|
6楼
楼主 |
发表于 2005-2-20 19:42:00
|
只看该作者
【转贴】杀毒软件背后的黑幕
0 N! t: P2 k6 q' @5 ?* N
/ [, l' E4 \& i/ i; J) V8 }9 r& Y5 L杀毒软件背后的黑幕——中国最严重的信息安全问题
/ R+ \& y/ r$ B3 {# X) S; y* j 翻开2004年第18期《大众软件》,那个杀毒软件市场占有率排名让我百感交集:毒霸7 Q0 z' _/ X6 Z; B/ [; n8 K' c
38%?瑞星29%,Norton14%,KV11%……,不要以为这只是几个简单的数字,这后面有太多& [, u" [; F) u0 N% v: U0 f
的故事,一时,竟不知从何讲起。这样,我们先看看各个杀毒软件的真实能力。(本评测
2 |/ C& }2 w7 i中KV指KV2004)
6 g) W0 E5 o0 h+ p" B! x# S+ K 一、病毒库8 d1 S/ i/ [ Y) x# P, z
这些年头看过许多评测,有民间的也有媒体的,几乎都是以病毒库是否全面为依据。
% n: j1 _; k3 s4 ]% u这是非常不科学的!暂且不说别的因素,我认为用杀毒软件对一堆病毒木马一通乱杀最后
3 l6 ^% F) P) A仅仅以检出率论英雄,是一种对读者不负责的数字游戏。" g) w+ J" Z( c5 d0 G' f3 L
举两个最简单的例子,你有用过Norton去杀黑洞2004吗?不说别的,就说最有影响力! `7 z7 k* w9 i: S/ C
的0815版,Norton也是怎么杀也杀不出。这完全不是什么巧合,Norton如果杀n年前的经典5 r% k2 ]5 O9 d6 f* |1 A
木马冰河84,也还是杀得出来的,只是会在隔离区里加上两个字作注释——罕见……+ Q& v' ?" N* W% M& X
Norton是一个非常典型的例子,因为在这个方面的问题Norton是最明显的。不过其它
; \/ s" K; A8 p6 _; h的外国杀毒软件也好不了多少,哪怕是那个公认的杀毒王兼升级狂AVP,大家拿手上那帮大
4 P/ N" w, E4 ^: f- F i马小马自个儿试试吧,保证叫它们死得惨不忍睹,AVP那么好的引擎又有何用呢?(据说当2 n5 }) Q6 a& y, S* q# b+ Q
年因为Pc-cillin杀不了CIH的某些国内变种,所以有人就……)
8 o9 s% _$ P9 |& X' p( r, r 就是不算木马,各种蠕虫变种也够这帮老外受的,其中最典型的就是Lovgate系列了。
/ ~' \# q0 V% U$ V* P2 M$ }有些用Norton的单位就算是天天更新,也总是不如它的变种来得快,甚至面对有些n年前的
3 B7 e8 e$ ?. Z8 }7 [国产病毒,那帮老外也一声不吭。
$ q; ^! C T" h, P* X9 s 综上所述,我们只能得到两个结论:1、面对众多国产病毒木马,外国杀毒软件只是一
: h" u; s( X/ w) D5 j% n帮废物;2、以检出率论英雄是一个彻底的错误,因为一个1%可以包含很少的东西,也可以
* y2 y( Q1 P5 q1 t包含太多的东西,同样的检出率,一个可以杀灰鸽子,一个可以杀Beast或××国外二线木
4 t5 a" U- B n5 U: E) s" p马,你会选哪个?2 L# N+ O# O, M# k- g
虽然如此,但如果检出率相差太大,那就是另一回事儿了。Norton的病毒库是非常不: W) C( K2 V8 b0 Z
全的,尽管在杀木马时与其它国外杀毒软件差不多,但在杀病毒时检出率相差实在太大。7 ?6 _' C @- Y. A& u- }% j0 V
在许多病毒库比较齐全的评测中,(不包括公安部)Norton总是在最后几名徘徊,远远落
9 d0 X" G5 J# \2 R在其它老外后面,甚至在有次国外媒体评测时仅给了Norton6.8分,(满分10分,,AVP9分
/ |% `7 N! h% x9 T4 |5 v: _# F)简直是……
3 W# _: s1 a0 B) v. V- T! p 至于瑞星的病毒库也好不了多少,经常在民间评测中与Norton一起垫底,惟有木马库
' z- b+ i, {: \( D齐全了许多,所以其杀毒能力可想而知……当然,瑞星杀Lovgate这些国产病毒的检出率显1 ~2 h0 T2 I- |) V( X' e
然高些,但木马不同的是,病毒是会自我传播的,所以国外病毒在国内照样常见。于是有 |; W7 e. Z: l1 W- B* H$ O% g0 {
一次,我的一个用瑞星的同学在用Norton扫盘时扫出满盘的病毒……顺便说一句,当年瑞3 T- m `+ N- k( I
星2003时人家可是一周一次升级!在这个方面,只有KV与毒霸过关,其它的实在差太远了$ R6 L) }: U" W2 ]
。- I: k6 E. d" b+ u+ b
二、杀壳能力6 Z; w0 |0 p/ x/ o9 y' D& U6 C
在我看过的评测中,基本上没有哪个把杀壳能力放在眼里的。事实上,没有杀壳能力4 ]2 @( I6 \0 x
,一个杀毒软件在面对木马以及病毒变种时,基本上就成了废物,有谁用马不加壳?有谁! `6 G4 f0 e" ]- M* C
改病毒不换壳?只要人家有意,你的杀毒软件一瞬间就可以挂掉。(近来网上有传言说加* U# U0 A& d4 z8 m
了壳的木马自释放时会还原,这个说法是假的)经本人实验,各大杀毒软件杀壳能力如下
( L/ A# h7 r: c, R* o- f:, O$ `; |% U; B
McAfee及大多数国外二流杀毒软件:UPX, e+ e! s$ \- L+ l W: G5 D- P; c
瑞星:无
# g5 I# m. N6 i( V6 e0 h3 L% m. k 毒霸:无 v- R: n7 L& t' B) I
Norton:无2 i$ k& v' }3 Q0 x0 y
AVP:大多数流行壳# u' W4 x E, z3 a
KV:大多数流行壳
1 S X. g- I" G9 i UPX是一种免费软件,所以支持杀UPX无需交专利费,如果一个杀毒软件连UPX都杀不了$ A0 G7 ^7 n6 L! @/ y2 D4 Z$ h }( a$ f6 G
,那只能说明他们那帮人偷懒。当然,无论如何,没有杀壳能力的这些杀毒软件会轻易地
4 q" w0 k% b- z% H; N; K8 p/ }* o让你死翘翘的,所以大家今后必须重视杀壳能力。
- @4 a2 h w: A7 p, H! M2 e- ?5 T8 ^+ Y* d" t
; x/ S e, r: y; X: Y
5 e) E- l' V& e同样的木马,一加壳便是不同的下场% t- C' G/ `. }5 w# Q7 c$ c
三、清除能力
. L6 S7 q& O' x! t2 K9 N 不得不说,任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不
9 G# f/ P( x9 \; q3 d; Y& e理想,不过由于在杀毒过后这些文件都成了死链接,所以随便找一个清垃圾文件的软件就* j8 S$ t; C# k! W+ {" a+ K
可以了。
5 ?$ n+ W8 ?3 y7 q 其实关于清除能力,大多数的杀毒软件都差不多,不过倒还是有几个特例:3 k) \. t* n0 W' s6 p
瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下,杀Lovg
2 F5 ?/ k2 l; l& ?8 T- v& cate用了2天,杀某蠕虫病毒用了一周,杀folder.htt病毒用了超过一周时间也杀不干净,
7 A$ N; s* P: @& {4 V最后只用搜索并删除同名文件却杀干净了!明显是跳杀现象。9 h0 y% ~0 M' f# C$ D; J" M- i. b
Norton则是一见染毒文件就删,实在令人怀疑Symantec的人是否学过汇编。另外Norton在
5 }8 f1 P: S" w; l撞上一个病毒在内存中的进程时,竟经常不会自动关闭,需要你手动关闭,而其它任何杀! t7 y q! o1 q0 M6 a# h
毒软件大都有此规则。* o7 X- B# `) o1 F4 A# l2 u- `! o
四、内存杀毒及DOS杀毒; q9 b; H4 Y" ?( S
当今国外杀毒软件基本没有再提供DOS杀毒的了,所以面对dll进程守护式的病毒木马$ S. S: y; r2 M% F7 ~: L
就只能到安全模式下碰运气了,并且有时还会失败。相比之下,毒霸、瑞星、KV都有DOS杀
. d& l: B% K7 X, c% ]" Y. b& v毒能力,只是毒霸杀不了NTFS,KV可以杀壳。
5 K: O, `- J) s0 \4 { 国产杀毒软件都号称可以内存杀毒,但大都只是实时监控加进程关闭的换汤不换药,( X7 z( A4 c5 F% Y y
杀不了dll进程守护,甚至不去检查调用的dll文件,等于一个功能没加,只有KV一个一个2 E; X- r9 m3 S8 n
dll地检查,并有查到毒后反复检查内存及必要时自动开机检查的功能,dll进程守护的病
* E, M1 V- l4 i毒木马基本上都可以挂掉。实话说,只有KV的可以算有内存杀毒功能,其它的都是吹牛。+ a4 T& @" D2 P* H R! r
4 H5 P! z( ~. B7 a! N5 w) N
五、实时监控
* L- U/ ?9 @0 D' L6 s 当今的杀毒软件几乎都要吹一吹自己的实时监控,但实话说,没什么稀奇的:一是对& L$ S, o2 }/ }4 R
进入内存的程序进行扫描,二是预读。(解压时查毒属于第一项)第一项没啥子稀奇,至
6 o7 J$ v. r& p/ }" ^: Q于第二项,国产杀毒软件的速度大幅超过了老外,的确可喜可贺。
" T0 R" o) S( f. s. y* S4 c 尽管如此,不得不说说KV。KV的实时监控技术,即“动态比特滤毒”技术实在是太强0 }, c X" e2 A8 f" @
了。为什么我一直在用Net Transport呢?因为在打开KV文件监控的时候,KV会自动对进入
* O" }3 o6 l5 P. K* ~0 _6 q: S电脑的文件进行扫描。如果是带毒的压缩包,KV会在下载结束的一瞬间报警,如果是EXE或2 B% W4 d! T9 f! K7 |( [! r
DLL等,那么有时才下载到一半就会报警。另外如果你用Windows搜索时开KV文件监控,KV
2 J% G' d# w" F+ I会顺带地扫出很多东西,(前提是你硬盘上有)上次我就是忘了这一点,结果把自己的黑; f$ \# L& Z/ ^% a) y
软库一大半倒进了隔离区。(开个KV在网站上防Asp木马,爆爽!)4 e" h, e0 e" E1 o' e% v
六、杀未知病毒能力7 f# m0 M+ F1 h \6 t2 p
当今的杀毒软件对这一点都“非常重视”;所谓“重视”就是大肆做相关的广告;行
8 x- s8 a# o5 s为判断、虚拟机法、智能跟踪……如果这些都是实话,那么面对一个歪壳压的病毒,杀毒, Z; G l8 ~& o$ N2 G) A" h0 j
软件们理应报警,但事实上没有一个杀毒软件做到这一点,这些谎言也就不攻自破了。当8 \2 T- C; Q! g3 T8 r
今的杀毒软件的防未知病毒机制其实只有启发式扫描,即仅仅是扫描文件中的可疑代码。% k- T) }& e' h# h
也就是说,如果解不了壳,再强的启发式扫描引擎也什么用也没有,由此,KV、AVP的表现: G7 C5 \5 }4 n2 ?6 ?2 }/ l* X& A7 V& L9 z
大幅超过了其它的杀毒软件。在加壳病毒横行的今天,其它的杀毒软件几乎全是吃鸭蛋。
- J6 x, d# j, E, h! y# d" n! N; @8 O
不论如何,毒霸、瑞星和AVP的误报率都算比较高,尤其是前两者,几乎只有误报纪录
- l6 q/ {1 @5 \, C0 E6 e% O# b1 M,毒霸的实时未知病毒检测甚至会干扰到已知病毒检测。Norton与KV到目前为止我也没发
/ _+ O" ]5 K. X; D% w, z4 A9 X现误报,不过Norton的未知病毒检测也不乍地,只是比毒霸、瑞星强了许多。
5 a6 A7 W, O2 w3 X 不看误报率,只有AVP与KV的能力令人满意,AVP自然不用说,人家可是启发式扫描的, f- f6 ` c0 C2 [2 N: U/ E& g
鼻祖,具体能力大家也清楚。事实上KV也是非常强的,只是可能大家不知道,最经典的例
; u4 ^, T7 g$ ?; f$ U7 K/ Z# n' `9 e) }子就是当年的KV3000不升级就可以挂掉冲击波!不过据说KV未知病毒检出率略低于AVP,也
# Y! l* a6 i+ j& c" i8 u1 u7 d许这是为达到误报率为0所必须牺牲的吧。3 o- f; q7 l" q" k
大家注意,哪怕是KV、AVP,它们杀未知木马的能力也为0,也许它们一向都只是在研! F, n7 X& w, {, G
究病毒吧。若要杀未知木马,大家一定要用****,据我实验,****是第一个采用行为判断法
2 Z6 l2 ]8 H6 D! U8 J的安全软件,同时有超强的专门对付木马蠕虫的启发式扫描引擎,对付加壳木马也非常有# e7 g) U3 ~$ ?3 }
一套,实为史上最强的杀马软件,曾被ZDNet评为年度十佳软件……如果你用过老版本的*4 J1 b6 q% Y- ?
***杀当今的黑洞灰鸽子你就知道了。不过这有点扯远了。2 }, \: U5 r( u) O+ K
七、速度2 \% N+ S5 v! H8 u
首先对毒霸的“闪电扫描”提出质疑:
4 {# }* ^8 o& L ①有谁愿意为了一点点时间而仅仅去扫某些病毒呢?安全至上呀。0 h+ h5 @7 m: M$ J5 l
②病毒经常是相互附身一齐出现的,这可是常识呀。2 k& g# o( k+ V( o% A; n' @
③鬼知道它扫的是哪100个病毒?
& m6 u) k. p& _0 e* M! } l “闪电扫描”顶多是一个花哨的噱头,基本上没有人用,大家不必理会它。大多数杀( x+ t& d2 ^3 D; N
毒软件速度都差不多,可以接受就行了,不必排先后。不过AVP由于支持杀壳,所以在开了
" y% s2 q) Q. G) I9 X. t7 v9 V杀壳后速度慢了很多。但瑞星令人实在受不了,慢得甚至出现了专杀工具速度跑不过其它* ?8 V6 q" E% |# C/ i }
完整杀毒软件的奇特现象……。KV还是令人佩服,又支持杀壳,速度仍然很快,着实先进1 [; ]0 _+ }$ E. _; {, c2 s0 H6 s
,不能杀壳的毒霸扫再快也无法动摇这一点。+ v$ W* [! w) o3 Q: E5 B( U
八、集成度
# y6 N' S1 s2 {! f; P1 B7 I 老外们在这儿不得不出局:不支持QQ?Game over!$ o$ r4 f) F9 m9 G/ v; `: R
KV的集成度肯定是最高的:有了动态滤毒,KV等于是支持了一切聊天软件与下载软件4 `3 d; { W, G% i# g" u# r( ?' I
,同时效率最高,名义上不支持QQ算什么?
! P7 J% ], T9 M- I+ U, f+ p 毒霸及网镖在一次死机后图标全会消失不见,极不方便使用。瑞星用DLL进程守护解决" x# `- z, v& t; n* B
了这个问题,不过同时也带来了无尽的资源占用与冲突问题……
" P9 x$ U, R* }! D0 f, @ V4 H 九、压缩格式查杀支持(出于实用,我们只看ZIP与RAR)* e) c$ ]; L8 |# D6 Y: }% {; I' Q/ T
KV:普通ZIP、超真空ZIP、RAR
$ z7 q" h. Q8 y- Q AVP:普通ZIP、超真空ZIP、RAR
9 f. t- v C# c" S: j! ^* D 毒霸瑞星:普通ZIP、RAR
1 a$ z% d. @/ _2 M- g 其它大多数国外二流杀毒软件:普通ZIP
# S/ e4 B4 ]1 \3 G, I% t 大多数外国人都不用RAR,所以Norton与McAfee等都杀不了RAR/ P) y% m3 ~6 c" X' C
十、资源占用与冲突:
5 N' @* Z/ c( L3 O3 B: j7 o KV与AVP资源占用最小,获得广泛好评。Norton毒霸一般般,但开了QQ后Norton资源占4 t- z5 D. L3 ~0 r1 L
用暴升……瑞星这方面问题极严重,不仅是当之无愧的冲突王,也是万“死”不辞的资源7 m* L3 p; `8 P
占用王,有些配置稍逊的电脑在开了瑞星后,(只装瑞星)弹出右健菜单竟需3—5秒……另
, g5 y; E- X' O# Q, q; A9 C外好象有一个说法,就是装了瑞星后装其它杀毒软件,基本上都会起冲突:装毒霸后不开实
+ C# _2 b" ? x4 L5 k2 q时监控系统也爆慢,网上有人把Norton这样装则是根本进不了系统。当然也有例外,就看+ @+ k# P% p% D" ~) h
你的造化了。
" C* w( \! _* ~' |/ ?, b 总结:Norton实在太废,除了公安部和某些菜鸟,几乎是人神共诛,连外国同行都不+ Z6 i4 L4 L2 A4 c0 n' W
以为然。(6.8分,妈呀!)虽然Norton是实时监控的鼻祖,但却不思进取,活该。大家若
. x& U& V% Y# f一定要崇洋媚外,那就请用AVP。不过我一开头就跟大家讲得很清楚,非本土化的杀毒软件
/ `* h2 ~$ D( o; l# Z- q的下场嘛……7 C& S* s. X9 P2 ]% g
毒霸的表现勉强算二流,面对加壳木马还是太嫩了。瑞星则是我见过的最废的杀毒软
# m; Y3 J- T- z件:毒库不全,耗资源,易冲突,不杀壳,速度慢,跳杀!这年头民间防病毒软件非常多. `9 D$ T0 e5 X& ~: t% N0 ^0 t$ {
,大的有十几兆,小的只有几十KB,没有一个有跳杀的问题,扫上7天对它们都算神话来的
9 B0 ^3 @5 ~ c% C2 @( Q!毫不客气地说,这一点可以让我们确定,瑞星是全世界最废的杀毒软件——谁不知道跳% L! o$ S2 C- D0 d/ i2 n
杀意味着什么?* D% K+ A% u3 h
至于我对KV的评价,也绝不是一家之言。有许多国外媒体都在吹AVP,但这并不代表A/ e3 E" |* D5 y2 ^) p) Z& o
VP比KV强,因为大家都没见过KV,惟一的例外是日本人评了一次,结果大家也知道,KV获
! N' g' ~* N3 ~; F& }; ]9 \3 Q胜。与此同时,国内大多数的黑客专业网站推荐的也是KV。这跟本文的结论是一致的。KV9 O+ q t2 t3 v& h* C
如果做好了国外病毒木马的收集工作,届时一定可以在国外压过AVP的风头。7 q; f p1 m g# D
我个人认为,本篇评测,是当今世界上最科学的评测之一:
$ c) E+ y6 `0 k1 n% ^5 L0 m) D 1.一个评测如果只看重病毒库,那么只说明这帮人压根儿就不知道木马加壳术,不认
% \7 v' F( W. \2 U$ a0 ~可加壳后的无敌木马的危险性,甚至连瑞星的跳杀问题都看不到!) l0 a0 s2 j; [2 _: o- Q1 Q
2.一个杀毒软件的能力是有限的,并非一个数字可以代表得了,正如水浒英雄的能力
+ ^/ Z! F8 c* O8 B# T1 U并非那些“水浒人物卡”上的几个数字可以代表的,另外国外杀毒软件杀国产木马的狼狈- J6 b- E. ?6 D' e" ~, R
相与评测时得到的检出率与分数完成不成比例,也能很好地说明这一点。一个真正合格的
- }1 c4 [/ K- ^8 v. j评测应该是把各个杀毒软件的优点缺点都列出来,让读者自己去按自己的需要来判断,最, I; U( o3 w, u1 w3 L6 s
多分不同情况给它们简单排排名。
R' X, r$ ^0 ]# D 3.一个评测如果只是泛泛而谈,而不分出杀毒软件的优劣高下,这只能说明这是一个
* j! s4 ]+ f) n- N1 u6 x* E0 O广告大串联,而不是什么评测。本评测中出现KV一边倒的局面并不能说明本人的方法不科
9 g$ o. S2 H/ U4 x学,反倒说明其它的评测根本算不上评测。; W# Q: I" k$ D
4.最重要的一点,本评测一切论据与细节都是公开的。(比如病毒名称,评价原因)
9 C4 Z. B# k/ z( {' s8 c就算去除一些口说无凭的个人经验,只剩下大家可以自己操作自己实践的部分,大家仍会
0 S: k* _" q& {得到同样的结论。本评测的真实性无可怀疑正基于此,大家尽可乱试。
G( d! O+ {& q9 R# s9 G& P8 ^: e; h# Z2 p3 \ 如果仅仅是做个评测,那么离“黑幕”就差太远了,但是事情远不止这么简单。我认
' [) B ]& H6 U为,如果压在KV头上的是AVP,我认为大家还有些讨论的余地,但我们可以看到,排在KV之
3 M) i& z. J9 m* Y& r7 N4 \前的尽是些垃圾:毒霸、瑞星和Norton。它们的流行与中国人随波逐流、轻信广告、做事
, I; r- c1 J s/ ]& }不细究这些毛病都有关,这自然不用说,但我认为最重要的原因就是公安部的评测。
A5 J$ H1 {' E: x/ q8 Y 公安部的评分是这样的:毒霸95,瑞星95,KV90,Norton85,其它的杀毒软件依次列
7 c4 e' P: F2 u2 w在后面。所谓检出率则是:毒霸100%,瑞星100%,KV100%,Norton9x%,依此类推。
! l% l+ E% j9 O 实话实说,公安部的评测是我见过的最假的评测,也是最害人的,因为它影响力最大9 V' Q1 d2 g5 x
,随便就可以扯出一大堆疑点:
1 O% N8 l; v# W6 n: E: U! E ? 1.KV那么强的引擎,凭什么排在毒霸、瑞星后面?如果说毒霸、瑞星恰好撞上比较“
& @) g& }/ v# U( s! ]$ h5 [适合”自己的病毒库,那还好说。但既然检出率都是100%,其它性能KV则是全面超越毒霸
& _( j* M: h7 |: e& v、瑞星,凭什么KV要比人家低5分?
( l4 q$ `- k8 u1 F- s 2.作为史上最废的杀毒软件,独一无二的冲突王、资源王、跳杀王,瑞星凭什么遥遥
% A* }" L: W3 t! P# ^领先,并列第一?
) I/ Z0 @6 ~" T3 E& x3 ] 3.作为国内市场中病毒库最不全的杀毒软件,作为一个在民间评测与国外媒体评测中7 a: d8 X, o R
屡次垫底的杀毒软件,Norton凭什么比McAfee、PC—cillin、Panda这些家伙的分数与检出' X3 a! A, h; E
率高?大家记住Norton当年的分数:6.3分!
8 P, t- N7 ?7 b$ t; X, @+ `3 M 4.凭什么大名鼎鼎的AVP不参加评测?
1 c% Y" l9 H& p7 ^5 A: M 5.凭什么公安部几乎只看病毒库?虽然民间评测有这样的,但官方评测从来都不是这# x" n! l/ B2 y+ t8 e8 d0 L; I
样的。% c- a( z* L# v. p6 W8 p3 F# t
6.凭什么公安部把除了病毒库之外的评分标准全不公开?
& s7 r* X# c& b8 d" k0 p* \: v 7.凭什么公安部全盘都在暗箱操作?* a' r S- ~2 E: O; G- t, ^- L
8.凭什么会出现三个杀毒软件同时得到100%检出率的情况?全世界的杀毒软件评测,5 m. e) K2 Z- O* a) g) y6 n
根本就没出现这种情况。要么,就是公安部病毒太不全,要么就是人家想搞“民族产业振+ n. m" N7 n' ?2 V! R2 n' c, }7 ?
兴”。
7 A0 Y. Q& {+ V0 @$ _9 ^5 i……
( I2 d% c4 [! Y9 X) b% S2 U$ j7 Y& G 疑点多到了让人几乎可以窒息的程度。研究一下杀毒软件的历史,发现公安部评测实
. |* W) s1 g; Q2 S& s3 Y6 ?) _在害人。7 y: j; H, `" \
众所周知,KV是早期中国最著名的杀毒软件,一度市场占有率遥遥领先,今天却落到+ E; i3 w( B7 z2 i7 I. @$ {
了这个地步,难道是技术问题?KV的病毒库一直是全国最全的几个之一,未知病毒查杀当! Y K) S5 e8 c; a; E1 [2 X; _
时在国内更是无可匹敌,而且早在KVW3000时代就可以杀UPX、Aspack甚至WWWPack这种偏壳
& [1 h! ] T+ F% H( W6 i,恐怕只有AVP称得上对手。虽然对Win2000支持不好,但当时又有多少人用Win2000呢?那
' _4 D8 `/ U; k时KV的UI的确很差,但有些人认为KV那时用的是KV300的引擎,则纯粹是以貌取人,上面说
2 t: t! o9 P( d T. X得非常清楚。然而公安部从那时起便不给KV好脸色看,KV于是便一落千丈,落得今天这个 K2 X% f/ B) P$ y u+ C
地步。(硬盘炸弹固然也是一个原因,但今天还有几个网民记得这件事?还谈何影响力?
, X4 p y9 M! G再说,公安部做的可是评测,而不是历史清算)可是直到现在,毒霸、瑞星除了支持NT内
& [8 {7 I$ x9 a. s" W* ], `$ E核实时监控,几乎什么都比不上当年的KVW3000,足以证明公安部评测的胡闹与破坏性。前
. y4 ?% l! G1 q' P2 z! Z/ l面说了,KV的文件监控本来就可以达到QQ、UC、POPO等防毒功能,今天却在KV2005中特意
. l j+ x& n9 _, `8 G. s" M. \+ K- |9 S“加上”相关功能,不得不说是一种无奈。, U) c& k8 f: H; W% n
KV的下场并非最惨的。有些人可能还记得当年有一个很著名的杀毒软件——行天。行
! J% O3 O# ~5 Q. v天虽没有KV的强大引擎,但病毒之全实在是出类拔萃,几乎一直是全国第一,而其它的任
! w1 r* |; x4 B+ e何方面也不逊于毒霸,跳杀的瑞星更是不用说。安全之星XP(VRV)也一样,至少人家比瑞. h/ j( c4 @! p
星毒库全,速度快,又没跳杀问题嘛。可是就是这样两个杀毒软件如今却销声匿迹,公安
7 O# h1 l, N$ Y7 \( l部显然脱不了干系。' M3 G( I6 G8 a6 W) W
在这样一个节骨眼儿上,我不得不为KV说话——如果KV哪一天像行天VRV一样被整垮,我们0 g: X; e' M) r6 ]5 d! K) g% c' t
中国还有什么可以拿得出手的杀毒软件?我们如何面对微软的进军?我们如何面对今后出
+ }; i( \+ T4 q6 [0 J现的彻底本土化的国外杀毒软件?网民们轻易相信广告固然是个原因,但如果没有公安部
' W0 x1 @' X" {* X! T的评测,网民们会这样吗?- D- ~5 P) H- k
一切疑点表明,公安部评测并非乱测乱评,而是有非常非常强的倾向性,是明显经过
( N: \, {' X7 |: L6 i人工操纵的非常明显的作弊行为!毫无疑问,这后面还有太多的故事、太多的后台、太多
, y% \$ x% E5 g+ R的黑幕、太多的权钱交易、太多的无耻。具体是谁在操纵,我也不知道,也没办法知道。
1 h$ A9 @4 W' t2 U4 p我只知道,它让三个垃圾占领了中国80%以上的杀毒软件市场。公安部评测,理应人神同诛
# K* h# g8 l/ ?! J!/ f( r# D- X1 x! ~
公安部固然要负主要责任,但虚假广告照样脱不了干系。
* ^& X9 q$ s6 M 瑞星的瞎吹倒不多,但也不是没有:“第五代国际领先可扩展引擎”——作呕!不过+ q" M8 s, C! F* k& |! ~
瑞星还算是比较“谦虚”的,比如防未知病毒能力就只敢加个“瑞星专利”作形容词,“
* q$ D6 \ w; L4 ?/ ]: o3 ~: z清除病毒”之前就不敢加个“彻底”,算有自知之明。; L" f9 ]4 T9 n- C6 x/ `0 L
Norton倒没做广告,到底是怎么流行的,除了OEM大家也清楚:谣言可畏啊!: f6 s! e$ O" q
最最最最无耻的就是金山了,实在是令人发指!不信请看:
1 V* t5 Q: w0 J6 y 1、把你的金山毒霸包装翻到背面,一条一条地看:5 N$ c+ P1 s- d
①“病毒处理速度>>病毒传播速度”这显然是瞎吹。" c( T# m% r7 p8 X* U( s/ E+ |5 Q
②“网页防毒,有效拦截……”这年头窗口炸弹写法也就几种,随便一找就找到一个
4 q0 l# s. y x5 n毒霸杀不出的,(KV与Norton都杀得出)至于广告拦截更是效果几乎为0。你敢用这玩意儿
& Z3 R+ B6 t$ q% n) W+ n( V: A拦网页木马吗?5 ^2 d) M$ i7 a
③“闪电杀毒”前面也说了,花哨的垃圾。
' I% {8 y% S5 R6 C ④“双引擎杀毒”金山的说法是:国际引擎是AVP的。懂一点杀毒软件的人都知道,双2 s- D, V' v: m
重过滤分析是100%不可能实现的,否则毒霸耗的资源肯定不止那么多,速度也不可能那么6 X+ b, a5 o1 @. p
快。隐含的国际杀毒引擎杀国际病毒效果好的说法更是有违常识。同时,不能杀壳,不能! v9 i5 M/ g# @3 A, y
杀RAR,脚本拦截与杀未知病毒烂,这根本不是AVP的作风,去掉了它们,AVP根本不能称之0 u4 A$ k e: r0 t! o
为AVP。再说AVP风头正盛,哪会干出这种卖引擎的傻事?2 f0 \3 _+ n# g9 K( u7 d- K E( R( [
依我看,有三种可能:! W+ S) E7 L* ^& i) l w3 G
(a)金山只买了一小部分引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒
( c; A3 S4 h" ~, a- t' x) Z8 v,等于没买。
! H; ~" ]8 k5 [" t3 T/ W (b)金山只买了一个老版本的AVP引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未3 j* H0 z1 t2 Y
知病毒,等于没买。这还是有可能的,因为毒霸老早就在吹它,时至今日,甚至懒得用一
: |# u2 F9 [! k! s9 T个“全新”作修饰。如果真是这样,我倒想给金山提个建议:买一个KV300的引擎,然后就5 a0 P. s6 G* F' z
可以号称集成了KV的引擎了……
0 O1 P* R. }9 i4 @9 |+ M) D (c)金山仅仅买了个名号,这就是真的没买了。, U; G+ N8 P" u- B. h6 e+ d# g1 p
这三条说到底就是没买嘛。0 f$ ^( J' o. o. b7 @
⑤压缩格式查杀:别的我没追究,反正金山号称可以杀RAR很久了,但直到推出增强版' u5 q& w$ l& w( ]. z% W4 v
时才兑现,实在无耻。这个不用多说,大家一试便知。3 _, a' P+ p5 F: |. ~
⑥内存杀毒:前面的评测里讲得很清楚,不用多说,反正很多人都有毒霸报警却发现狂点' n; N4 Q+ v2 P. b" ?" T6 t! T
也清不了毒的经历。不能内存杀毒也罢,金山竟敢再加一句“带毒杀毒技术,无需启动到
. M6 G9 j; W1 L- SDOS状态,直接在Windows环境下清除病毒”,真是厚颜无耻。每当我向金山售后服务问起
3 |# x' n* C$ o4 N0 l# t这个问题,人家都抛下一句话:“你到DOS下面去吧”。可你要知道,毒霸DOS版杀不了NT. @- F5 R, B' {( c+ E* h; a/ F
FS呀!
2 [* U( P6 ^( y9 @- a+ T6 d ⑦硬盘修复:修复CIH与Opasoft造成的破坏我倒没话说,虽然我没试过,但号称修复
% x3 K- @# @; n( VHdbreaker造成的破坏就肯定是胡扯了,实在是不自量力,我甚至怀疑这帮蠢货有没有见过
" f# E0 C/ K& H7 f, _7 o( nHdbreaker。如果大家嫌自己电脑全是垃圾,也可以试试,反正我是很想在金山的每台电脑
, I$ F7 B, G5 P/ v9 j$ F, t4 T里都放上一个Aspack加壳的Hdbreaker:)
% Q0 \2 ?: \: S& R 顺便骂骂网镖:0 v. J, ^/ x, j; w' U) F/ q
①作为一个规则过滤式防火墙,规则设定选项是它的灵魂。网镖的规则设定选项直到1 i2 ? r( o6 V: f. b j4 l- K
今天也是最少最不全的,连设置繁琐的瑞星防火墙都比不上,还敢叫“个人专业防火墙”6 W' }5 C ?% R; W+ n
?我宁可用Windows自带的防火墙。. X9 \, m3 A! y2 n$ V
③很多人都知道,新网镖有一个功能,可以自动拦截木马并报警。这功能看来似乎有
1 l. f+ W( c) K' O/ v/ z- S& y用,但实际上是屁用没有。试想一下,网镖可以准确地报出木马名称,这肯定是人家动用
% N. j, t* L. P了毒霸的引擎杀出的已知木马。要杀便杀,金山却多此一举,实在无聊至极,是明显的作* m6 A, Y2 O6 {/ u8 ]& O. o
秀行为。
5 v$ \4 E# h0 O, b" y ④金山网镖几乎是一周升级一次,但相信没有人发现过其中有什么变化,肯定是假升( O: j! a3 A, W$ I
级。惟一的例外就是某次升级后,网镖会对冲击波报警,可我等早就打了补丁,要它作甚
2 b, C' C3 ?: T; l& t?可是这个“内建规则”哪里都没法把它关掉,只好让它产生一堆垃圾日志。0 C0 Q$ P% m' J8 _% X
大家如果要用规则过滤式防火墙,那就用天网,试用版也行。如果你不嫌麻烦,那就
. ?/ n% @; G" J/ p( N* A7 ]7 C0 ~用BlackICE。不论如何,就是不要用网镖,又花钱又受罪。
3 `" d$ R3 V4 U* E: ~3 I; t 2.金山那帮售后服务的人实在太菜,以下是经典问答:
! C" U+ z$ s4 | “毒霸怎么杀不了RAR?”“你到命令行下试一下,应该可以的……”,“毒霸怎么杀
9 Q8 h0 k) Y8 [% n, s! Z ~不了××病毒呀?狂点清除也杀不了耶。”“你到命令行下试试……”(小子,你们那个# D* p9 W2 ]' T+ c9 e7 S( J* O
很牛的“内存杀毒”呢?),“听说现在加壳木马很多耶,毒霸杀不杀得了?”“(有点8 R$ e$ T1 a, w
犹豫地说)应该可以的……”,大家还是自己实验的好。
# X, g* n, D" _) H8 ?# |# u4 F* A 3.有了以上几条,金山也仍然不能在众多骗子公司中“出类拔萃”,不过这一条可以( {: n3 g; z( B8 A
改变这一点。
( I6 m* i9 l$ |! ?/ \5 _ 众所周知,毒霸6增强版加强了杀木马能力,号称可以增加查杀15000种木马。可是大, n4 T, z+ C. h( n6 B
家是否想过,这多出来的15000种木马是从哪儿来的?是从地里冒出来的还是从天上掉下来
0 A6 J! [9 x7 v5 o/ C* f的?显然都不是,金山获得木马的途径只可能是来自上报。这也意味着金山扣押了大量的
2 |. o, L7 m; M' o7 g) z3 [上报木马,以便进行这样一次市场炒作。本人这个说法绝非口说无凭,因为我与我的许多
0 a. w7 X' L% X6 s* W朋友都有相关的体会:(其实根本就不用这么多,金山的广告就够了,自己仔细看吧)
( {8 G, z2 M1 k
/ n% I' t( k" @# c# q ①半年多以前,自己在电脑里抓了好几个木马,毒霸杀不出,便去上报。结果金山回! G, s# H% H! _/ @
E—mail说已有人上报,要我等。我留了个心眼,过了几周便把它们拿出来杀杀,可是毒霸7 U3 p' S6 h6 a3 ]( P" y
一直不报警。这几个文件我已经弄丢了,但我希望那些给金山上报过木马的人把上报的木3 Q* Z& [; Y/ ?! A) h
马用未升到增强版的毒霸杀杀看,相信结果很多都是一样的。2 J% W c1 r- x; ^! A+ E0 D# S8 V
②我有几个用毒霸的同学,在升到增强版后的那几分钟,电脑竟不约而同地报警说发
0 \$ O8 X8 z$ x' s8 T {* m# l现木马。由于各种条件的限制,我只能搞到一个样本,不过相信这种情况一定为数不少。# ^$ K( \+ D6 A7 w2 v, G$ U; w2 O
大家千万不能上金山的当,像我那几个同学一样,还以为增强版的能力很强呢。
" M- F8 y: a" ~2 r x% K3 B 不管怎么说,毒霸的木马专杀本来就垃圾。木马专杀仅仅可以检查EXE关联与AUTOEXE
! p8 W6 W! B" p0 L" h" w! sC.BAT以及CONFIG.SYS,比民间的“木马分析专家”差了几千倍,不能杀壳更是让木马专杀
7 l7 H- g2 Q6 y成为了废物,加上扣押的15000种木马后,病毒库齐全度才达到KV的水平。) A* ]* T/ g9 H5 J4 g
“木马专杀”肯定是一个蓄谋已久的阴谋:全球每天才诞生200种病毒木马,就算它们
& o5 |2 d! {+ C9 D1 A全是木马,就算它们全部被金山收集到,那金山收集15000种木马也需要2个半月……而现
$ K" w" m2 k, R' O在金山更是把15000改为了20000,所以……
5 _4 @& y0 `+ y! U% j2 V$ M3 P$ j0 v 不得不承认,金山公司在国人心中的地位的确很高,但那仅仅是因为人家最早出现,6 x3 r7 t3 B5 C4 M- d2 e
而这并不能说明人家的产品好、信誉好,那只是国人的想当然。在雷军上台的这几年,金
9 I. v' H4 W# u7 w, m- X山广告的确做得很火,但软件的技术几乎没有长进。这就不止网镖毒霸了:金山词霸2005
3 b9 I5 e5 {6 } `6 M仅仅是2002版换了个界面与发音库,词条中的错误却一个也没改;金山快译虽号称智能引
0 }" a. r8 i) Q" k# `) U擎,但翻译效果却一直未超过Office2003,而且是差很远,几乎只相当于把一堆词拼揍起4 K* Z$ r$ D* B; }
来,据网友说,金山快译2005会把“Counter—strike”译成“计算机罢工”——妈呀,人
" c- |; m0 }6 Y! A% I( e2 _家就是翻译成“柜台罢工”,我都不会介意的,可是“Counter”怎么跟计算机扯上关联了0 {2 M, L$ ]- Q
?至于WPS,我认为也没什么好说的:WPS花哨的功能越来越多,可是时至今日,WPS仍未实) ~* w$ b+ p* z0 s3 v, x
现电子表格中数据同步变换的功能,(即改一个数据,相关数据自动完成更改,这个功能
8 V# `1 Y7 b5 R6 ?$ i% r' e3 h7 V是必备的)仍然需要大家自己一个个手动更改。而此功能在Office里面早已实现,这很是4 Q4 X) c8 i& \" m6 Q
说明问题。7 O8 h# c1 k# D! A7 r/ R) u1 a
以上的说法并非本人发现,它们全都是网上已有的说法。综合起来,大家便可轻易看
2 ]% D% D5 r+ K出金山的底细。' N8 [* X& S* L# [
当今骗子公司虽多,但也没有任何一个有金山这样明目张胆地坑人的,尤其是“木马" Q m7 i$ | p2 b! h6 c
专杀”一事,炒作疯狂,全国媒体一齐尽献媚词,其设局构思更是伟大到了史无前例的地; c, v- R1 a, J7 o+ |* E2 R4 g
步,那个大名鼎鼎的网E拍又算哪根葱?知道有人会想说当年江民的硬盘炸弹事件,那的确5 g3 q& C( u8 V( F
也是一个非常恶劣的行为,该骂。但当年的网民并不多,所以上网下载升级程序的受害者/ a% a! ^7 Y) t1 s4 D
并没有象大家宣传的那么多。再说那只是针对盗版用户的行为,(我没说这是合理的)而
5 M6 S$ Y( w1 ]' S1 n& k& W金山则是拿众多信赖金山的正版用户开刀,论动机金山显然更加无耻。硬盘炸弹事件早已
6 a) Z( ^; O, n被公布于世,金山的“木马专杀”事件更应被公开在光天化日之下。至于两害谁轻谁重,
. r: s; }8 A. r* h$ L! _8 H那就是另外一个问题了。
# w! x' ]; N$ X6 t3 j 但是,大家不要忘了,以上一切的一切,如果没有IT媒体的撑腰,都是不会发生的。3 n# L& M; t7 i/ n% X8 ] G
大家不要把当今的媒体看得多神圣,多有光彩。人家不是搞舆论监督的,搞舆论监督的也
6 B) H2 I8 E( I不懂电脑。当今的IT媒体在面对谎言时,从来都没有打过头阵,从来都只是论坛的跟风者. f+ ~/ f3 a9 o( c
:3721、网E拍,它们全都是在网上论坛被骂得一塌胡涂的情况下才有媒体出来说话,有些2 z3 e. R& K& v7 m% @2 D3 b6 O* g
媒体更是直等到3721推出新版上网助手才出场,趁此机会做“评测”说3721根本没卸载方8 f1 p" j' f" S c \
面的问题。(鬼知道这年头他们收了多少金山瑞星的广告费?)
" h9 E p" M! Z1 S% S" b 他们从来都缺乏说真话的勇气。当金山瑞星“论战”之时,他们几乎是一言不发。不% F3 ?" M! F, l7 e+ \; A" V0 u# ^
要以为这是什么“清高”或是“公正”,在金山瑞星无数漏洞百出,毫无水平的“论词”% H! J3 `3 B/ O4 [. g O
面前,真正丢脸的应该是他们,这种无作为对于一个真正的媒体来说就是同流合污。这些; h+ _+ f9 Z1 m" l$ c
年头,他们又不分青红皂白地给了毒霸瑞星多少虚名妄词,多少沾着读者血汗钱的“编辑5 J& @8 J. C) s2 M$ Y
选择奖”。试问天下谁是真枪手?他们才是!
, X- E3 ]7 M9 b5 L; ~ 上文中许多发现其实并不是我的原创,像瑞星漏杀问题在有些论坛上早已有人提出,5 t3 v) C4 ]; L) W
可是至今日,仍没有媒体敢提上半个字,足以证明他们的懦弱。看看他们干了些什么吧,4 y, i/ _! N* Q/ v) N2 w
整天仅仅是唱唱瑞星给它们的那首老歌:“半个月以来,病毒A和病毒B这两个病毒值得注7 e$ }! B) A9 [. ]6 _( h; `6 T
意。病毒A试图/会/除了会××××。病毒B(则)试图/会/除了会××××。可以上网的/ P" Y3 k! U- `7 I8 I6 V
用户推荐采用在线杀毒方式,快速查杀这些病毒,也可以使用单机杀毒软件2004版,局域
, F1 M+ H- E& u! ^2 P' w网用户最好能使用瑞星杀毒软件网络版来彻底清除这些病毒。《瑞星在线杀毒》无需升级) U- C" G* z# t; u$ V
、《瑞星杀毒软件2004版》和《瑞星杀毒软件2004下载版》每工作日常规升级,遇紧急病( C v: p0 W* v$ J" `% @4 |: y
毒第一时间提供解决方案,每周升级的新病毒总数不少于400个!截止到×月底瑞星杀毒软
! i6 j' M/ ^& u9 A y3 R件将升级至××.××版本,望广大用户及时升级。如遇病毒,请拨打反病毒急救电话:0
5 T9 J( i- E+ t: K; U; R10—82678800或使用瑞星在线杀毒: http://online.rising.com.cn”这堆破玩
% d3 I$ D/ l6 P t @" t意儿对我们有何用?
' \2 ^8 | n" ?, a7 L. K6 K* ?( c 毒霸瑞星的地位并不是真刀真枪地干出来的,它们靠的是无尽的谎言:媒体的谎言,- E3 x0 ?" z1 g4 O t. Y( E* t+ F
公安部的谎言,它们自己的谎言,颇有中国传统的“官官相护”之形。这正是看似简单的( y$ R7 k1 n; r# y, ]
杀毒软件背后不可告人的黑幕。
; j9 f" b, c6 ~; P: t. X& G(以上观点只指截止至10月初的现象。同时由于取证时间较长,难免有疏忽,敬请指出)2 Y0 Q+ `0 {! b4 i
申明我不是江民内线
- n3 @. ?- Y0 v' p K! s( P5 I7 } [此贴子已经被作者于2005-2-20 19:43:19编辑过] , i4 R+ v# `+ E4 W7 T% X
|
|