|
|
6楼
楼主 |
发表于 2005-2-20 19:42:00
|
只看该作者
|
【转贴】杀毒软件背后的黑幕8 N; I3 v; T9 a7 L, C
- A* H$ G: D; N杀毒软件背后的黑幕——中国最严重的信息安全问题1 B" [3 {1 t H8 i2 Q/ p
翻开2004年第18期《大众软件》,那个杀毒软件市场占有率排名让我百感交集:毒霸
/ p6 e! `" g* w; L38%?瑞星29%,Norton14%,KV11%……,不要以为这只是几个简单的数字,这后面有太多0 J; f, L$ f4 |' ]5 @) ^
的故事,一时,竟不知从何讲起。这样,我们先看看各个杀毒软件的真实能力。(本评测# {/ K/ O3 u0 O
中KV指KV2004)
/ d6 j$ N8 ^5 F+ u/ \+ s 一、病毒库, J; Q7 b# t: Y. E) e& Y
这些年头看过许多评测,有民间的也有媒体的,几乎都是以病毒库是否全面为依据。
~% E0 U3 n g- W, z这是非常不科学的!暂且不说别的因素,我认为用杀毒软件对一堆病毒木马一通乱杀最后' Q B: h8 Q6 p( s; }! o
仅仅以检出率论英雄,是一种对读者不负责的数字游戏。5 t0 z8 d6 l/ K- p! w
举两个最简单的例子,你有用过Norton去杀黑洞2004吗?不说别的,就说最有影响力
5 H. o1 d3 Z4 l% R& c: C的0815版,Norton也是怎么杀也杀不出。这完全不是什么巧合,Norton如果杀n年前的经典
8 V* v' o0 q1 M木马冰河84,也还是杀得出来的,只是会在隔离区里加上两个字作注释——罕见……' q" I% \- A4 l
Norton是一个非常典型的例子,因为在这个方面的问题Norton是最明显的。不过其它
4 z2 ]9 ^+ I/ T* p1 h7 F的外国杀毒软件也好不了多少,哪怕是那个公认的杀毒王兼升级狂AVP,大家拿手上那帮大
: w4 X! B. [& Q. e( B6 _! Z马小马自个儿试试吧,保证叫它们死得惨不忍睹,AVP那么好的引擎又有何用呢?(据说当7 j6 O+ h' S5 c4 U1 c5 }# N; w
年因为Pc-cillin杀不了CIH的某些国内变种,所以有人就……); `3 I% {- k0 q) Z, i
就是不算木马,各种蠕虫变种也够这帮老外受的,其中最典型的就是Lovgate系列了。* Y% }3 @4 S( C: _; q! w0 d
有些用Norton的单位就算是天天更新,也总是不如它的变种来得快,甚至面对有些n年前的
5 p7 g; E- a8 C1 W9 L* r+ Z0 p国产病毒,那帮老外也一声不吭。; l; Z* R/ D& [% a, m; Z- r
综上所述,我们只能得到两个结论:1、面对众多国产病毒木马,外国杀毒软件只是一# Q2 z' R/ ^2 A) N9 t
帮废物;2、以检出率论英雄是一个彻底的错误,因为一个1%可以包含很少的东西,也可以7 l; [/ b. L. O7 W
包含太多的东西,同样的检出率,一个可以杀灰鸽子,一个可以杀Beast或××国外二线木
( |/ Y: L9 f0 I* L' X马,你会选哪个?
1 H8 j& }) D! P' v5 c3 k 虽然如此,但如果检出率相差太大,那就是另一回事儿了。Norton的病毒库是非常不" G. P' B5 z& Y( f: u6 ~. X
全的,尽管在杀木马时与其它国外杀毒软件差不多,但在杀病毒时检出率相差实在太大。
9 N% {: P+ I' }, g' ?在许多病毒库比较齐全的评测中,(不包括公安部)Norton总是在最后几名徘徊,远远落
! A" d, X0 N' W- q" ~) E在其它老外后面,甚至在有次国外媒体评测时仅给了Norton6.8分,(满分10分,,AVP9分
+ W( Y6 d8 x+ F/ @) |" o)简直是……4 x* @" C8 I, c, L, a% Z+ @' U5 h( d4 A
至于瑞星的病毒库也好不了多少,经常在民间评测中与Norton一起垫底,惟有木马库
& r$ L& `2 ?6 _$ q. |5 _% I齐全了许多,所以其杀毒能力可想而知……当然,瑞星杀Lovgate这些国产病毒的检出率显# z8 L$ A5 Q7 f8 ~: y; P' K; \# f. }
然高些,但木马不同的是,病毒是会自我传播的,所以国外病毒在国内照样常见。于是有! X9 o( n E/ x: n+ @ l2 Z
一次,我的一个用瑞星的同学在用Norton扫盘时扫出满盘的病毒……顺便说一句,当年瑞
, x* U ]3 B/ n4 a" y星2003时人家可是一周一次升级!在这个方面,只有KV与毒霸过关,其它的实在差太远了
& e+ M) Y; v) s9 ^. s6 F* n。5 Y0 K q! t9 Q, K
二、杀壳能力6 ]4 M9 l% u' g8 o4 {# N+ U
在我看过的评测中,基本上没有哪个把杀壳能力放在眼里的。事实上,没有杀壳能力
+ n7 {- O5 Q4 p2 v3 f5 p,一个杀毒软件在面对木马以及病毒变种时,基本上就成了废物,有谁用马不加壳?有谁
6 F/ ~5 r; S/ Z4 i3 F改病毒不换壳?只要人家有意,你的杀毒软件一瞬间就可以挂掉。(近来网上有传言说加
v4 z! _* Z9 ]+ f w了壳的木马自释放时会还原,这个说法是假的)经本人实验,各大杀毒软件杀壳能力如下5 ?5 l0 R6 q9 Z5 T( m4 t0 K2 I
:$ v2 |$ h' n7 y
McAfee及大多数国外二流杀毒软件:UPX, b- `4 g- f' b3 R/ n! t9 E5 L
瑞星:无
+ c$ j2 y& {6 j4 h( ~- J! w+ E 毒霸:无1 L+ ^3 S1 O- Q# H. t6 x
Norton:无
5 J2 i8 u6 w0 {; {7 [) s AVP:大多数流行壳
6 F/ W: }) _: ]* A) E/ U: o3 J% @ KV:大多数流行壳
7 W7 V* W4 b! C+ x+ C$ y( m UPX是一种免费软件,所以支持杀UPX无需交专利费,如果一个杀毒软件连UPX都杀不了
6 Q- i. T0 E% E* a2 }; t0 M,那只能说明他们那帮人偷懒。当然,无论如何,没有杀壳能力的这些杀毒软件会轻易地
( p+ Z) S2 f5 N1 R% F让你死翘翘的,所以大家今后必须重视杀壳能力。5 x7 s( P2 Q8 L- g& q/ J
' e, J7 \) M9 P, Z% D5 ?, g, V( O/ E _
! N" ~ J1 X/ k+ r3 ?同样的木马,一加壳便是不同的下场$ ~8 @+ ^; x2 o1 @+ \
三、清除能力
1 B5 O* E+ ?0 U# }. [ O$ S+ h 不得不说,任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不
7 R, w$ }% u. [3 H理想,不过由于在杀毒过后这些文件都成了死链接,所以随便找一个清垃圾文件的软件就0 f# S' `$ o; U2 q
可以了。) ?3 r4 p1 [3 T$ g& i' `
其实关于清除能力,大多数的杀毒软件都差不多,不过倒还是有几个特例:& x% c* L3 N9 o5 s5 Z
瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下,杀Lovg% q* @, \/ q2 @; D% O9 W
ate用了2天,杀某蠕虫病毒用了一周,杀folder.htt病毒用了超过一周时间也杀不干净,
. o# k, @; d8 x; w+ |最后只用搜索并删除同名文件却杀干净了!明显是跳杀现象。6 [5 |4 ^" P7 u3 U8 X2 V2 E
Norton则是一见染毒文件就删,实在令人怀疑Symantec的人是否学过汇编。另外Norton在) I. G8 Q$ b) U. U, o
撞上一个病毒在内存中的进程时,竟经常不会自动关闭,需要你手动关闭,而其它任何杀
1 W @/ t$ K8 R% _毒软件大都有此规则。
9 `8 F9 z1 p7 [8 I: y6 } 四、内存杀毒及DOS杀毒
( Y7 c1 b& m+ P$ {7 w7 I 当今国外杀毒软件基本没有再提供DOS杀毒的了,所以面对dll进程守护式的病毒木马
. R( C. W3 J8 g+ l& \% A" D就只能到安全模式下碰运气了,并且有时还会失败。相比之下,毒霸、瑞星、KV都有DOS杀; z. l9 q9 R1 j. h: w5 J( _% t7 ^
毒能力,只是毒霸杀不了NTFS,KV可以杀壳。
4 \& Q5 [: R9 H/ \ 国产杀毒软件都号称可以内存杀毒,但大都只是实时监控加进程关闭的换汤不换药,
$ \- i) M' I1 ^! r杀不了dll进程守护,甚至不去检查调用的dll文件,等于一个功能没加,只有KV一个一个
& T* c$ \6 I5 w. `5 Kdll地检查,并有查到毒后反复检查内存及必要时自动开机检查的功能,dll进程守护的病3 \3 _& m5 V9 G
毒木马基本上都可以挂掉。实话说,只有KV的可以算有内存杀毒功能,其它的都是吹牛。
2 H4 G" d. K$ y+ [& Q$ w7 P: R9 m% Y9 u) M3 M5 M1 g
五、实时监控! _1 P$ j5 }, l. ?
当今的杀毒软件几乎都要吹一吹自己的实时监控,但实话说,没什么稀奇的:一是对
3 p. t2 m1 g9 r( A! O8 R8 r! l6 P进入内存的程序进行扫描,二是预读。(解压时查毒属于第一项)第一项没啥子稀奇,至
9 }3 S$ I" Z L$ O6 n3 r- H于第二项,国产杀毒软件的速度大幅超过了老外,的确可喜可贺。
/ @5 v0 k8 T* i7 c# v+ s7 X 尽管如此,不得不说说KV。KV的实时监控技术,即“动态比特滤毒”技术实在是太强' r% b# ?/ K; S* V/ Q) a
了。为什么我一直在用Net Transport呢?因为在打开KV文件监控的时候,KV会自动对进入
! B$ T0 Z) u) `" Q电脑的文件进行扫描。如果是带毒的压缩包,KV会在下载结束的一瞬间报警,如果是EXE或8 k/ Q- T* ]# u j- h7 i% G
DLL等,那么有时才下载到一半就会报警。另外如果你用Windows搜索时开KV文件监控,KV" P. `2 e& k: d/ M) H* \; [
会顺带地扫出很多东西,(前提是你硬盘上有)上次我就是忘了这一点,结果把自己的黑
/ }9 ^& a" C, [软库一大半倒进了隔离区。(开个KV在网站上防Asp木马,爆爽!)
: j" U4 p6 p0 X* Y4 d* x 六、杀未知病毒能力* u( Q! Q- V& _# B6 A: ?
当今的杀毒软件对这一点都“非常重视”;所谓“重视”就是大肆做相关的广告;行2 o2 P' e& N, t: b+ q/ H
为判断、虚拟机法、智能跟踪……如果这些都是实话,那么面对一个歪壳压的病毒,杀毒
1 R5 b7 |8 n& D% C! \7 U0 ]软件们理应报警,但事实上没有一个杀毒软件做到这一点,这些谎言也就不攻自破了。当0 i+ r. ^- @$ z& J
今的杀毒软件的防未知病毒机制其实只有启发式扫描,即仅仅是扫描文件中的可疑代码。
7 I: P& G/ d3 f9 u- v也就是说,如果解不了壳,再强的启发式扫描引擎也什么用也没有,由此,KV、AVP的表现
$ B# p _; l* G# y; l4 f1 K9 Y大幅超过了其它的杀毒软件。在加壳病毒横行的今天,其它的杀毒软件几乎全是吃鸭蛋。5 k, m% p/ p+ C( w+ V" s P* n
6 b8 _& j2 h/ z 不论如何,毒霸、瑞星和AVP的误报率都算比较高,尤其是前两者,几乎只有误报纪录" a1 G0 D' E* u: }
,毒霸的实时未知病毒检测甚至会干扰到已知病毒检测。Norton与KV到目前为止我也没发2 E4 \9 Q* h. {+ ?" Y1 n! r
现误报,不过Norton的未知病毒检测也不乍地,只是比毒霸、瑞星强了许多。
/ m; q+ I! [# n% u1 O9 W7 b 不看误报率,只有AVP与KV的能力令人满意,AVP自然不用说,人家可是启发式扫描的
2 e6 a) v- u3 K7 i3 h2 L鼻祖,具体能力大家也清楚。事实上KV也是非常强的,只是可能大家不知道,最经典的例
9 W2 Z+ \& X- u, [" s% @' L子就是当年的KV3000不升级就可以挂掉冲击波!不过据说KV未知病毒检出率略低于AVP,也9 ?! d+ i$ L# e" v! x) T% O, m5 A$ G
许这是为达到误报率为0所必须牺牲的吧。
' D K* }9 ]8 _ 大家注意,哪怕是KV、AVP,它们杀未知木马的能力也为0,也许它们一向都只是在研 M) q" V( ^& ~/ _
究病毒吧。若要杀未知木马,大家一定要用****,据我实验,****是第一个采用行为判断法, u1 s, G( E3 ~( }: o3 O# D7 t
的安全软件,同时有超强的专门对付木马蠕虫的启发式扫描引擎,对付加壳木马也非常有
& X2 Y! a# g( b: N一套,实为史上最强的杀马软件,曾被ZDNet评为年度十佳软件……如果你用过老版本的*
i3 p7 q9 K4 n% E8 s5 E; K. r" }***杀当今的黑洞灰鸽子你就知道了。不过这有点扯远了。
! V% i" G# \* I# }" b$ ~ 七、速度- a0 [* d0 x/ ~; {8 z
首先对毒霸的“闪电扫描”提出质疑:
, O/ `) r1 Y( v ①有谁愿意为了一点点时间而仅仅去扫某些病毒呢?安全至上呀。
2 ^8 T& |0 R/ T' x7 A& d9 S' T ②病毒经常是相互附身一齐出现的,这可是常识呀。
; g2 ^ {: ?* ? ③鬼知道它扫的是哪100个病毒?
0 N6 D1 O5 {" p9 [5 `" r “闪电扫描”顶多是一个花哨的噱头,基本上没有人用,大家不必理会它。大多数杀
* f7 S: O+ n* z- l! K毒软件速度都差不多,可以接受就行了,不必排先后。不过AVP由于支持杀壳,所以在开了
" ]/ V! L! `$ x1 H杀壳后速度慢了很多。但瑞星令人实在受不了,慢得甚至出现了专杀工具速度跑不过其它0 ?6 u9 r: o, t5 g/ T2 `
完整杀毒软件的奇特现象……。KV还是令人佩服,又支持杀壳,速度仍然很快,着实先进
* I9 f. Y/ G/ _& j; ?8 j8 M,不能杀壳的毒霸扫再快也无法动摇这一点。6 W. q- u9 K# e( @, C
八、集成度
9 c& D8 E! @8 d* B8 V& _* ] E: } 老外们在这儿不得不出局:不支持QQ?Game over!
; d6 `/ ?7 }# e, D8 ? KV的集成度肯定是最高的:有了动态滤毒,KV等于是支持了一切聊天软件与下载软件
- _& @( d6 m2 ~& S,同时效率最高,名义上不支持QQ算什么?: e. y8 W I5 d# N. R( U
毒霸及网镖在一次死机后图标全会消失不见,极不方便使用。瑞星用DLL进程守护解决/ l$ Y6 y& ]: u+ S8 w
了这个问题,不过同时也带来了无尽的资源占用与冲突问题……
- R: {7 A' m' t+ t6 @/ G8 y6 o 九、压缩格式查杀支持(出于实用,我们只看ZIP与RAR)
: j0 r: S* q. g7 K5 k9 x9 C* C9 h: \ KV:普通ZIP、超真空ZIP、RAR
* d. g" \' U4 e9 T% C5 {8 s AVP:普通ZIP、超真空ZIP、RAR
6 N+ K; a8 b5 N% l( q+ k/ l 毒霸瑞星:普通ZIP、RAR
; Y7 j& N' S; M 其它大多数国外二流杀毒软件:普通ZIP
$ k& E6 Q m8 z1 q4 }1 D 大多数外国人都不用RAR,所以Norton与McAfee等都杀不了RAR
( |- a$ \4 P5 h& ~% o& i, v# Z7 @+ k 十、资源占用与冲突:; f" E6 c) S c8 c) W
KV与AVP资源占用最小,获得广泛好评。Norton毒霸一般般,但开了QQ后Norton资源占
( @1 ?! A! b* e7 j# Z5 a% y用暴升……瑞星这方面问题极严重,不仅是当之无愧的冲突王,也是万“死”不辞的资源
+ f2 ]1 [3 G# Z$ M7 M" R占用王,有些配置稍逊的电脑在开了瑞星后,(只装瑞星)弹出右健菜单竟需3—5秒……另
0 N1 w! K8 V& G/ q; B h- _; }外好象有一个说法,就是装了瑞星后装其它杀毒软件,基本上都会起冲突:装毒霸后不开实. k% r) ~. a6 _' A
时监控系统也爆慢,网上有人把Norton这样装则是根本进不了系统。当然也有例外,就看
* k. z9 V- \7 l2 V j; H8 W你的造化了。
% U% X- l# D7 x- R2 m 总结:Norton实在太废,除了公安部和某些菜鸟,几乎是人神共诛,连外国同行都不
; p2 g* Q7 a' I2 h) ?以为然。(6.8分,妈呀!)虽然Norton是实时监控的鼻祖,但却不思进取,活该。大家若" i4 C1 q: C! ]9 M* N' E: N
一定要崇洋媚外,那就请用AVP。不过我一开头就跟大家讲得很清楚,非本土化的杀毒软件; w F6 N. o, j# i
的下场嘛……; F9 p/ V7 T5 W( y1 ? G5 S& G# g
毒霸的表现勉强算二流,面对加壳木马还是太嫩了。瑞星则是我见过的最废的杀毒软
3 B" H' {8 }+ ]- ?7 [件:毒库不全,耗资源,易冲突,不杀壳,速度慢,跳杀!这年头民间防病毒软件非常多
" n/ x# ]7 R/ z$ c2 B8 ?,大的有十几兆,小的只有几十KB,没有一个有跳杀的问题,扫上7天对它们都算神话来的. Y U; W5 L: u+ A
!毫不客气地说,这一点可以让我们确定,瑞星是全世界最废的杀毒软件——谁不知道跳
- K D* m. L: R; U8 U杀意味着什么?2 R8 f% W+ ]4 [/ c- @0 T
至于我对KV的评价,也绝不是一家之言。有许多国外媒体都在吹AVP,但这并不代表A, ?- u6 n( ?5 m$ E% i+ U: l }1 \
VP比KV强,因为大家都没见过KV,惟一的例外是日本人评了一次,结果大家也知道,KV获
( d+ u4 h$ D! J, p3 _# y6 a胜。与此同时,国内大多数的黑客专业网站推荐的也是KV。这跟本文的结论是一致的。KV, D, Q5 T, T( {) _ Z
如果做好了国外病毒木马的收集工作,届时一定可以在国外压过AVP的风头。
. r3 U v9 u3 g( _, C+ V4 c. T0 ^; U 我个人认为,本篇评测,是当今世界上最科学的评测之一:6 P1 g6 p4 z8 e% ~9 Y
1.一个评测如果只看重病毒库,那么只说明这帮人压根儿就不知道木马加壳术,不认
! l" R/ F, `9 b7 D. M/ i可加壳后的无敌木马的危险性,甚至连瑞星的跳杀问题都看不到!9 A$ G" B& M9 V0 m6 p5 b' j, j
2.一个杀毒软件的能力是有限的,并非一个数字可以代表得了,正如水浒英雄的能力3 m! S4 W3 R, ~$ r
并非那些“水浒人物卡”上的几个数字可以代表的,另外国外杀毒软件杀国产木马的狼狈2 W9 r- v8 r1 T! T
相与评测时得到的检出率与分数完成不成比例,也能很好地说明这一点。一个真正合格的
+ P2 d& k$ ~+ T( T$ L评测应该是把各个杀毒软件的优点缺点都列出来,让读者自己去按自己的需要来判断,最
0 U0 O: j# V0 @& L3 P( M多分不同情况给它们简单排排名。& ~. C8 |, _2 Z$ A
3.一个评测如果只是泛泛而谈,而不分出杀毒软件的优劣高下,这只能说明这是一个) E! }0 Q3 \; V6 ^! M& p" m% J
广告大串联,而不是什么评测。本评测中出现KV一边倒的局面并不能说明本人的方法不科
4 t% t- b6 E* r, P6 e学,反倒说明其它的评测根本算不上评测。
! } T0 ^4 ^0 A; M6 w 4.最重要的一点,本评测一切论据与细节都是公开的。(比如病毒名称,评价原因)
! r8 ?! b5 I! r) y( _9 U就算去除一些口说无凭的个人经验,只剩下大家可以自己操作自己实践的部分,大家仍会
8 i2 q$ j" h+ n! Z* r i% R得到同样的结论。本评测的真实性无可怀疑正基于此,大家尽可乱试。
9 |3 Y. f- ?& f( a 如果仅仅是做个评测,那么离“黑幕”就差太远了,但是事情远不止这么简单。我认/ Q/ Z, y5 |6 }
为,如果压在KV头上的是AVP,我认为大家还有些讨论的余地,但我们可以看到,排在KV之1 F( n8 O' J" {) B& r
前的尽是些垃圾:毒霸、瑞星和Norton。它们的流行与中国人随波逐流、轻信广告、做事
- @, W" V' W1 d- x- {4 z; @. D7 \8 w不细究这些毛病都有关,这自然不用说,但我认为最重要的原因就是公安部的评测。% Q* y4 R" O' O4 Y$ r
公安部的评分是这样的:毒霸95,瑞星95,KV90,Norton85,其它的杀毒软件依次列
2 h" P5 Q# i2 B$ x) B8 l在后面。所谓检出率则是:毒霸100%,瑞星100%,KV100%,Norton9x%,依此类推。$ ~" l. q. e1 x) H G3 d5 l0 @, I9 n8 B
实话实说,公安部的评测是我见过的最假的评测,也是最害人的,因为它影响力最大1 [2 A D0 W3 ?1 d# \& ?( L2 E: M
,随便就可以扯出一大堆疑点:
+ w! ^! Z1 A' Y9 B B5 b 1.KV那么强的引擎,凭什么排在毒霸、瑞星后面?如果说毒霸、瑞星恰好撞上比较“ W B! f* M0 Y+ G$ q+ y) }
适合”自己的病毒库,那还好说。但既然检出率都是100%,其它性能KV则是全面超越毒霸
" k: }; [$ V! R7 z、瑞星,凭什么KV要比人家低5分?; r( Q, ?7 W& Y8 R8 A
2.作为史上最废的杀毒软件,独一无二的冲突王、资源王、跳杀王,瑞星凭什么遥遥
( Y7 e7 `8 G f, ^% ^领先,并列第一?1 r$ W5 O6 ^8 I1 m M( U- W8 b
3.作为国内市场中病毒库最不全的杀毒软件,作为一个在民间评测与国外媒体评测中3 d& g- ^) \+ V i: J' _
屡次垫底的杀毒软件,Norton凭什么比McAfee、PC—cillin、Panda这些家伙的分数与检出
4 E, ~4 V! |7 @" Y- z" J" l率高?大家记住Norton当年的分数:6.3分!
: R6 l! I( _* n1 N7 p 4.凭什么大名鼎鼎的AVP不参加评测?
, w. u# _: _$ h! ]' \" ` 5.凭什么公安部几乎只看病毒库?虽然民间评测有这样的,但官方评测从来都不是这- k i, q0 g$ [, i+ E( j% p
样的。
; L7 \8 u5 e X$ C | 6.凭什么公安部把除了病毒库之外的评分标准全不公开?
9 A1 J) |; [ A7 K v: _3 u 7.凭什么公安部全盘都在暗箱操作?
* \ f0 w3 _: E6 |1 p 8.凭什么会出现三个杀毒软件同时得到100%检出率的情况?全世界的杀毒软件评测,5 [2 s6 T; N/ Z/ `; w- i# W
根本就没出现这种情况。要么,就是公安部病毒太不全,要么就是人家想搞“民族产业振4 J# ~+ W" u3 `7 B5 `8 x# K$ {
兴”。. G2 S9 M% H' R! }
……
! h% ~8 v+ p3 f0 v 疑点多到了让人几乎可以窒息的程度。研究一下杀毒软件的历史,发现公安部评测实
$ f+ k7 Z$ Z& q( G1 j$ G在害人。7 J3 ^% x8 K0 r+ |& q/ L
众所周知,KV是早期中国最著名的杀毒软件,一度市场占有率遥遥领先,今天却落到
3 ^0 b x' h& `& G- t6 G: B' q了这个地步,难道是技术问题?KV的病毒库一直是全国最全的几个之一,未知病毒查杀当" F. b$ \% o8 g. P/ d& V
时在国内更是无可匹敌,而且早在KVW3000时代就可以杀UPX、Aspack甚至WWWPack这种偏壳
" I% ?# u0 S: ?) f5 S9 j,恐怕只有AVP称得上对手。虽然对Win2000支持不好,但当时又有多少人用Win2000呢?那
4 l% a* D6 B" y& U. N3 f [$ [时KV的UI的确很差,但有些人认为KV那时用的是KV300的引擎,则纯粹是以貌取人,上面说
+ x* ^- h' E+ K4 ^" U得非常清楚。然而公安部从那时起便不给KV好脸色看,KV于是便一落千丈,落得今天这个9 @2 a. m4 k% T) i7 m) k
地步。(硬盘炸弹固然也是一个原因,但今天还有几个网民记得这件事?还谈何影响力?
! n! N0 E/ H( T7 R. k% {3 V再说,公安部做的可是评测,而不是历史清算)可是直到现在,毒霸、瑞星除了支持NT内
6 \' {2 i1 O" K l; j核实时监控,几乎什么都比不上当年的KVW3000,足以证明公安部评测的胡闹与破坏性。前
G o0 M) ^/ A# B' }2 c; M面说了,KV的文件监控本来就可以达到QQ、UC、POPO等防毒功能,今天却在KV2005中特意
. H" v3 ?# A( \( n( F“加上”相关功能,不得不说是一种无奈。+ M; r' K* j9 k: E' _8 L
KV的下场并非最惨的。有些人可能还记得当年有一个很著名的杀毒软件——行天。行
. s7 I. {! S' e# k天虽没有KV的强大引擎,但病毒之全实在是出类拔萃,几乎一直是全国第一,而其它的任
+ { A3 r% A, s$ o何方面也不逊于毒霸,跳杀的瑞星更是不用说。安全之星XP(VRV)也一样,至少人家比瑞
1 U! x3 e7 y, i, j7 k( y星毒库全,速度快,又没跳杀问题嘛。可是就是这样两个杀毒软件如今却销声匿迹,公安
6 Y! n# b5 ~9 P3 P/ R部显然脱不了干系。
' Z/ J! l7 e) ~; B# F在这样一个节骨眼儿上,我不得不为KV说话——如果KV哪一天像行天VRV一样被整垮,我们
( w) a3 S! N7 B9 V中国还有什么可以拿得出手的杀毒软件?我们如何面对微软的进军?我们如何面对今后出
- E9 n) d! x2 x# ?5 h1 n5 h现的彻底本土化的国外杀毒软件?网民们轻易相信广告固然是个原因,但如果没有公安部9 s8 \% ^: p, A* Q }5 M$ `0 ]
的评测,网民们会这样吗?4 V0 ?9 c/ K$ x' \0 p
一切疑点表明,公安部评测并非乱测乱评,而是有非常非常强的倾向性,是明显经过6 O2 O. Q O- {, N) a/ O2 N5 K7 b
人工操纵的非常明显的作弊行为!毫无疑问,这后面还有太多的故事、太多的后台、太多3 g: \) t+ l+ y. n8 `
的黑幕、太多的权钱交易、太多的无耻。具体是谁在操纵,我也不知道,也没办法知道。
% ^5 R7 J0 V, T/ I我只知道,它让三个垃圾占领了中国80%以上的杀毒软件市场。公安部评测,理应人神同诛
$ U" X- n2 O3 l/ y& c% r9 J!
; A5 X! n+ k' R 公安部固然要负主要责任,但虚假广告照样脱不了干系。2 N/ r; I: d9 `0 L1 Y& k& b* E2 k& s
瑞星的瞎吹倒不多,但也不是没有:“第五代国际领先可扩展引擎”——作呕!不过
% R4 s. J) B' H; w* V瑞星还算是比较“谦虚”的,比如防未知病毒能力就只敢加个“瑞星专利”作形容词,“7 O* ~; m( u# e# m) C- t; u4 e$ Z
清除病毒”之前就不敢加个“彻底”,算有自知之明。
9 w- y3 L3 k* I. O Norton倒没做广告,到底是怎么流行的,除了OEM大家也清楚:谣言可畏啊!! ]9 M2 q) M; H0 |1 h
最最最最无耻的就是金山了,实在是令人发指!不信请看:
' i$ B6 _) K) i; L3 F: Y* T 1、把你的金山毒霸包装翻到背面,一条一条地看:
/ S- {1 |' u3 a# B; v% C5 v ①“病毒处理速度>>病毒传播速度”这显然是瞎吹。( I2 X9 X2 r8 |; p5 _4 _- P
②“网页防毒,有效拦截……”这年头窗口炸弹写法也就几种,随便一找就找到一个6 l% Y+ `3 M& ^5 u- u! k. L
毒霸杀不出的,(KV与Norton都杀得出)至于广告拦截更是效果几乎为0。你敢用这玩意儿7 ]- v2 v" D3 ~ D4 C% g& v8 i
拦网页木马吗?
: _8 d' m/ ^4 s ③“闪电杀毒”前面也说了,花哨的垃圾。! {$ @8 |$ ~! r) \* `& G4 t1 c
④“双引擎杀毒”金山的说法是:国际引擎是AVP的。懂一点杀毒软件的人都知道,双
) z7 h" p$ w2 }4 \重过滤分析是100%不可能实现的,否则毒霸耗的资源肯定不止那么多,速度也不可能那么
3 \. X# r9 O: L7 T0 P+ S: S0 o快。隐含的国际杀毒引擎杀国际病毒效果好的说法更是有违常识。同时,不能杀壳,不能
2 U3 H# F- | ^/ g( X7 j- ^杀RAR,脚本拦截与杀未知病毒烂,这根本不是AVP的作风,去掉了它们,AVP根本不能称之
9 j/ H7 D/ _* I) N& }4 |为AVP。再说AVP风头正盛,哪会干出这种卖引擎的傻事?0 m1 u5 e! f( ?+ J* U3 c' d+ N' O* T
依我看,有三种可能:5 M ]' H: l9 w4 Q4 j
(a)金山只买了一小部分引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒
4 ]0 S7 \5 B" r,等于没买。
, E* n6 v5 ~1 x- U (b)金山只买了一个老版本的AVP引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未
2 y3 W7 o h4 G$ k8 z+ b知病毒,等于没买。这还是有可能的,因为毒霸老早就在吹它,时至今日,甚至懒得用一
1 W l0 l; x6 [/ E( I1 _- P个“全新”作修饰。如果真是这样,我倒想给金山提个建议:买一个KV300的引擎,然后就
4 \2 F- E6 f) E2 Y' f/ F$ O可以号称集成了KV的引擎了……
6 a- t9 ~' E% G8 N+ Q: [ (c)金山仅仅买了个名号,这就是真的没买了。
s; ]! N+ |! `4 O, { N1 d4 m' Y$ d- L 这三条说到底就是没买嘛。' P' a) a+ f ^' f
⑤压缩格式查杀:别的我没追究,反正金山号称可以杀RAR很久了,但直到推出增强版
, z% L! g$ \3 v L# l时才兑现,实在无耻。这个不用多说,大家一试便知。4 K: e. J& H% {0 K, q9 {! C
⑥内存杀毒:前面的评测里讲得很清楚,不用多说,反正很多人都有毒霸报警却发现狂点
$ u- m& Z# }" w. w# N; x也清不了毒的经历。不能内存杀毒也罢,金山竟敢再加一句“带毒杀毒技术,无需启动到8 J- g% z; b& D. p
DOS状态,直接在Windows环境下清除病毒”,真是厚颜无耻。每当我向金山售后服务问起) X, _6 D! @+ F1 s
这个问题,人家都抛下一句话:“你到DOS下面去吧”。可你要知道,毒霸DOS版杀不了NT( w( C9 B% B, t5 x! K: c- ?$ Z
FS呀!
$ U6 v( D/ g1 O% P ⑦硬盘修复:修复CIH与Opasoft造成的破坏我倒没话说,虽然我没试过,但号称修复
+ V: N5 F; a) W8 wHdbreaker造成的破坏就肯定是胡扯了,实在是不自量力,我甚至怀疑这帮蠢货有没有见过+ [7 s$ k `6 u+ m/ Q3 k5 q/ }" [+ Z
Hdbreaker。如果大家嫌自己电脑全是垃圾,也可以试试,反正我是很想在金山的每台电脑& A- k& u2 h& z* }1 F6 ^2 t1 m
里都放上一个Aspack加壳的Hdbreaker:)
$ J/ V* `7 i- b4 Y. g9 N 顺便骂骂网镖:
- r! L) p2 | T5 ^ ^) T ①作为一个规则过滤式防火墙,规则设定选项是它的灵魂。网镖的规则设定选项直到
4 s, a$ @6 A2 x* Z" M) F# w今天也是最少最不全的,连设置繁琐的瑞星防火墙都比不上,还敢叫“个人专业防火墙”
" ^! ^5 [1 z& Q, n4 n?我宁可用Windows自带的防火墙。% K! n0 q! o' V; @) W% k4 l7 d
③很多人都知道,新网镖有一个功能,可以自动拦截木马并报警。这功能看来似乎有
6 q' \& v8 m5 [% x8 c/ @用,但实际上是屁用没有。试想一下,网镖可以准确地报出木马名称,这肯定是人家动用5 v$ K0 p8 V6 A& G! r# p+ f
了毒霸的引擎杀出的已知木马。要杀便杀,金山却多此一举,实在无聊至极,是明显的作
: X1 K8 ?+ c( C0 U4 v秀行为。
+ I' K' J) ]; G# p ④金山网镖几乎是一周升级一次,但相信没有人发现过其中有什么变化,肯定是假升5 y2 A" v" _* s
级。惟一的例外就是某次升级后,网镖会对冲击波报警,可我等早就打了补丁,要它作甚
0 ^& \, m; X0 n8 f6 {8 O?可是这个“内建规则”哪里都没法把它关掉,只好让它产生一堆垃圾日志。
# T1 K$ N( s- [( O5 J$ Q: d0 J 大家如果要用规则过滤式防火墙,那就用天网,试用版也行。如果你不嫌麻烦,那就1 G0 L0 s* ~/ `
用BlackICE。不论如何,就是不要用网镖,又花钱又受罪。6 |' Y7 A( h; U
2.金山那帮售后服务的人实在太菜,以下是经典问答:
0 Y7 H6 \, K8 q7 z$ r& @ “毒霸怎么杀不了RAR?”“你到命令行下试一下,应该可以的……”,“毒霸怎么杀
3 i6 A9 G4 `0 m5 l2 f4 I不了××病毒呀?狂点清除也杀不了耶。”“你到命令行下试试……”(小子,你们那个
8 f6 r2 b+ D9 ?( x( z, ~很牛的“内存杀毒”呢?),“听说现在加壳木马很多耶,毒霸杀不杀得了?”“(有点5 g) {# D" Z4 k) R+ p+ g
犹豫地说)应该可以的……”,大家还是自己实验的好。
$ ?* E, @& _& t* n. \& _8 p8 M 3.有了以上几条,金山也仍然不能在众多骗子公司中“出类拔萃”,不过这一条可以
" B3 Y; t/ f, z. f/ P. Q e改变这一点。8 v* D% j+ t' C
众所周知,毒霸6增强版加强了杀木马能力,号称可以增加查杀15000种木马。可是大2 t+ a2 }3 {! V$ {" b* }3 D
家是否想过,这多出来的15000种木马是从哪儿来的?是从地里冒出来的还是从天上掉下来
+ ?. }8 y/ Q/ }+ h8 M4 t, a5 V的?显然都不是,金山获得木马的途径只可能是来自上报。这也意味着金山扣押了大量的9 N# @, q% \* l
上报木马,以便进行这样一次市场炒作。本人这个说法绝非口说无凭,因为我与我的许多' K# U6 G' ~& h2 L+ @
朋友都有相关的体会:(其实根本就不用这么多,金山的广告就够了,自己仔细看吧)
+ m+ A( f. F/ s Q" @1 s$ q `
7 B" h# ]1 a7 _2 Q) i4 A) p ①半年多以前,自己在电脑里抓了好几个木马,毒霸杀不出,便去上报。结果金山回6 s& m4 C! M; D8 L
E—mail说已有人上报,要我等。我留了个心眼,过了几周便把它们拿出来杀杀,可是毒霸+ H8 ^4 k( p" Z4 Q
一直不报警。这几个文件我已经弄丢了,但我希望那些给金山上报过木马的人把上报的木! t1 v3 v7 r/ m# ]
马用未升到增强版的毒霸杀杀看,相信结果很多都是一样的。& H2 E1 s% i+ {/ X4 a
②我有几个用毒霸的同学,在升到增强版后的那几分钟,电脑竟不约而同地报警说发; P( G; R$ C! L
现木马。由于各种条件的限制,我只能搞到一个样本,不过相信这种情况一定为数不少。
6 y- g% A# S# U6 m! V$ U8 k大家千万不能上金山的当,像我那几个同学一样,还以为增强版的能力很强呢。 i3 ], y: W$ ?& O* ]# `4 d
不管怎么说,毒霸的木马专杀本来就垃圾。木马专杀仅仅可以检查EXE关联与AUTOEXE7 d$ A- }6 W3 w1 ?7 E
C.BAT以及CONFIG.SYS,比民间的“木马分析专家”差了几千倍,不能杀壳更是让木马专杀
6 d6 W+ V2 D: }! D& j' P: W" w成为了废物,加上扣押的15000种木马后,病毒库齐全度才达到KV的水平。
# m& u. \( \: U% g6 I% z “木马专杀”肯定是一个蓄谋已久的阴谋:全球每天才诞生200种病毒木马,就算它们
9 N# P$ d1 b) I" x4 p全是木马,就算它们全部被金山收集到,那金山收集15000种木马也需要2个半月……而现
. L/ N' z# m% M# H在金山更是把15000改为了20000,所以……
+ }" E: ^. v2 ]4 {3 k% Q 不得不承认,金山公司在国人心中的地位的确很高,但那仅仅是因为人家最早出现,
; R* O( q8 |9 m0 P而这并不能说明人家的产品好、信誉好,那只是国人的想当然。在雷军上台的这几年,金. i* w' M8 B8 b" ~0 e8 m
山广告的确做得很火,但软件的技术几乎没有长进。这就不止网镖毒霸了:金山词霸20055 N. Z7 @: b/ |9 N2 r- j; j5 V( v
仅仅是2002版换了个界面与发音库,词条中的错误却一个也没改;金山快译虽号称智能引+ [# c- Q6 C) Y+ G8 p' z
擎,但翻译效果却一直未超过Office2003,而且是差很远,几乎只相当于把一堆词拼揍起3 w) |- {6 }. V& _! r0 B
来,据网友说,金山快译2005会把“Counter—strike”译成“计算机罢工”——妈呀,人
7 P, ?; R' W, D家就是翻译成“柜台罢工”,我都不会介意的,可是“Counter”怎么跟计算机扯上关联了8 Y4 ?1 ]/ G( ~4 e4 b
?至于WPS,我认为也没什么好说的:WPS花哨的功能越来越多,可是时至今日,WPS仍未实& `7 o) j) x' Z* G$ O
现电子表格中数据同步变换的功能,(即改一个数据,相关数据自动完成更改,这个功能
# A/ R9 y: f- i是必备的)仍然需要大家自己一个个手动更改。而此功能在Office里面早已实现,这很是, A9 v: W, t; k/ d, \
说明问题。
[& Z5 c# w+ k8 Y+ }* z& @* \" d 以上的说法并非本人发现,它们全都是网上已有的说法。综合起来,大家便可轻易看# ]- m) B" k! [6 M4 U1 E
出金山的底细。
7 ^( t3 V" ?2 X" L( |* t, |8 w: ` 当今骗子公司虽多,但也没有任何一个有金山这样明目张胆地坑人的,尤其是“木马
% Q$ n" g# m' V% x- e; _! p3 k专杀”一事,炒作疯狂,全国媒体一齐尽献媚词,其设局构思更是伟大到了史无前例的地$ m8 H) e8 M- ]7 G7 b; h
步,那个大名鼎鼎的网E拍又算哪根葱?知道有人会想说当年江民的硬盘炸弹事件,那的确
8 m- m, l; }( N0 A$ i/ ~1 g- L也是一个非常恶劣的行为,该骂。但当年的网民并不多,所以上网下载升级程序的受害者
$ v6 j3 c* ~9 N* k' J并没有象大家宣传的那么多。再说那只是针对盗版用户的行为,(我没说这是合理的)而6 G* p4 d" k: p9 m& B
金山则是拿众多信赖金山的正版用户开刀,论动机金山显然更加无耻。硬盘炸弹事件早已
; c8 M# L9 A2 E0 z5 O, c被公布于世,金山的“木马专杀”事件更应被公开在光天化日之下。至于两害谁轻谁重,
% X+ {5 ^ T7 w5 U n' j5 h那就是另外一个问题了。
/ v( Q/ F2 a/ c8 D 但是,大家不要忘了,以上一切的一切,如果没有IT媒体的撑腰,都是不会发生的。
+ o( y# D2 H, m大家不要把当今的媒体看得多神圣,多有光彩。人家不是搞舆论监督的,搞舆论监督的也9 A" L1 g4 Q) O; C5 q' R. Q
不懂电脑。当今的IT媒体在面对谎言时,从来都没有打过头阵,从来都只是论坛的跟风者, O) `& j4 s5 |& j; X4 F( _( ?* O
:3721、网E拍,它们全都是在网上论坛被骂得一塌胡涂的情况下才有媒体出来说话,有些
3 }9 J0 v- z; m. H媒体更是直等到3721推出新版上网助手才出场,趁此机会做“评测”说3721根本没卸载方
. g( }5 ^1 p! Q2 E) _1 x7 D面的问题。(鬼知道这年头他们收了多少金山瑞星的广告费?)
& _0 |+ p4 \- U" R0 l 他们从来都缺乏说真话的勇气。当金山瑞星“论战”之时,他们几乎是一言不发。不* D* i- {! P, ~
要以为这是什么“清高”或是“公正”,在金山瑞星无数漏洞百出,毫无水平的“论词”
$ m5 Z8 t* T1 ]/ a- V) p' o' p+ U面前,真正丢脸的应该是他们,这种无作为对于一个真正的媒体来说就是同流合污。这些
" T5 n* X! K$ d& d年头,他们又不分青红皂白地给了毒霸瑞星多少虚名妄词,多少沾着读者血汗钱的“编辑
- R% D0 x/ E2 N5 H; |; E选择奖”。试问天下谁是真枪手?他们才是!2 z% J, w( }) J" T4 v& I) s6 ~$ p% \
上文中许多发现其实并不是我的原创,像瑞星漏杀问题在有些论坛上早已有人提出,( e7 [2 C9 l1 N5 W
可是至今日,仍没有媒体敢提上半个字,足以证明他们的懦弱。看看他们干了些什么吧,0 B* Y! t v: ` P6 {2 |, T' S
整天仅仅是唱唱瑞星给它们的那首老歌:“半个月以来,病毒A和病毒B这两个病毒值得注$ _9 ?( g5 t% \9 R2 ~2 O
意。病毒A试图/会/除了会××××。病毒B(则)试图/会/除了会××××。可以上网的) _: u/ Z. n8 d9 b6 w0 M
用户推荐采用在线杀毒方式,快速查杀这些病毒,也可以使用单机杀毒软件2004版,局域: l$ g" ^/ S4 M( h6 L2 p2 c3 g, \/ N
网用户最好能使用瑞星杀毒软件网络版来彻底清除这些病毒。《瑞星在线杀毒》无需升级
% a+ r5 \% B0 I' ^、《瑞星杀毒软件2004版》和《瑞星杀毒软件2004下载版》每工作日常规升级,遇紧急病
# ~9 ?8 P% T8 D2 _% ?- {8 s毒第一时间提供解决方案,每周升级的新病毒总数不少于400个!截止到×月底瑞星杀毒软
0 f' k, T% M% h$ e. k7 s9 p件将升级至××.××版本,望广大用户及时升级。如遇病毒,请拨打反病毒急救电话:0$ h0 ~ B3 H4 [1 d4 c0 O
10—82678800或使用瑞星在线杀毒: http://online.rising.com.cn”这堆破玩
7 L- a g9 [4 T n2 W. p& V5 _4 I& R" U意儿对我们有何用?
C# I7 ^% u% w s* ?: W 毒霸瑞星的地位并不是真刀真枪地干出来的,它们靠的是无尽的谎言:媒体的谎言,9 T) ^: y Q- Q& M. `
公安部的谎言,它们自己的谎言,颇有中国传统的“官官相护”之形。这正是看似简单的
2 a: J& M0 U4 n+ P杀毒软件背后不可告人的黑幕。* R. G: @) K; ~, z, r8 I% l5 M
(以上观点只指截止至10月初的现象。同时由于取证时间较长,难免有疏忽,敬请指出)) c- I3 u/ J) E" n- M4 x' H5 e7 X& W9 Q
申明我不是江民内线- I a+ l9 s1 h5 _, Q
[此贴子已经被作者于2005-2-20 19:43:19编辑过]
# j k- [+ n6 ?& b: r |
|
/1 
IP卡
狗仔卡
发表于 2005-2-19 20:57:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2005-2-20 10:51:00
发表于 2005-2-25 02:08:00
发表于 2005-3-12 03:46:00
