 T( t: T- \
2.一个杀毒软件的能力是有限的,并非一个数字可以代表得了,正如水浒英雄的能力: A* V4 @6 ]0 F) s/ t- v/ A
并非那些“水浒人物卡”上的几个数字可以代表的,另外国外杀毒软件杀国产木马的狼狈: \; v) f- x/ x* x2 k) C- v
相与评测时得到的检出率与分数完成不成比例,也能很好地说明这一点。一个真正合格的% N0 m+ n9 K5 N% y) Y8 O' g
评测应该是把各个杀毒软件的优点缺点都列出来,让读者自己去按自己的需要来判断,最) {$ c4 K' }3 k1 Q8 C0 [( g
多分不同情况给它们简单排排名。
+ B; [% \8 [8 h/ V) u 3.一个评测如果只是泛泛而谈,而不分出杀毒软件的优劣高下,这只能说明这是一个
0 |% A' H1 F. h0 G广告大串联,而不是什么评测。本评测中出现KV一边倒的局面并不能说明本人的方法不科
$ j+ z5 w- f, {3 b1 V5 H学,反倒说明其它的评测根本算不上评测。
4 G, V$ e2 ]7 A7 E5 { 4.最重要的一点,本评测一切论据与细节都是公开的。(比如病毒名称,评价原因)& i9 p* M$ t/ s- F1 J- }; z* B
就算去除一些口说无凭的个人经验,只剩下大家可以自己操作自己实践的部分,大家仍会% S/ i2 I; a B
得到同样的结论。本评测的真实性无可怀疑正基于此,大家尽可乱试。: P. p! V' F' G3 V/ u7 o$ p
如果仅仅是做个评测,那么离“黑幕”就差太远了,但是事情远不止这么简单。我认
7 H; W; r) i8 u( o3 e" O为,如果压在KV头上的是AVP,我认为大家还有些讨论的余地,但我们可以看到,排在KV之
: s$ y c3 l3 o" _' H8 X前的尽是些垃圾:毒霸、瑞星和Norton。它们的流行与中国人随波逐流、轻信广告、做事$ J$ H3 q- q( ]) j
不细究这些毛病都有关,这自然不用说,但我认为最重要的原因就是公安部的评测。
. U' T8 I9 |- h# d- m M" r; I 公安部的评分是这样的:毒霸95,瑞星95,KV90,Norton85,其它的杀毒软件依次列" \' i/ F @2 P' z
在后面。所谓检出率则是:毒霸100%,瑞星100%,KV100%,Norton9x%,依此类推。* x6 s- a, Z) U. v
实话实说,公安部的评测是我见过的最假的评测,也是最害人的,因为它影响力最大% C }# s* f) g. [9 r2 U
,随便就可以扯出一大堆疑点:. D l" ^+ H& J$ q3 l# Y
1.KV那么强的引擎,凭什么排在毒霸、瑞星后面?如果说毒霸、瑞星恰好撞上比较“7 {8 T% y# ~+ a9 F2 ]9 V3 V
适合”自己的病毒库,那还好说。但既然检出率都是100%,其它性能KV则是全面超越毒霸
9 m9 q: k7 b2 f8 y7 _( f( o、瑞星,凭什么KV要比人家低5分?
5 j$ e! E9 f z0 N! a! h 2.作为史上最废的杀毒软件,独一无二的冲突王、资源王、跳杀王,瑞星凭什么遥遥
0 t2 E3 c* |' K4 a0 {" G1 d& y领先,并列第一?
! v4 u* ]( P' B/ i0 o R: G% b% d 3.作为国内市场中病毒库最不全的杀毒软件,作为一个在民间评测与国外媒体评测中
0 E0 W) W+ W! r* O' \ a8 E, u屡次垫底的杀毒软件,Norton凭什么比McAfee、PC—cillin、Panda这些家伙的分数与检出
: l# ^( @: }$ s9 J a; {率高?大家记住Norton当年的分数:6.3分!
/ m* J/ k5 b: b" [; o 4.凭什么大名鼎鼎的AVP不参加评测?8 f: A- O3 S9 n6 g1 ?
5.凭什么公安部几乎只看病毒库?虽然民间评测有这样的,但官方评测从来都不是这0 A5 ] H# |' i9 Z
样的。2 r4 j( D: K3 X* R0 F
6.凭什么公安部把除了病毒库之外的评分标准全不公开?8 z5 {+ u1 A+ n
7.凭什么公安部全盘都在暗箱操作?
% l' \ Y4 v% E9 { 8.凭什么会出现三个杀毒软件同时得到100%检出率的情况?全世界的杀毒软件评测,
' h" J6 W+ \; v2 {: b根本就没出现这种情况。要么,就是公安部病毒太不全,要么就是人家想搞“民族产业振
; B) g l4 @9 k; p1 _! b兴”。- X( }- t; }0 N( X/ |& ?. ~5 D
……5 t/ W: f# G+ V( Z! j, z
疑点多到了让人几乎可以窒息的程度。研究一下杀毒软件的历史,发现公安部评测实% l1 X4 I% q8 G$ ^0 f- `
在害人。7 f9 e. e# A6 c& E! v; c
众所周知,KV是早期中国最著名的杀毒软件,一度市场占有率遥遥领先,今天却落到: E1 y5 |5 p& C* t' O8 _
了这个地步,难道是技术问题?KV的病毒库一直是全国最全的几个之一,未知病毒查杀当
8 T1 r+ Z" G7 ~5 N2 _时在国内更是无可匹敌,而且早在KVW3000时代就可以杀UPX、Aspack甚至WWWPack这种偏壳
! Q& x) R+ }; ]! K# z7 N,恐怕只有AVP称得上对手。虽然对Win2000支持不好,但当时又有多少人用Win2000呢?那
! M6 }' I. w4 ~6 z# Q# F+ ?时KV的UI的确很差,但有些人认为KV那时用的是KV300的引擎,则纯粹是以貌取人,上面说 R0 _: d# b5 g/ v. A" E
得非常清楚。然而公安部从那时起便不给KV好脸色看,KV于是便一落千丈,落得今天这个& m1 b# v' g- e! E* K: a
地步。(硬盘炸弹固然也是一个原因,但今天还有几个网民记得这件事?还谈何影响力?. e; M* ^- i0 K, K% G0 I" Y" E
再说,公安部做的可是评测,而不是历史清算)可是直到现在,毒霸、瑞星除了支持NT内
4 |0 ]' Y# J4 W; W" E6 b核实时监控,几乎什么都比不上当年的KVW3000,足以证明公安部评测的胡闹与破坏性。前
8 A+ h+ f8 B5 `# j, Q面说了,KV的文件监控本来就可以达到QQ、UC、POPO等防毒功能,今天却在KV2005中特意) k" l4 J# D0 M3 h& m( O# I& F
“加上”相关功能,不得不说是一种无奈。# h) H! u6 l! A: O/ T& v
KV的下场并非最惨的。有些人可能还记得当年有一个很著名的杀毒软件——行天。行
1 y) E' u E! T+ x& d天虽没有KV的强大引擎,但病毒之全实在是出类拔萃,几乎一直是全国第一,而其它的任5 o% _5 {8 I. U; \, m
何方面也不逊于毒霸,跳杀的瑞星更是不用说。安全之星XP(VRV)也一样,至少人家比瑞1 N3 e6 h8 f/ h* m* F
星毒库全,速度快,又没跳杀问题嘛。可是就是这样两个杀毒软件如今却销声匿迹,公安
, v6 ?. z8 J; v3 m, O部显然脱不了干系。, N( |' t i2 u' \1 ]
在这样一个节骨眼儿上,我不得不为KV说话——如果KV哪一天像行天VRV一样被整垮,我们
4 p" r9 X1 M. i5 E- E6 M2 u中国还有什么可以拿得出手的杀毒软件?我们如何面对微软的进军?我们如何面对今后出
6 r& d H: S B P0 E' ^7 r2 p现的彻底本土化的国外杀毒软件?网民们轻易相信广告固然是个原因,但如果没有公安部; q, M( D" `8 l' n
的评测,网民们会这样吗?. f! F( a, w+ r f% b7 |, l
一切疑点表明,公安部评测并非乱测乱评,而是有非常非常强的倾向性,是明显经过9 ^( O4 [- Z$ W$ s3 i3 B+ y
人工操纵的非常明显的作弊行为!毫无疑问,这后面还有太多的故事、太多的后台、太多6 Z0 X* y! g1 j
的黑幕、太多的权钱交易、太多的无耻。具体是谁在操纵,我也不知道,也没办法知道。
# ?; x: W8 ?# G我只知道,它让三个垃圾占领了中国80%以上的杀毒软件市场。公安部评测,理应人神同诛, n9 m2 t$ z7 P/ O
!7 z$ E) G8 z7 \0 Z
公安部固然要负主要责任,但虚假广告照样脱不了干系。/ l1 }; ~9 I0 |
瑞星的瞎吹倒不多,但也不是没有:“第五代国际领先可扩展引擎”——作呕!不过
+ K/ b& I2 o/ X+ |1 w. @瑞星还算是比较“谦虚”的,比如防未知病毒能力就只敢加个“瑞星专利”作形容词,“, }0 F9 V* ~0 w- a
清除病毒”之前就不敢加个“彻底”,算有自知之明。6 @) Y* o6 ?1 P- m
Norton倒没做广告,到底是怎么流行的,除了OEM大家也清楚:谣言可畏啊!
/ r! I4 s& K2 G2 R- Q3 }4 j 最最最最无耻的就是金山了,实在是令人发指!不信请看:
& }: ^$ K4 r" t1 t0 A4 i 1、把你的金山毒霸包装翻到背面,一条一条地看:0 ]! @- v7 m7 T% x, n
①“病毒处理速度>>病毒传播速度”这显然是瞎吹。
4 G" L7 ~- A* V% D) W+ X ②“网页防毒,有效拦截……”这年头窗口炸弹写法也就几种,随便一找就找到一个 O: l* ^! S# b1 |8 ~5 e
毒霸杀不出的,(KV与Norton都杀得出)至于广告拦截更是效果几乎为0。你敢用这玩意儿
8 M- u& I' ?# X; A拦网页木马吗?
4 ^4 N5 d" z1 y. ^% [: u" { ③“闪电杀毒”前面也说了,花哨的垃圾。
. \% f5 X5 W a% _" X+ O ④“双引擎杀毒”金山的说法是:国际引擎是AVP的。懂一点杀毒软件的人都知道,双$ v& w! a8 ], m) C+ d6 p1 T2 t
重过滤分析是100%不可能实现的,否则毒霸耗的资源肯定不止那么多,速度也不可能那么
% h. h5 f- g. P# ?3 \快。隐含的国际杀毒引擎杀国际病毒效果好的说法更是有违常识。同时,不能杀壳,不能
. w& E6 v% C. S- s# @& M' _" V杀RAR,脚本拦截与杀未知病毒烂,这根本不是AVP的作风,去掉了它们,AVP根本不能称之% l1 r4 F1 x; Q' Z4 j
为AVP。再说AVP风头正盛,哪会干出这种卖引擎的傻事?
z8 t2 B9 P+ l R" W7 I 依我看,有三种可能:9 B. D0 @% N! L
(a)金山只买了一小部分引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒
8 F3 o; I- C& }# G) t9 s,等于没买。
9 |! i/ ^3 [, H. M* L$ @ (b)金山只买了一个老版本的AVP引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未7 a+ N. a& a$ ~& E3 L( x! U/ U
知病毒,等于没买。这还是有可能的,因为毒霸老早就在吹它,时至今日,甚至懒得用一# Z" @: [% @0 f
个“全新”作修饰。如果真是这样,我倒想给金山提个建议:买一个KV300的引擎,然后就" U2 p& }7 ?' F: y# O* f; p
可以号称集成了KV的引擎了……, l7 y" V8 n' H/ K1 V
(c)金山仅仅买了个名号,这就是真的没买了。& L/ ^/ e' I* Q5 k) k4 i
这三条说到底就是没买嘛。& G E5 a; T( |. g: L3 Z. W
⑤压缩格式查杀:别的我没追究,反正金山号称可以杀RAR很久了,但直到推出增强版1 T) t/ t3 y& g
时才兑现,实在无耻。这个不用多说,大家一试便知。
) K* `& F& M6 Z1 u⑥内存杀毒:前面的评测里讲得很清楚,不用多说,反正很多人都有毒霸报警却发现狂点
$ a% E6 s+ u% b& V+ _+ T) y6 ~& H也清不了毒的经历。不能内存杀毒也罢,金山竟敢再加一句“带毒杀毒技术,无需启动到' {8 X. |6 Z! e1 b
DOS状态,直接在Windows环境下清除病毒”,真是厚颜无耻。每当我向金山售后服务问起) H: B# M# ~7 u" p1 R
这个问题,人家都抛下一句话:“你到DOS下面去吧”。可你要知道,毒霸DOS版杀不了NT3 t j3 }) T. B) E) ?
FS呀!0 @- K4 [ B: c4 u/ s% h
⑦硬盘修复:修复CIH与Opasoft造成的破坏我倒没话说,虽然我没试过,但号称修复" Y$ k. _: S! ~1 x3 C2 d
Hdbreaker造成的破坏就肯定是胡扯了,实在是不自量力,我甚至怀疑这帮蠢货有没有见过
9 e& `* H. L& g; Y$ U0 nHdbreaker。如果大家嫌自己电脑全是垃圾,也可以试试,反正我是很想在金山的每台电脑1 r9 E/ @3 b! z% Y1 V% ?
里都放上一个Aspack加壳的Hdbreaker:)/ C ? m3 R# j
顺便骂骂网镖:
b+ t! Z- V* c- M) |2 C ①作为一个规则过滤式防火墙,规则设定选项是它的灵魂。网镖的规则设定选项直到
* V, n2 e% s, a% v' v }今天也是最少最不全的,连设置繁琐的瑞星防火墙都比不上,还敢叫“个人专业防火墙”& u0 `; q Q2 y. `
?我宁可用Windows自带的防火墙。2 \4 C2 z s1 Y0 l4 E0 j! _
③很多人都知道,新网镖有一个功能,可以自动拦截木马并报警。这功能看来似乎有
$ |7 N) n* S2 G8 q1 E! \: i用,但实际上是屁用没有。试想一下,网镖可以准确地报出木马名称,这肯定是人家动用7 _$ g8 n1 p' {2 p! }: G' H8 w$ O- n
了毒霸的引擎杀出的已知木马。要杀便杀,金山却多此一举,实在无聊至极,是明显的作
# y! w( o; U; Q: U. n5 {* l秀行为。2 Y+ Y. a9 j: \/ { Y- J
④金山网镖几乎是一周升级一次,但相信没有人发现过其中有什么变化,肯定是假升
0 |: v O# F: u$ ]8 S级。惟一的例外就是某次升级后,网镖会对冲击波报警,可我等早就打了补丁,要它作甚% {9 o3 z) ^( p5 f
?可是这个“内建规则”哪里都没法把它关掉,只好让它产生一堆垃圾日志。8 ]. J! Y8 F& D
大家如果要用规则过滤式防火墙,那就用天网,试用版也行。如果你不嫌麻烦,那就+ U& y8 q2 M5 x" W/ n! R
用BlackICE。不论如何,就是不要用网镖,又花钱又受罪。$ ~2 I9 x6 K7 M8 T g0 ~
2.金山那帮售后服务的人实在太菜,以下是经典问答:
7 } j" B3 @+ U: R “毒霸怎么杀不了RAR?”“你到命令行下试一下,应该可以的……”,“毒霸怎么杀1 }3 _4 a+ ]; p' L1 g
不了××病毒呀?狂点清除也杀不了耶。”“你到命令行下试试……”(小子,你们那个
. R4 m9 y m/ Z$ P! T) T9 c很牛的“内存杀毒”呢?),“听说现在加壳木马很多耶,毒霸杀不杀得了?”“(有点
8 ^: b6 X8 _, N9 ~% A7 [; F犹豫地说)应该可以的……”,大家还是自己实验的好。
. W' A. O3 B E! J 3.有了以上几条,金山也仍然不能在众多骗子公司中“出类拔萃”,不过这一条可以& O3 D/ P, o$ e6 a! A6 h. C6 j% i5 z
改变这一点。 i7 Z" n& k: }% e2 Z/ `
众所周知,毒霸6增强版加强了杀木马能力,号称可以增加查杀15000种木马。可是大" ^/ P h7 ^: j6 ^* p
家是否想过,这多出来的15000种木马是从哪儿来的?是从地里冒出来的还是从天上掉下来
$ j3 N H- U/ V7 p1 m0 m/ G) c的?显然都不是,金山获得木马的途径只可能是来自上报。这也意味着金山扣押了大量的, Z) k/ \( H* ]$ l, B
上报木马,以便进行这样一次市场炒作。本人这个说法绝非口说无凭,因为我与我的许多
7 E; p7 e: a X% c7 o朋友都有相关的体会:(其实根本就不用这么多,金山的广告就够了,自己仔细看吧)
* }4 m; J L/ A7 x& b$ S
K: A# e! n; L* p, Z. u+ S. G5 g" u ①半年多以前,自己在电脑里抓了好几个木马,毒霸杀不出,便去上报。结果金山回
0 o2 |0 \9 M5 l ^E—mail说已有人上报,要我等。我留了个心眼,过了几周便把它们拿出来杀杀,可是毒霸
6 L; F8 ^/ ^5 Y+ w; s一直不报警。这几个文件我已经弄丢了,但我希望那些给金山上报过木马的人把上报的木1 J% Y( T7 g, Z" T; p, o5 ^- N
马用未升到增强版的毒霸杀杀看,相信结果很多都是一样的。
2 N. J E9 p* f I2 c( r ②我有几个用毒霸的同学,在升到增强版后的那几分钟,电脑竟不约而同地报警说发2 d# h# o! y6 j
现木马。由于各种条件的限制,我只能搞到一个样本,不过相信这种情况一定为数不少。
: i* G# V3 F* A! z; N! c3 ^8 J大家千万不能上金山的当,像我那几个同学一样,还以为增强版的能力很强呢。
8 I' h/ {- g: ~/ L1 F7 A7 t 不管怎么说,毒霸的木马专杀本来就垃圾。木马专杀仅仅可以检查EXE关联与AUTOEXE
' ^/ X; W& k) f# A p' H }6 P9 yC.BAT以及CONFIG.SYS,比民间的“木马分析专家”差了几千倍,不能杀壳更是让木马专杀1 J k; g0 w! F8 K# `
成为了废物,加上扣押的15000种木马后,病毒库齐全度才达到KV的水平。8 q! C K8 ]% F
“木马专杀”肯定是一个蓄谋已久的阴谋:全球每天才诞生200种病毒木马,就算它们1 H D" ~7 ?/ } I# a
全是木马,就算它们全部被金山收集到,那金山收集15000种木马也需要2个半月……而现
6 C. |: f1 ?; j, E( \7 t在金山更是把15000改为了20000,所以……! w3 R3 I$ M9 h, j2 m7 a9 h
不得不承认,金山公司在国人心中的地位的确很高,但那仅仅是因为人家最早出现,
5 [1 ?4 X0 `! a3 U) v+ Y1 f% ^' x5 W而这并不能说明人家的产品好、信誉好,那只是国人的想当然。在雷军上台的这几年,金8 c1 C- `3 k$ i, o: {' Q% C [! H& P
山广告的确做得很火,但软件的技术几乎没有长进。这就不止网镖毒霸了:金山词霸2005
% K- H, p; p+ g5 h仅仅是2002版换了个界面与发音库,词条中的错误却一个也没改;金山快译虽号称智能引
3 C B) V3 c& x. ]擎,但翻译效果却一直未超过Office2003,而且是差很远,几乎只相当于把一堆词拼揍起1 @5 `' G) ~3 k6 y
来,据网友说,金山快译2005会把“Counter—strike”译成“计算机罢工”——妈呀,人
* J! h( z( V. m2 A0 B8 P8 _1 c家就是翻译成“柜台罢工”,我都不会介意的,可是“Counter”怎么跟计算机扯上关联了5 J& {* z1 F$ k! G' `. s& R. K
?至于WPS,我认为也没什么好说的:WPS花哨的功能越来越多,可是时至今日,WPS仍未实
- \4 t3 Q ?* R* y0 f6 u5 q$ k现电子表格中数据同步变换的功能,(即改一个数据,相关数据自动完成更改,这个功能
, i, ?7 q- ?( y2 b是必备的)仍然需要大家自己一个个手动更改。而此功能在Office里面早已实现,这很是8 ^/ _3 M! ~2 G& J* i. E8 d
说明问题。$ Q8 N8 k8 z. l0 v
以上的说法并非本人发现,它们全都是网上已有的说法。综合起来,大家便可轻易看
3 c+ P2 v" N$ k3 L, e- W$ {出金山的底细。
5 ]! N# j# \# R0 S' b 当今骗子公司虽多,但也没有任何一个有金山这样明目张胆地坑人的,尤其是“木马
f: T8 m2 c4 Q' `专杀”一事,炒作疯狂,全国媒体一齐尽献媚词,其设局构思更是伟大到了史无前例的地
8 ]4 I$ e/ s$ Q; S) j步,那个大名鼎鼎的网E拍又算哪根葱?知道有人会想说当年江民的硬盘炸弹事件,那的确: b/ u/ G9 `; m F
也是一个非常恶劣的行为,该骂。但当年的网民并不多,所以上网下载升级程序的受害者
. y7 y: p/ F X* x4 p并没有象大家宣传的那么多。再说那只是针对盗版用户的行为,(我没说这是合理的)而3 i: X; ]2 k0 G7 P1 c
金山则是拿众多信赖金山的正版用户开刀,论动机金山显然更加无耻。硬盘炸弹事件早已
! x! c' l- B7 s被公布于世,金山的“木马专杀”事件更应被公开在光天化日之下。至于两害谁轻谁重,5 H8 j2 b; f& D, }6 ]" C
那就是另外一个问题了。2 f. d3 Z6 B- l3 T1 o1 c9 ]- O7 p
但是,大家不要忘了,以上一切的一切,如果没有IT媒体的撑腰,都是不会发生的。" h% r& l/ \0 e# N8 h
大家不要把当今的媒体看得多神圣,多有光彩。人家不是搞舆论监督的,搞舆论监督的也
1 B m4 E! M* O9 O不懂电脑。当今的IT媒体在面对谎言时,从来都没有打过头阵,从来都只是论坛的跟风者
7 S' i. J3 i3 d9 ?! L3 ?:3721、网E拍,它们全都是在网上论坛被骂得一塌胡涂的情况下才有媒体出来说话,有些
4 v, Q z/ S& N- J: L媒体更是直等到3721推出新版上网助手才出场,趁此机会做“评测”说3721根本没卸载方' v/ k' ]6 ]" l+ }% x- c
面的问题。(鬼知道这年头他们收了多少金山瑞星的广告费?)2 ^+ Z8 J. A! c2 L% r4 E- {" }
他们从来都缺乏说真话的勇气。当金山瑞星“论战”之时,他们几乎是一言不发。不 C9 ?2 C8 ^+ o& U6 ~4 D/ [% a/ r
要以为这是什么“清高”或是“公正”,在金山瑞星无数漏洞百出,毫无水平的“论词”* h$ j% U1 k7 _4 O; f: f& Z: P
面前,真正丢脸的应该是他们,这种无作为对于一个真正的媒体来说就是同流合污。这些9 a2 T7 q3 _& f2 P+ P
年头,他们又不分青红皂白地给了毒霸瑞星多少虚名妄词,多少沾着读者血汗钱的“编辑$ e5 o; [* w! B2 L
选择奖”。试问天下谁是真枪手?他们才是!# y" U B/ e, H! R# D% t
上文中许多发现其实并不是我的原创,像瑞星漏杀问题在有些论坛上早已有人提出,
9 J6 x* A6 e0 v9 c( s0 R% A8 s可是至今日,仍没有媒体敢提上半个字,足以证明他们的懦弱。看看他们干了些什么吧,
1 O9 F# K# W, Q- j. F/ s0 P, \+ b. G整天仅仅是唱唱瑞星给它们的那首老歌:“半个月以来,病毒A和病毒B这两个病毒值得注
# z6 {4 H) V. |意。病毒A试图/会/除了会××××。病毒B(则)试图/会/除了会××××。可以上网的
0 ]( t u- V7 O用户推荐采用在线杀毒方式,快速查杀这些病毒,也可以使用单机杀毒软件2004版,局域5 I; R5 Q1 F' k; O# P$ ?
网用户最好能使用瑞星杀毒软件网络版来彻底清除这些病毒。《瑞星在线杀毒》无需升级
, t2 k/ t% W8 K、《瑞星杀毒软件2004版》和《瑞星杀毒软件2004下载版》每工作日常规升级,遇紧急病
& T) f" H$ R# m4 t毒第一时间提供解决方案,每周升级的新病毒总数不少于400个!截止到×月底瑞星杀毒软8 F4 K4 H. n4 \! G4 z! {
件将升级至××.××版本,望广大用户及时升级。如遇病毒,请拨打反病毒急救电话:0. \& ~$ y0 V, ~/ V" d; G
10—82678800或使用瑞星在线杀毒: http://online.rising.com.cn”这堆破玩
- T1 L. }3 D! E意儿对我们有何用?$ I \. I+ l" E: m# {" S! B
毒霸瑞星的地位并不是真刀真枪地干出来的,它们靠的是无尽的谎言:媒体的谎言,6 Y6 f* T A: }( {3 ~! d7 V( G' n
公安部的谎言,它们自己的谎言,颇有中国传统的“官官相护”之形。这正是看似简单的+ N7 j6 n4 U1 x; O3 Z8 d
杀毒软件背后不可告人的黑幕。3 H1 _: u9 W/ p" b: ~3 Z* U+ j, N
(以上观点只指截止至10月初的现象。同时由于取证时间较长,难免有疏忽,敬请指出)! A9 M0 O# t/ ?# p& ^: k
申明我不是江民内线 V$ ]- l, M' U
[此贴子已经被作者于2005-2-20 19:43:19编辑过]
) `) L- Z- I' m. N7 R+ t |
|
/1 
IP卡
狗仔卡
发表于 2005-2-19 20:57:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2005-2-20 10:51:00
发表于 2005-2-25 02:08:00
发表于 2005-3-12 03:46:00
