 该用户从未签到
|
6楼
楼主 |
发表于 2005-2-20 19:42:00
|
只看该作者
|
【转贴】杀毒软件背后的黑幕
# x+ L2 j/ V0 U& j0 U7 o9 D
# E2 y0 F, [/ J- P6 K杀毒软件背后的黑幕——中国最严重的信息安全问题
- {* F; g" `1 r0 o1 ]- i 翻开2004年第18期《大众软件》,那个杀毒软件市场占有率排名让我百感交集:毒霸: \+ T9 ^5 d7 _. i
38%?瑞星29%,Norton14%,KV11%……,不要以为这只是几个简单的数字,这后面有太多: r+ @( I: S9 |
的故事,一时,竟不知从何讲起。这样,我们先看看各个杀毒软件的真实能力。(本评测( a, K) c! b2 k; {' l* C
中KV指KV2004)- R2 r( U4 k- F5 J0 _* O2 b0 [
一、病毒库
$ |3 Y4 G3 o1 T& L' v) F; @ 这些年头看过许多评测,有民间的也有媒体的,几乎都是以病毒库是否全面为依据。
- ~: f- V& u/ d) @, u1 [4 I6 k这是非常不科学的!暂且不说别的因素,我认为用杀毒软件对一堆病毒木马一通乱杀最后! z" \ l3 c, b2 u% x
仅仅以检出率论英雄,是一种对读者不负责的数字游戏。
* ]+ g/ _4 @# @: `8 ~, d! [ 举两个最简单的例子,你有用过Norton去杀黑洞2004吗?不说别的,就说最有影响力8 s* h. ]( Q; B! n U; n8 u0 V
的0815版,Norton也是怎么杀也杀不出。这完全不是什么巧合,Norton如果杀n年前的经典
- N6 V) ^6 [/ F( S- s2 O: U木马冰河84,也还是杀得出来的,只是会在隔离区里加上两个字作注释——罕见……' n( w( z5 \! n& S7 A: d$ y
Norton是一个非常典型的例子,因为在这个方面的问题Norton是最明显的。不过其它
. ~1 @- }& r2 g4 |; R# E的外国杀毒软件也好不了多少,哪怕是那个公认的杀毒王兼升级狂AVP,大家拿手上那帮大 b$ L9 b R. U* ]
马小马自个儿试试吧,保证叫它们死得惨不忍睹,AVP那么好的引擎又有何用呢?(据说当
$ p4 V+ ~" v1 `2 {6 F$ L7 O( g! g年因为Pc-cillin杀不了CIH的某些国内变种,所以有人就……)& B3 d2 W4 A+ c& Q' G
就是不算木马,各种蠕虫变种也够这帮老外受的,其中最典型的就是Lovgate系列了。( O6 v, }/ C* @9 b
有些用Norton的单位就算是天天更新,也总是不如它的变种来得快,甚至面对有些n年前的& \) K) a* |" ]2 }
国产病毒,那帮老外也一声不吭。
- c, }* w" g) k& j$ n( P 综上所述,我们只能得到两个结论:1、面对众多国产病毒木马,外国杀毒软件只是一
- C, P" ~- B. U& k* ]8 x$ ?帮废物;2、以检出率论英雄是一个彻底的错误,因为一个1%可以包含很少的东西,也可以
( e+ _( S, [7 D4 {( W+ P( S包含太多的东西,同样的检出率,一个可以杀灰鸽子,一个可以杀Beast或××国外二线木
( v& D J( y6 j! ^! {马,你会选哪个?' r$ O. [+ N) H% E( w( A7 k
虽然如此,但如果检出率相差太大,那就是另一回事儿了。Norton的病毒库是非常不; _' z6 d6 I' b% _4 X& s
全的,尽管在杀木马时与其它国外杀毒软件差不多,但在杀病毒时检出率相差实在太大。9 R: C4 U4 a) p
在许多病毒库比较齐全的评测中,(不包括公安部)Norton总是在最后几名徘徊,远远落8 J2 i. i5 J' m4 D/ @, s4 O
在其它老外后面,甚至在有次国外媒体评测时仅给了Norton6.8分,(满分10分,,AVP9分
! A6 g m6 x8 m% l2 D2 q: T)简直是……
( Q3 N' ?8 M2 H! X" Z. A6 } 至于瑞星的病毒库也好不了多少,经常在民间评测中与Norton一起垫底,惟有木马库
6 x p6 `2 L- R, _齐全了许多,所以其杀毒能力可想而知……当然,瑞星杀Lovgate这些国产病毒的检出率显1 t) \( L3 B+ @0 ^7 _9 Y
然高些,但木马不同的是,病毒是会自我传播的,所以国外病毒在国内照样常见。于是有- D5 h' a( n# {4 `) \/ c: d
一次,我的一个用瑞星的同学在用Norton扫盘时扫出满盘的病毒……顺便说一句,当年瑞/ w( g* V# E5 x) f* d) }+ C
星2003时人家可是一周一次升级!在这个方面,只有KV与毒霸过关,其它的实在差太远了! i, O+ W7 F1 Z! I6 _; f
。
6 o' S+ y" n1 U! K) a8 J2 X 二、杀壳能力4 @# k6 Y/ s g3 j& d
在我看过的评测中,基本上没有哪个把杀壳能力放在眼里的。事实上,没有杀壳能力 Q9 x/ I/ K6 l c
,一个杀毒软件在面对木马以及病毒变种时,基本上就成了废物,有谁用马不加壳?有谁
4 t; N8 W4 H7 ?' z# ~5 C4 `( `; U' ^* r改病毒不换壳?只要人家有意,你的杀毒软件一瞬间就可以挂掉。(近来网上有传言说加3 @- l F k2 V% ~
了壳的木马自释放时会还原,这个说法是假的)经本人实验,各大杀毒软件杀壳能力如下0 R) N5 F& I! v/ k0 O& b [
:
. d' o {$ e8 J5 c1 p, P& A% u! P McAfee及大多数国外二流杀毒软件:UPX1 ^- P q& r1 E* o; w3 M
瑞星:无4 L4 e( e H+ V8 F" G
毒霸:无
3 x6 Q M9 ?5 d$ s5 p* y( k Norton:无" S/ T0 n$ m/ Y5 Q; T ~
AVP:大多数流行壳" f) X# x. y6 M z
KV:大多数流行壳
. ~" l( g7 Q7 \ UPX是一种免费软件,所以支持杀UPX无需交专利费,如果一个杀毒软件连UPX都杀不了$ n: X( o, U' ?' y& E% A
,那只能说明他们那帮人偷懒。当然,无论如何,没有杀壳能力的这些杀毒软件会轻易地7 E$ @% [2 T& p
让你死翘翘的,所以大家今后必须重视杀壳能力。 o+ G+ \, }3 B4 @ d/ |
0 i/ ^7 m: i; D P a" S$ t# T+ y" f5 c9 j' x; m
* o' ` ~: l# ?同样的木马,一加壳便是不同的下场
4 p* ?# o4 T0 \: z三、清除能力
8 C7 `3 M. u1 d* \ 不得不说,任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不& S) U! F' k, w+ _, R1 T3 n- L
理想,不过由于在杀毒过后这些文件都成了死链接,所以随便找一个清垃圾文件的软件就
5 [2 A( u( a: V4 D2 r5 v" Y可以了。
3 n, c5 ^: t5 ^: p/ k- u- j 其实关于清除能力,大多数的杀毒软件都差不多,不过倒还是有几个特例:
& M1 c: P! V+ [. R! ~5 X瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下,杀Lovg
+ X1 f& B4 `0 \1 Vate用了2天,杀某蠕虫病毒用了一周,杀folder.htt病毒用了超过一周时间也杀不干净,* i. g3 r8 q& C2 b( G4 a$ W
最后只用搜索并删除同名文件却杀干净了!明显是跳杀现象。
9 E) b0 q) o, B2 T# _" Y+ M$ Q% JNorton则是一见染毒文件就删,实在令人怀疑Symantec的人是否学过汇编。另外Norton在! v: Y) a% M& q. c! H% d
撞上一个病毒在内存中的进程时,竟经常不会自动关闭,需要你手动关闭,而其它任何杀$ K0 t' E+ S8 w4 N0 ~; W
毒软件大都有此规则。. f$ k0 n7 T( D) G1 E2 D. O+ x
四、内存杀毒及DOS杀毒* W+ e3 C, i4 r7 v0 m+ m! A, O, @
当今国外杀毒软件基本没有再提供DOS杀毒的了,所以面对dll进程守护式的病毒木马
. R2 o9 y7 T& f' ?5 h就只能到安全模式下碰运气了,并且有时还会失败。相比之下,毒霸、瑞星、KV都有DOS杀
1 U: l) L7 l. P* N/ w毒能力,只是毒霸杀不了NTFS,KV可以杀壳。
6 d/ }4 T) j4 P$ C: X7 A0 M 国产杀毒软件都号称可以内存杀毒,但大都只是实时监控加进程关闭的换汤不换药,! W/ H& }" ~3 \3 h5 s1 @, R6 P
杀不了dll进程守护,甚至不去检查调用的dll文件,等于一个功能没加,只有KV一个一个 e1 Y' R; W c6 ^5 g
dll地检查,并有查到毒后反复检查内存及必要时自动开机检查的功能,dll进程守护的病" j9 U9 y$ D+ B/ k
毒木马基本上都可以挂掉。实话说,只有KV的可以算有内存杀毒功能,其它的都是吹牛。' m4 b1 ^; e, v
0 W& C0 o2 m( c
五、实时监控
3 j1 i7 S+ G. m1 S, q 当今的杀毒软件几乎都要吹一吹自己的实时监控,但实话说,没什么稀奇的:一是对
5 Z4 l- q( O9 c; B& L) I% l进入内存的程序进行扫描,二是预读。(解压时查毒属于第一项)第一项没啥子稀奇,至! N( F; |$ u% w5 h2 m
于第二项,国产杀毒软件的速度大幅超过了老外,的确可喜可贺。
1 O }7 Q g- b2 k3 T: ] 尽管如此,不得不说说KV。KV的实时监控技术,即“动态比特滤毒”技术实在是太强
1 S5 ]/ A( R* j! u$ X. |5 ^- P( v了。为什么我一直在用Net Transport呢?因为在打开KV文件监控的时候,KV会自动对进入
. @. F; b% k& Z/ \电脑的文件进行扫描。如果是带毒的压缩包,KV会在下载结束的一瞬间报警,如果是EXE或
3 z7 S" H2 N* `4 u& L. FDLL等,那么有时才下载到一半就会报警。另外如果你用Windows搜索时开KV文件监控,KV
3 a! Y1 v4 S" k6 I- Z会顺带地扫出很多东西,(前提是你硬盘上有)上次我就是忘了这一点,结果把自己的黑
. c9 e, q) A' M; V7 n& ^软库一大半倒进了隔离区。(开个KV在网站上防Asp木马,爆爽!)
& x: }$ a$ R" J9 L( H& Y- W9 D 六、杀未知病毒能力* r5 u- I4 v. s8 O& U& }9 s0 x
当今的杀毒软件对这一点都“非常重视”;所谓“重视”就是大肆做相关的广告;行. x5 ]0 s2 `* |6 E m5 r4 G: |
为判断、虚拟机法、智能跟踪……如果这些都是实话,那么面对一个歪壳压的病毒,杀毒
7 I# b! x- g: {8 r# e" n$ ^6 x软件们理应报警,但事实上没有一个杀毒软件做到这一点,这些谎言也就不攻自破了。当
9 a1 b- g g) x: y) Q" @% `. v今的杀毒软件的防未知病毒机制其实只有启发式扫描,即仅仅是扫描文件中的可疑代码。
) h5 u3 t( W. J0 ]& g2 d也就是说,如果解不了壳,再强的启发式扫描引擎也什么用也没有,由此,KV、AVP的表现
, B: U3 N0 l& |5 E3 R2 t1 I7 e大幅超过了其它的杀毒软件。在加壳病毒横行的今天,其它的杀毒软件几乎全是吃鸭蛋。
L9 p5 F9 ]' A' ]% v5 m$ @
3 G }. V4 \# k 不论如何,毒霸、瑞星和AVP的误报率都算比较高,尤其是前两者,几乎只有误报纪录
5 L2 C8 T( {8 r3 T: f3 ^,毒霸的实时未知病毒检测甚至会干扰到已知病毒检测。Norton与KV到目前为止我也没发8 @' j) L0 P% r- ^0 S) `
现误报,不过Norton的未知病毒检测也不乍地,只是比毒霸、瑞星强了许多。
& p9 c( l! Q, y2 p- |* p, z/ V4 y3 c 不看误报率,只有AVP与KV的能力令人满意,AVP自然不用说,人家可是启发式扫描的1 ~9 `8 M5 Y- J: [% U' n+ _
鼻祖,具体能力大家也清楚。事实上KV也是非常强的,只是可能大家不知道,最经典的例# w7 u* M# w, o* ^
子就是当年的KV3000不升级就可以挂掉冲击波!不过据说KV未知病毒检出率略低于AVP,也
6 k$ o# k& C9 V' d2 _0 p许这是为达到误报率为0所必须牺牲的吧。
1 I( S" O+ I3 ?1 w% ~( A 大家注意,哪怕是KV、AVP,它们杀未知木马的能力也为0,也许它们一向都只是在研
1 ?; l5 [5 V* B( \! } w) d究病毒吧。若要杀未知木马,大家一定要用****,据我实验,****是第一个采用行为判断法) z# n6 m3 W" s! j2 q
的安全软件,同时有超强的专门对付木马蠕虫的启发式扫描引擎,对付加壳木马也非常有
7 O% r5 f6 T+ v' I. j% t5 }0 o0 U一套,实为史上最强的杀马软件,曾被ZDNet评为年度十佳软件……如果你用过老版本的*
7 X/ |& x1 W5 J) h. [; n( j: b***杀当今的黑洞灰鸽子你就知道了。不过这有点扯远了。
/ {; C" E( u5 m0 @ 七、速度
5 E: l9 ]* C b' Y- F6 y \ 首先对毒霸的“闪电扫描”提出质疑:' [! E: B$ n0 q/ i" W" ~* S: e
①有谁愿意为了一点点时间而仅仅去扫某些病毒呢?安全至上呀。
- k3 J/ o+ M5 I1 s2 S5 b8 _9 X( N ②病毒经常是相互附身一齐出现的,这可是常识呀。+ L: X' o! n: @; c# u- |2 a
③鬼知道它扫的是哪100个病毒?
6 l5 P, W( u1 s! o “闪电扫描”顶多是一个花哨的噱头,基本上没有人用,大家不必理会它。大多数杀4 J9 {. E/ K3 Z! T$ D9 B: H
毒软件速度都差不多,可以接受就行了,不必排先后。不过AVP由于支持杀壳,所以在开了! a/ c6 N) [4 `! }
杀壳后速度慢了很多。但瑞星令人实在受不了,慢得甚至出现了专杀工具速度跑不过其它
3 N @8 G, X. [1 B! ^! |3 p5 q完整杀毒软件的奇特现象……。KV还是令人佩服,又支持杀壳,速度仍然很快,着实先进) X' M. ~( \. @9 I. ]5 u3 S
,不能杀壳的毒霸扫再快也无法动摇这一点。, `% r7 a# i6 W8 i* s; [
八、集成度% \. D& g1 x U2 h1 B
老外们在这儿不得不出局:不支持QQ?Game over!+ \; W3 @1 y9 z$ ?* \" J
KV的集成度肯定是最高的:有了动态滤毒,KV等于是支持了一切聊天软件与下载软件
, T% k$ f) D* S7 `! E s,同时效率最高,名义上不支持QQ算什么?
4 N9 W+ N6 X2 @- B% g1 m4 e* m 毒霸及网镖在一次死机后图标全会消失不见,极不方便使用。瑞星用DLL进程守护解决
& ~$ r, b# L8 K. H; f9 E1 I K了这个问题,不过同时也带来了无尽的资源占用与冲突问题……: H. }4 n l5 `5 X" w
九、压缩格式查杀支持(出于实用,我们只看ZIP与RAR)0 n% d/ O- |: x9 \1 z+ N) |+ F# X. }2 j
KV:普通ZIP、超真空ZIP、RAR
8 l3 J; C1 ?3 q6 G0 R* ?9 f% E/ M AVP:普通ZIP、超真空ZIP、RAR
6 _! L# _: D- \, F2 n) y0 m( d 毒霸瑞星:普通ZIP、RAR
n$ U6 {- H* @5 m 其它大多数国外二流杀毒软件:普通ZIP
# A f" z4 [6 F$ ?2 B9 T6 D( B' F 大多数外国人都不用RAR,所以Norton与McAfee等都杀不了RAR
& v+ ~4 h" H1 e. B0 J3 y7 W 十、资源占用与冲突:* U: {% l9 z' t1 W' y; u
KV与AVP资源占用最小,获得广泛好评。Norton毒霸一般般,但开了QQ后Norton资源占
1 }* R* a0 P9 u用暴升……瑞星这方面问题极严重,不仅是当之无愧的冲突王,也是万“死”不辞的资源# W+ ]1 M- F" J# U
占用王,有些配置稍逊的电脑在开了瑞星后,(只装瑞星)弹出右健菜单竟需3—5秒……另
- a! t! t9 N' g1 Q# t. |! e9 F外好象有一个说法,就是装了瑞星后装其它杀毒软件,基本上都会起冲突:装毒霸后不开实
9 K( ]( \+ _+ J$ N时监控系统也爆慢,网上有人把Norton这样装则是根本进不了系统。当然也有例外,就看
5 _6 v" f- _1 d! f你的造化了。: r& q. {: C1 [3 b
总结:Norton实在太废,除了公安部和某些菜鸟,几乎是人神共诛,连外国同行都不. U2 k/ n6 H! ~* S; t" b0 U4 A
以为然。(6.8分,妈呀!)虽然Norton是实时监控的鼻祖,但却不思进取,活该。大家若# }& S0 F' w+ g" Y- P9 }3 S9 r
一定要崇洋媚外,那就请用AVP。不过我一开头就跟大家讲得很清楚,非本土化的杀毒软件
1 d6 d/ c1 G$ S的下场嘛……
3 q) z% k# v% o0 A% e- Y+ q% U 毒霸的表现勉强算二流,面对加壳木马还是太嫩了。瑞星则是我见过的最废的杀毒软
, e! p& d. y: {5 m% r件:毒库不全,耗资源,易冲突,不杀壳,速度慢,跳杀!这年头民间防病毒软件非常多
0 M: z+ {! m; K: t,大的有十几兆,小的只有几十KB,没有一个有跳杀的问题,扫上7天对它们都算神话来的# |! K' H' g' E. R$ e
!毫不客气地说,这一点可以让我们确定,瑞星是全世界最废的杀毒软件——谁不知道跳' ?* M/ T1 w, k' W
杀意味着什么?
6 h+ m' Y: t9 H' {4 y 至于我对KV的评价,也绝不是一家之言。有许多国外媒体都在吹AVP,但这并不代表A
+ X. ^4 @" K5 _1 TVP比KV强,因为大家都没见过KV,惟一的例外是日本人评了一次,结果大家也知道,KV获; Q, w* u2 }, c' h8 a
胜。与此同时,国内大多数的黑客专业网站推荐的也是KV。这跟本文的结论是一致的。KV
; b' c# S. b* p1 c4 w如果做好了国外病毒木马的收集工作,届时一定可以在国外压过AVP的风头。
! a+ o8 {% Q1 ?) f1 Z 我个人认为,本篇评测,是当今世界上最科学的评测之一:
: ^# A6 g$ o; o9 K9 E 1.一个评测如果只看重病毒库,那么只说明这帮人压根儿就不知道木马加壳术,不认# D$ V- K- s" K7 G
可加壳后的无敌木马的危险性,甚至连瑞星的跳杀问题都看不到!
; x$ w% c. [, F+ u, Y Y 2.一个杀毒软件的能力是有限的,并非一个数字可以代表得了,正如水浒英雄的能力
& V! ?* f$ {1 V; O并非那些“水浒人物卡”上的几个数字可以代表的,另外国外杀毒软件杀国产木马的狼狈& b% ]' Z8 {3 I
相与评测时得到的检出率与分数完成不成比例,也能很好地说明这一点。一个真正合格的5 s+ S6 v9 K8 q, ?
评测应该是把各个杀毒软件的优点缺点都列出来,让读者自己去按自己的需要来判断,最8 H6 }* |# I0 p+ e) r e* ?& k
多分不同情况给它们简单排排名。* U' R0 G5 X% y1 B
3.一个评测如果只是泛泛而谈,而不分出杀毒软件的优劣高下,这只能说明这是一个9 ]: l: H/ o0 o" G. {' i S: J
广告大串联,而不是什么评测。本评测中出现KV一边倒的局面并不能说明本人的方法不科) {4 S- X# m7 z% U
学,反倒说明其它的评测根本算不上评测。
6 f, S) V. q, F Q ~ 4.最重要的一点,本评测一切论据与细节都是公开的。(比如病毒名称,评价原因)) g+ g- n# i: C3 i. w8 @* u4 U4 l
就算去除一些口说无凭的个人经验,只剩下大家可以自己操作自己实践的部分,大家仍会/ y5 Z3 q2 H$ p' F: V
得到同样的结论。本评测的真实性无可怀疑正基于此,大家尽可乱试。
: Q& V) P: T9 N9 K ^; q0 y5 q 如果仅仅是做个评测,那么离“黑幕”就差太远了,但是事情远不止这么简单。我认5 g7 ?$ h2 O! D, O+ A
为,如果压在KV头上的是AVP,我认为大家还有些讨论的余地,但我们可以看到,排在KV之3 P" \3 ~0 Y; {: Q* T
前的尽是些垃圾:毒霸、瑞星和Norton。它们的流行与中国人随波逐流、轻信广告、做事
: x* [% S9 V6 A# R! s0 Z不细究这些毛病都有关,这自然不用说,但我认为最重要的原因就是公安部的评测。
' d* d9 X+ e; e. {& e8 ?/ ] 公安部的评分是这样的:毒霸95,瑞星95,KV90,Norton85,其它的杀毒软件依次列
; Z0 D. j3 [7 a. Z在后面。所谓检出率则是:毒霸100%,瑞星100%,KV100%,Norton9x%,依此类推。
( D& r. M( F) v4 x) x 实话实说,公安部的评测是我见过的最假的评测,也是最害人的,因为它影响力最大" } {3 z* g, }* M( E4 S
,随便就可以扯出一大堆疑点:
9 [/ m4 t n- g" n, v+ ^0 C 1.KV那么强的引擎,凭什么排在毒霸、瑞星后面?如果说毒霸、瑞星恰好撞上比较“
2 d. l+ t" `, E0 {% [适合”自己的病毒库,那还好说。但既然检出率都是100%,其它性能KV则是全面超越毒霸3 Q+ d/ z0 c/ P; \/ m! n/ r# F! ]
、瑞星,凭什么KV要比人家低5分?
& G7 o, Y# z+ a" N" B, c: @. A 2.作为史上最废的杀毒软件,独一无二的冲突王、资源王、跳杀王,瑞星凭什么遥遥
3 h" }# T) \8 H3 L领先,并列第一?4 {. ?3 [5 n" d; F$ i
3.作为国内市场中病毒库最不全的杀毒软件,作为一个在民间评测与国外媒体评测中 r' _* q/ c' z/ [
屡次垫底的杀毒软件,Norton凭什么比McAfee、PC—cillin、Panda这些家伙的分数与检出
' J+ Z& Z& Q& ]$ r率高?大家记住Norton当年的分数:6.3分!
' I0 ?/ ? b6 d" j1 E 4.凭什么大名鼎鼎的AVP不参加评测?
0 z" T, A/ z) e; T$ y5 |4 l 5.凭什么公安部几乎只看病毒库?虽然民间评测有这样的,但官方评测从来都不是这
) D- p. c1 z$ A5 I样的。
+ C- k3 g+ X: ]( n 6.凭什么公安部把除了病毒库之外的评分标准全不公开?
! T8 A! [3 y3 m% {5 d9 o 7.凭什么公安部全盘都在暗箱操作?
# R9 G3 B& a( C* S6 e d: ? 8.凭什么会出现三个杀毒软件同时得到100%检出率的情况?全世界的杀毒软件评测,
2 u4 \: @4 [5 v- ?$ \根本就没出现这种情况。要么,就是公安部病毒太不全,要么就是人家想搞“民族产业振
7 P) M7 |8 p4 X( S, {- w+ l$ n兴”。7 u5 A0 Y9 r0 {6 F8 X
……' R! b: ~6 _; i" \/ t9 y
疑点多到了让人几乎可以窒息的程度。研究一下杀毒软件的历史,发现公安部评测实
% T+ {' d- y8 A" J在害人。' U& G9 O$ k4 p$ v% N
众所周知,KV是早期中国最著名的杀毒软件,一度市场占有率遥遥领先,今天却落到
8 b7 r. E; S" }1 e F' u了这个地步,难道是技术问题?KV的病毒库一直是全国最全的几个之一,未知病毒查杀当
" q: f( u0 u; C. a时在国内更是无可匹敌,而且早在KVW3000时代就可以杀UPX、Aspack甚至WWWPack这种偏壳( G; {: P* D( k2 L0 Z
,恐怕只有AVP称得上对手。虽然对Win2000支持不好,但当时又有多少人用Win2000呢?那
6 p5 a7 l3 ^) r! d9 U6 P1 a. R时KV的UI的确很差,但有些人认为KV那时用的是KV300的引擎,则纯粹是以貌取人,上面说
7 V: g- T5 l, S. B得非常清楚。然而公安部从那时起便不给KV好脸色看,KV于是便一落千丈,落得今天这个
, W" U; t* |: a地步。(硬盘炸弹固然也是一个原因,但今天还有几个网民记得这件事?还谈何影响力?. b, w; s( \; b) P3 K2 a
再说,公安部做的可是评测,而不是历史清算)可是直到现在,毒霸、瑞星除了支持NT内
1 W8 ] m6 M, x. z t0 B; ~核实时监控,几乎什么都比不上当年的KVW3000,足以证明公安部评测的胡闹与破坏性。前
. P; y" G. v M( J面说了,KV的文件监控本来就可以达到QQ、UC、POPO等防毒功能,今天却在KV2005中特意! ]# b( z3 L) ~# c) m
“加上”相关功能,不得不说是一种无奈。& b% `5 ~3 j; u
KV的下场并非最惨的。有些人可能还记得当年有一个很著名的杀毒软件——行天。行2 O5 J% A( c. D3 _
天虽没有KV的强大引擎,但病毒之全实在是出类拔萃,几乎一直是全国第一,而其它的任' Z i& E5 H( v$ `: k% F2 z
何方面也不逊于毒霸,跳杀的瑞星更是不用说。安全之星XP(VRV)也一样,至少人家比瑞
+ g; Y0 q |* p( ^星毒库全,速度快,又没跳杀问题嘛。可是就是这样两个杀毒软件如今却销声匿迹,公安5 t, E1 x2 O) H: u. S! G
部显然脱不了干系。
! L" Y5 _3 b; `! p在这样一个节骨眼儿上,我不得不为KV说话——如果KV哪一天像行天VRV一样被整垮,我们" u$ q+ Z0 j) t, e4 b+ a- |
中国还有什么可以拿得出手的杀毒软件?我们如何面对微软的进军?我们如何面对今后出
* M$ K2 m2 P; d现的彻底本土化的国外杀毒软件?网民们轻易相信广告固然是个原因,但如果没有公安部
/ m2 C2 J, @, z的评测,网民们会这样吗?4 c: B& ^% E. c! v
一切疑点表明,公安部评测并非乱测乱评,而是有非常非常强的倾向性,是明显经过
q7 _8 \' C- k( G& \7 ]7 t6 d5 H人工操纵的非常明显的作弊行为!毫无疑问,这后面还有太多的故事、太多的后台、太多
& e) o& I c7 D9 } [的黑幕、太多的权钱交易、太多的无耻。具体是谁在操纵,我也不知道,也没办法知道。
. m' j1 Q6 v3 a {- J# V& h我只知道,它让三个垃圾占领了中国80%以上的杀毒软件市场。公安部评测,理应人神同诛
" [$ O/ x9 @& R4 C- [! @4 \) K+ w; l
公安部固然要负主要责任,但虚假广告照样脱不了干系。
& y& P- K! `4 h* r/ h; C: C `" @ 瑞星的瞎吹倒不多,但也不是没有:“第五代国际领先可扩展引擎”——作呕!不过% K; C z; d, s: [
瑞星还算是比较“谦虚”的,比如防未知病毒能力就只敢加个“瑞星专利”作形容词,“
- X4 k( [. V& m) {4 r& o清除病毒”之前就不敢加个“彻底”,算有自知之明。
0 v* s) s) U8 s( k: M3 S, l. T Norton倒没做广告,到底是怎么流行的,除了OEM大家也清楚:谣言可畏啊!, z4 Z1 y/ S5 K# o5 T4 g( H
最最最最无耻的就是金山了,实在是令人发指!不信请看:8 E: [$ j4 k8 }! W9 Q. r/ E/ X
1、把你的金山毒霸包装翻到背面,一条一条地看:
( d' l/ ?1 s6 Z- ~0 J ①“病毒处理速度>>病毒传播速度”这显然是瞎吹。; S) A/ V/ o& S' L0 D5 l, q
②“网页防毒,有效拦截……”这年头窗口炸弹写法也就几种,随便一找就找到一个
6 O& ^8 s- k) ?# o5 v- u毒霸杀不出的,(KV与Norton都杀得出)至于广告拦截更是效果几乎为0。你敢用这玩意儿8 g- m0 E' F# ^; ^+ X: Z ?
拦网页木马吗?: ~! g7 w* O. t8 K8 T- T7 Z! P& I% Z
③“闪电杀毒”前面也说了,花哨的垃圾。9 [$ ?6 T5 k- N7 ~8 L' @. g
④“双引擎杀毒”金山的说法是:国际引擎是AVP的。懂一点杀毒软件的人都知道,双
. q6 V# V9 K" s5 R! P: C! r重过滤分析是100%不可能实现的,否则毒霸耗的资源肯定不止那么多,速度也不可能那么2 }. N+ ~; W8 D s @4 r" }
快。隐含的国际杀毒引擎杀国际病毒效果好的说法更是有违常识。同时,不能杀壳,不能* F) Q6 J2 o3 d$ B5 J* N
杀RAR,脚本拦截与杀未知病毒烂,这根本不是AVP的作风,去掉了它们,AVP根本不能称之
1 W, ?& ^8 j7 e6 r为AVP。再说AVP风头正盛,哪会干出这种卖引擎的傻事?
2 P1 J* T4 Y" O" E. _4 h 依我看,有三种可能:4 K2 c, E- g7 v, G& y( J- y
(a)金山只买了一小部分引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒
" e+ |2 u* q! ?5 C3 V3 w, u' }; o& e; |,等于没买。- J) b! F/ l% z U) ]) q
(b)金山只买了一个老版本的AVP引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未
9 j+ {8 e' n& ` x7 H. O知病毒,等于没买。这还是有可能的,因为毒霸老早就在吹它,时至今日,甚至懒得用一* F8 }6 Y5 I# A
个“全新”作修饰。如果真是这样,我倒想给金山提个建议:买一个KV300的引擎,然后就# s' j6 O+ R2 G1 r; y, z* J/ v
可以号称集成了KV的引擎了……
9 t% @2 Y' s; |1 l: `& ~* y (c)金山仅仅买了个名号,这就是真的没买了。
6 N3 y4 J7 W0 c) A 这三条说到底就是没买嘛。! Q( p/ h0 Q% w- Z
⑤压缩格式查杀:别的我没追究,反正金山号称可以杀RAR很久了,但直到推出增强版3 @7 B Z _- P T( M- C
时才兑现,实在无耻。这个不用多说,大家一试便知。
5 V9 ^/ A3 n7 L⑥内存杀毒:前面的评测里讲得很清楚,不用多说,反正很多人都有毒霸报警却发现狂点1 a6 D, n/ C r$ m: ^0 b, g; A
也清不了毒的经历。不能内存杀毒也罢,金山竟敢再加一句“带毒杀毒技术,无需启动到
# ~. ?. x7 n( Y; C1 YDOS状态,直接在Windows环境下清除病毒”,真是厚颜无耻。每当我向金山售后服务问起4 Y- o; J' z& A! Q
这个问题,人家都抛下一句话:“你到DOS下面去吧”。可你要知道,毒霸DOS版杀不了NT
$ E- r) Z3 Z4 L# vFS呀!
5 ~: z" o4 K: c$ v" l ⑦硬盘修复:修复CIH与Opasoft造成的破坏我倒没话说,虽然我没试过,但号称修复
5 Z4 t& l6 b4 v/ `7 fHdbreaker造成的破坏就肯定是胡扯了,实在是不自量力,我甚至怀疑这帮蠢货有没有见过6 d" I- r( {9 x* }: p3 y
Hdbreaker。如果大家嫌自己电脑全是垃圾,也可以试试,反正我是很想在金山的每台电脑
1 g6 D" C; I _- g) g: E+ C里都放上一个Aspack加壳的Hdbreaker:)1 a/ F* S2 r7 i m- @+ h; e U, h
顺便骂骂网镖:* l2 X5 m, d$ K) _" n
①作为一个规则过滤式防火墙,规则设定选项是它的灵魂。网镖的规则设定选项直到
( N, ~+ d. U7 s, r今天也是最少最不全的,连设置繁琐的瑞星防火墙都比不上,还敢叫“个人专业防火墙”
, o& t# h% F# q?我宁可用Windows自带的防火墙。
# N* N& [2 Y' i ③很多人都知道,新网镖有一个功能,可以自动拦截木马并报警。这功能看来似乎有& B8 W9 H: n: a. k! ~
用,但实际上是屁用没有。试想一下,网镖可以准确地报出木马名称,这肯定是人家动用
9 h0 r5 ]( j: P$ ?/ }. e+ R2 z" G1 X了毒霸的引擎杀出的已知木马。要杀便杀,金山却多此一举,实在无聊至极,是明显的作& I/ c" \" g7 v1 b' M
秀行为。
; @4 D( x& G Z; n ④金山网镖几乎是一周升级一次,但相信没有人发现过其中有什么变化,肯定是假升
4 r: h0 F, v" Y' ~5 \3 I级。惟一的例外就是某次升级后,网镖会对冲击波报警,可我等早就打了补丁,要它作甚8 c1 i3 o3 z7 w
?可是这个“内建规则”哪里都没法把它关掉,只好让它产生一堆垃圾日志。
- Z- H7 I9 B" k7 q 大家如果要用规则过滤式防火墙,那就用天网,试用版也行。如果你不嫌麻烦,那就
; G i2 x. X% E% y7 |用BlackICE。不论如何,就是不要用网镖,又花钱又受罪。
! ]0 y9 W* t: J. d 2.金山那帮售后服务的人实在太菜,以下是经典问答:+ T2 x4 s' u, Z
“毒霸怎么杀不了RAR?”“你到命令行下试一下,应该可以的……”,“毒霸怎么杀$ h# v7 g( {% @5 j3 V& I0 ]
不了××病毒呀?狂点清除也杀不了耶。”“你到命令行下试试……”(小子,你们那个5 h+ b5 E8 N4 D9 t
很牛的“内存杀毒”呢?),“听说现在加壳木马很多耶,毒霸杀不杀得了?”“(有点
" ] P; Z$ p( Y2 \8 t犹豫地说)应该可以的……”,大家还是自己实验的好。
% j6 f' i* `0 X+ K8 n+ t+ z- |& R 3.有了以上几条,金山也仍然不能在众多骗子公司中“出类拔萃”,不过这一条可以! Q+ }* |5 m( U+ P+ E% I% a3 ?6 }
改变这一点。 \$ @( u( T" I1 r& F& o+ j
众所周知,毒霸6增强版加强了杀木马能力,号称可以增加查杀15000种木马。可是大
2 F" ?7 Y: s, _1 _5 {家是否想过,这多出来的15000种木马是从哪儿来的?是从地里冒出来的还是从天上掉下来) ~# H9 W1 j% y( j# x3 q3 r/ n2 s% W
的?显然都不是,金山获得木马的途径只可能是来自上报。这也意味着金山扣押了大量的7 |5 f! j: Q7 M. W7 I
上报木马,以便进行这样一次市场炒作。本人这个说法绝非口说无凭,因为我与我的许多! Q V( Y0 b. F7 ]/ j
朋友都有相关的体会:(其实根本就不用这么多,金山的广告就够了,自己仔细看吧)
5 b5 a6 _+ W7 p/ r7 D- F) _$ l
# ^" G A- ~2 E+ I) ^8 Z* o ①半年多以前,自己在电脑里抓了好几个木马,毒霸杀不出,便去上报。结果金山回6 F! i! {3 i6 O
E—mail说已有人上报,要我等。我留了个心眼,过了几周便把它们拿出来杀杀,可是毒霸. V) F0 _4 m8 x' w9 t
一直不报警。这几个文件我已经弄丢了,但我希望那些给金山上报过木马的人把上报的木
- E& K1 C1 A% V3 b$ k. l马用未升到增强版的毒霸杀杀看,相信结果很多都是一样的。3 z+ t: [+ }/ `! q" p- b
②我有几个用毒霸的同学,在升到增强版后的那几分钟,电脑竟不约而同地报警说发
8 n) ?7 m5 {, B C' [1 n" {现木马。由于各种条件的限制,我只能搞到一个样本,不过相信这种情况一定为数不少。
5 |3 i4 M! X, W8 [大家千万不能上金山的当,像我那几个同学一样,还以为增强版的能力很强呢。
+ V/ n& }7 j7 ?3 D6 W 不管怎么说,毒霸的木马专杀本来就垃圾。木马专杀仅仅可以检查EXE关联与AUTOEXE
- |0 v8 [4 l5 {3 e/ oC.BAT以及CONFIG.SYS,比民间的“木马分析专家”差了几千倍,不能杀壳更是让木马专杀
5 |0 J1 {. ?3 x/ d8 j/ B* _成为了废物,加上扣押的15000种木马后,病毒库齐全度才达到KV的水平。
: s6 f. o2 E! Y “木马专杀”肯定是一个蓄谋已久的阴谋:全球每天才诞生200种病毒木马,就算它们8 }$ J! E1 H6 _6 Q. x! {& F
全是木马,就算它们全部被金山收集到,那金山收集15000种木马也需要2个半月……而现
+ l, O/ |" S. [$ x& ~在金山更是把15000改为了20000,所以……
, Y9 c( @* |' t1 U# v* i! q 不得不承认,金山公司在国人心中的地位的确很高,但那仅仅是因为人家最早出现,. U+ y2 A: o; J. L( n( o
而这并不能说明人家的产品好、信誉好,那只是国人的想当然。在雷军上台的这几年,金
, X' B0 ?+ |6 v% r山广告的确做得很火,但软件的技术几乎没有长进。这就不止网镖毒霸了:金山词霸2005& _3 W& w1 N' L% s& g
仅仅是2002版换了个界面与发音库,词条中的错误却一个也没改;金山快译虽号称智能引5 a L6 I: \6 Q0 C6 b6 y, L
擎,但翻译效果却一直未超过Office2003,而且是差很远,几乎只相当于把一堆词拼揍起
& O: _2 O' ?9 [+ I( A3 x" e6 x来,据网友说,金山快译2005会把“Counter—strike”译成“计算机罢工”——妈呀,人7 G, @( a @, w) [% M% J7 g! b
家就是翻译成“柜台罢工”,我都不会介意的,可是“Counter”怎么跟计算机扯上关联了! U' V8 _1 X" a2 x4 \6 |4 M. |
?至于WPS,我认为也没什么好说的:WPS花哨的功能越来越多,可是时至今日,WPS仍未实
' W2 O) L# |3 d6 O, ?现电子表格中数据同步变换的功能,(即改一个数据,相关数据自动完成更改,这个功能
1 o/ o! Y" R1 o9 A8 |是必备的)仍然需要大家自己一个个手动更改。而此功能在Office里面早已实现,这很是
( ^7 ~ J' |) P" x7 D0 j2 ], q说明问题。) S8 Z- z* P* F$ Z) Y
以上的说法并非本人发现,它们全都是网上已有的说法。综合起来,大家便可轻易看5 S7 d! v( Y2 h; E. }8 [+ h
出金山的底细。
+ c, p0 _) E" j- Q3 b 当今骗子公司虽多,但也没有任何一个有金山这样明目张胆地坑人的,尤其是“木马
) c3 i9 p+ l9 q- G6 G) {$ o专杀”一事,炒作疯狂,全国媒体一齐尽献媚词,其设局构思更是伟大到了史无前例的地
% `# H+ r- ]+ u! L2 O2 R+ w步,那个大名鼎鼎的网E拍又算哪根葱?知道有人会想说当年江民的硬盘炸弹事件,那的确
8 f) g( Y0 I' x+ s! o! C3 r, _也是一个非常恶劣的行为,该骂。但当年的网民并不多,所以上网下载升级程序的受害者
& p! s _0 J2 o/ v6 m( g T并没有象大家宣传的那么多。再说那只是针对盗版用户的行为,(我没说这是合理的)而
' n5 G6 h4 r: H/ O金山则是拿众多信赖金山的正版用户开刀,论动机金山显然更加无耻。硬盘炸弹事件早已
) u4 {+ ~, T. o# {4 v被公布于世,金山的“木马专杀”事件更应被公开在光天化日之下。至于两害谁轻谁重,1 ]- c' i% d3 B6 |( C& E- A
那就是另外一个问题了。
3 N: J; z# t7 _ 但是,大家不要忘了,以上一切的一切,如果没有IT媒体的撑腰,都是不会发生的。" O* t- c7 x! l
大家不要把当今的媒体看得多神圣,多有光彩。人家不是搞舆论监督的,搞舆论监督的也
8 ]* l: A7 q: ^- x; l& e; T/ E不懂电脑。当今的IT媒体在面对谎言时,从来都没有打过头阵,从来都只是论坛的跟风者. L+ n* p1 }* O- C
:3721、网E拍,它们全都是在网上论坛被骂得一塌胡涂的情况下才有媒体出来说话,有些
3 J$ W) i1 Q) E; T+ a( u0 `媒体更是直等到3721推出新版上网助手才出场,趁此机会做“评测”说3721根本没卸载方3 |- P: o: L$ Z) J8 @( S2 q
面的问题。(鬼知道这年头他们收了多少金山瑞星的广告费?)
8 r+ Z1 h3 v! p2 [& K- O9 Y 他们从来都缺乏说真话的勇气。当金山瑞星“论战”之时,他们几乎是一言不发。不7 A$ D$ w% ?* a9 M% q' b) F/ t( g4 F
要以为这是什么“清高”或是“公正”,在金山瑞星无数漏洞百出,毫无水平的“论词”
0 V$ W R7 t% Z+ p* \9 a面前,真正丢脸的应该是他们,这种无作为对于一个真正的媒体来说就是同流合污。这些
2 s( u" j$ U- G& U6 I- ?, E9 K) [* A年头,他们又不分青红皂白地给了毒霸瑞星多少虚名妄词,多少沾着读者血汗钱的“编辑
1 d, d$ u6 H) Y7 v1 V! T- ~选择奖”。试问天下谁是真枪手?他们才是!* q+ q+ | D" H; t( v
上文中许多发现其实并不是我的原创,像瑞星漏杀问题在有些论坛上早已有人提出,
+ L. _' Y9 W8 G% I% W# b可是至今日,仍没有媒体敢提上半个字,足以证明他们的懦弱。看看他们干了些什么吧,
3 m( \5 b6 ?$ R% ~8 r5 s整天仅仅是唱唱瑞星给它们的那首老歌:“半个月以来,病毒A和病毒B这两个病毒值得注
4 ]5 y" P N1 V/ A7 ?, N9 ?意。病毒A试图/会/除了会××××。病毒B(则)试图/会/除了会××××。可以上网的6 D. m+ ^5 \9 V( a8 k5 I! x
用户推荐采用在线杀毒方式,快速查杀这些病毒,也可以使用单机杀毒软件2004版,局域4 S, {1 ?' @3 x
网用户最好能使用瑞星杀毒软件网络版来彻底清除这些病毒。《瑞星在线杀毒》无需升级8 j3 C$ @9 F- l0 {2 v
、《瑞星杀毒软件2004版》和《瑞星杀毒软件2004下载版》每工作日常规升级,遇紧急病9 {( Q" u5 i/ }; |: x
毒第一时间提供解决方案,每周升级的新病毒总数不少于400个!截止到×月底瑞星杀毒软
5 W! d. _" R$ e- q件将升级至××.××版本,望广大用户及时升级。如遇病毒,请拨打反病毒急救电话:0
- m# M/ |: y+ i10—82678800或使用瑞星在线杀毒: http://online.rising.com.cn”这堆破玩
5 \& f }- C# A2 X+ b, ^, k意儿对我们有何用?! D( S, f" ?3 x; s; ^2 }% O7 V
毒霸瑞星的地位并不是真刀真枪地干出来的,它们靠的是无尽的谎言:媒体的谎言,! m) s+ f. b/ y! Q# M# l
公安部的谎言,它们自己的谎言,颇有中国传统的“官官相护”之形。这正是看似简单的% m& v2 u: M, v( ^0 V! a: g9 l
杀毒软件背后不可告人的黑幕。
7 ^5 W4 s- X7 C9 R* D- o; u/ j& E(以上观点只指截止至10月初的现象。同时由于取证时间较长,难免有疏忽,敬请指出)( C1 ]) ?" s6 K1 X+ c# e4 c# q v
申明我不是江民内线
8 \# y' y- G r4 f) z [此贴子已经被作者于2005-2-20 19:43:19编辑过]
5 t" d9 S4 ?) y% \ |
|
/1 
IP卡
狗仔卡
发表于 2005-2-19 20:57:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2005-2-20 10:51:00
发表于 2005-2-25 02:08:00
发表于 2005-3-12 03:46:00
