|
|
6楼
楼主 |
发表于 2005-2-20 19:42:00
|
只看该作者
|
【转贴】杀毒软件背后的黑幕
- ^2 O1 ?4 [8 o" A, u7 ?3 Z& o7 _1 [! J- y+ A" o6 ~6 Z; |/ ?# k
杀毒软件背后的黑幕——中国最严重的信息安全问题4 }! z2 Y' t! }) c3 z, y
翻开2004年第18期《大众软件》,那个杀毒软件市场占有率排名让我百感交集:毒霸
7 {' b, r1 K4 W38%?瑞星29%,Norton14%,KV11%……,不要以为这只是几个简单的数字,这后面有太多; Q9 X, ~ O+ x0 p+ A( [+ N
的故事,一时,竟不知从何讲起。这样,我们先看看各个杀毒软件的真实能力。(本评测
- g5 O3 h# c" t o- a中KV指KV2004)
) @, m1 n9 ` a 一、病毒库
9 ?0 @3 K* x3 v. w 这些年头看过许多评测,有民间的也有媒体的,几乎都是以病毒库是否全面为依据。! M# m0 L% O. a# `
这是非常不科学的!暂且不说别的因素,我认为用杀毒软件对一堆病毒木马一通乱杀最后
) n. P9 s1 q! q- [仅仅以检出率论英雄,是一种对读者不负责的数字游戏。 U S0 r( v7 w: w9 O" K! @2 d7 R {
举两个最简单的例子,你有用过Norton去杀黑洞2004吗?不说别的,就说最有影响力
! C$ D! j' w i' p8 ]的0815版,Norton也是怎么杀也杀不出。这完全不是什么巧合,Norton如果杀n年前的经典' S& g/ d$ K, T
木马冰河84,也还是杀得出来的,只是会在隔离区里加上两个字作注释——罕见……
/ J- D. F" t1 E; {3 g7 _9 ? Norton是一个非常典型的例子,因为在这个方面的问题Norton是最明显的。不过其它
, V# z- p% X. l的外国杀毒软件也好不了多少,哪怕是那个公认的杀毒王兼升级狂AVP,大家拿手上那帮大
% G# m L/ ?$ ~$ W9 }- V马小马自个儿试试吧,保证叫它们死得惨不忍睹,AVP那么好的引擎又有何用呢?(据说当7 Q6 V( s2 T& a1 e1 M% \& J' x
年因为Pc-cillin杀不了CIH的某些国内变种,所以有人就……): C( x5 l2 c' X) R. M8 D
就是不算木马,各种蠕虫变种也够这帮老外受的,其中最典型的就是Lovgate系列了。. ^9 g) E3 N5 S1 |$ |6 a
有些用Norton的单位就算是天天更新,也总是不如它的变种来得快,甚至面对有些n年前的
; ?$ z: s; y6 T+ E) C# h- T, b0 Q. W# x# s国产病毒,那帮老外也一声不吭。
8 V+ _# _$ x& ?, O( U 综上所述,我们只能得到两个结论:1、面对众多国产病毒木马,外国杀毒软件只是一% p! z$ y. l* J) L2 y
帮废物;2、以检出率论英雄是一个彻底的错误,因为一个1%可以包含很少的东西,也可以
4 h/ e6 d+ b+ M& Y包含太多的东西,同样的检出率,一个可以杀灰鸽子,一个可以杀Beast或××国外二线木
! F& H4 u5 `1 {6 U马,你会选哪个?. k1 I# a5 E6 s6 i; G3 a
虽然如此,但如果检出率相差太大,那就是另一回事儿了。Norton的病毒库是非常不# v8 L* [- h4 A4 ~* a1 r: i- ~& s1 j
全的,尽管在杀木马时与其它国外杀毒软件差不多,但在杀病毒时检出率相差实在太大。
0 A4 x0 Z9 D3 k在许多病毒库比较齐全的评测中,(不包括公安部)Norton总是在最后几名徘徊,远远落
3 w! ^9 |9 I @在其它老外后面,甚至在有次国外媒体评测时仅给了Norton6.8分,(满分10分,,AVP9分
# V6 s4 e, [: J# a)简直是……& V, @4 N- J: r2 ~* [- w
至于瑞星的病毒库也好不了多少,经常在民间评测中与Norton一起垫底,惟有木马库
$ W; M! S s% m, X% d7 d+ y齐全了许多,所以其杀毒能力可想而知……当然,瑞星杀Lovgate这些国产病毒的检出率显
1 I% p4 j- A4 I; b. j' ]5 |然高些,但木马不同的是,病毒是会自我传播的,所以国外病毒在国内照样常见。于是有
! |9 K9 \4 h' q! R3 r一次,我的一个用瑞星的同学在用Norton扫盘时扫出满盘的病毒……顺便说一句,当年瑞
! U7 d: F e: ?# o星2003时人家可是一周一次升级!在这个方面,只有KV与毒霸过关,其它的实在差太远了
* F- p7 o" F- w, g。5 m2 M9 t) W; \- e+ Y
二、杀壳能力
% K+ A7 U9 z9 Z: \# Q- D* m 在我看过的评测中,基本上没有哪个把杀壳能力放在眼里的。事实上,没有杀壳能力* g) \3 `) q3 c1 C1 M
,一个杀毒软件在面对木马以及病毒变种时,基本上就成了废物,有谁用马不加壳?有谁
; b+ X! G0 U) S改病毒不换壳?只要人家有意,你的杀毒软件一瞬间就可以挂掉。(近来网上有传言说加
8 V3 |: s. g$ j' X' |了壳的木马自释放时会还原,这个说法是假的)经本人实验,各大杀毒软件杀壳能力如下& v" D: B8 d9 J" J) m6 |" _
:
4 p9 S4 J5 z: R9 M7 X McAfee及大多数国外二流杀毒软件:UPX
0 j `9 l$ b. g5 } 瑞星:无7 A3 H2 W) G* M+ ~/ a$ Q& j& u
毒霸:无/ m& [( r9 S+ d
Norton:无
+ }3 i0 \8 I4 U% o4 G$ L' a* l AVP:大多数流行壳
$ z5 s7 \. }1 T0 @: G$ w3 _ KV:大多数流行壳
, Q5 B7 j6 d5 ?! B UPX是一种免费软件,所以支持杀UPX无需交专利费,如果一个杀毒软件连UPX都杀不了
8 Z4 l+ p$ t+ j8 j,那只能说明他们那帮人偷懒。当然,无论如何,没有杀壳能力的这些杀毒软件会轻易地
+ I$ {& W; t9 U5 b" [" p/ F让你死翘翘的,所以大家今后必须重视杀壳能力。& y9 J s. j3 X3 r- @
' ]% ?% x+ R$ U: R9 {
+ Z- t5 b" i+ m& t' r& H
' h; l8 L) F6 s1 j; X' v! [同样的木马,一加壳便是不同的下场
# C5 V6 h' [# B- g3 {8 p1 X三、清除能力
9 B* Z# p1 ?& X 不得不说,任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不
! F* _0 s6 b- X2 N理想,不过由于在杀毒过后这些文件都成了死链接,所以随便找一个清垃圾文件的软件就3 n6 l* ^# a9 P1 ^/ i
可以了。
. l# u' u0 v( Y; l 其实关于清除能力,大多数的杀毒软件都差不多,不过倒还是有几个特例:! P/ s# ]+ x6 o) t5 y$ f
瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下,杀Lovg. ~$ r2 v& M! ^% h: A4 [! a) A
ate用了2天,杀某蠕虫病毒用了一周,杀folder.htt病毒用了超过一周时间也杀不干净,
5 M5 G; G2 w+ L" ^+ o最后只用搜索并删除同名文件却杀干净了!明显是跳杀现象。
5 G- w& Y% P0 ZNorton则是一见染毒文件就删,实在令人怀疑Symantec的人是否学过汇编。另外Norton在( ]! B7 T0 S* }% c }
撞上一个病毒在内存中的进程时,竟经常不会自动关闭,需要你手动关闭,而其它任何杀
' F' P3 d2 r6 A7 I- ]毒软件大都有此规则。
/ E# h6 q8 x) I5 P+ m! z5 _ 四、内存杀毒及DOS杀毒+ d$ r: ^( O, k# D
当今国外杀毒软件基本没有再提供DOS杀毒的了,所以面对dll进程守护式的病毒木马
% J+ _9 O( Q& p! J就只能到安全模式下碰运气了,并且有时还会失败。相比之下,毒霸、瑞星、KV都有DOS杀
8 H! Z" v. [, b( i6 W毒能力,只是毒霸杀不了NTFS,KV可以杀壳。5 }5 N( h3 i# N, `4 c2 D
国产杀毒软件都号称可以内存杀毒,但大都只是实时监控加进程关闭的换汤不换药,+ Y$ F3 ?( r n- J _# i
杀不了dll进程守护,甚至不去检查调用的dll文件,等于一个功能没加,只有KV一个一个
# B+ p# N! V d! I; \+ M" ndll地检查,并有查到毒后反复检查内存及必要时自动开机检查的功能,dll进程守护的病% \& u1 t( x) g
毒木马基本上都可以挂掉。实话说,只有KV的可以算有内存杀毒功能,其它的都是吹牛。. V1 C* ~, n9 E6 U( j) ~
) s2 [4 B7 ~; ]0 h8 { 五、实时监控1 \6 J. j* l, I( ^4 d2 }, s
当今的杀毒软件几乎都要吹一吹自己的实时监控,但实话说,没什么稀奇的:一是对
- M- K. d- X0 G$ R' Q- O, X" N进入内存的程序进行扫描,二是预读。(解压时查毒属于第一项)第一项没啥子稀奇,至; C* O' f1 h/ K) K: h( q
于第二项,国产杀毒软件的速度大幅超过了老外,的确可喜可贺。
7 _- i# Z" q( g a+ q+ ` 尽管如此,不得不说说KV。KV的实时监控技术,即“动态比特滤毒”技术实在是太强 I6 S5 Y e! p0 r$ ]# b T
了。为什么我一直在用Net Transport呢?因为在打开KV文件监控的时候,KV会自动对进入/ @ j; S5 v' W8 `/ |
电脑的文件进行扫描。如果是带毒的压缩包,KV会在下载结束的一瞬间报警,如果是EXE或
* ~' S: f/ z+ b" J0 dDLL等,那么有时才下载到一半就会报警。另外如果你用Windows搜索时开KV文件监控,KV; n J+ m5 N) W$ P3 k7 \% r
会顺带地扫出很多东西,(前提是你硬盘上有)上次我就是忘了这一点,结果把自己的黑
! p0 ]: w! @5 J$ [8 Q0 c0 g软库一大半倒进了隔离区。(开个KV在网站上防Asp木马,爆爽!)
8 q9 g! z1 D) H& T& k 六、杀未知病毒能力( [+ ~) V/ y/ q- o/ |5 Y7 g
当今的杀毒软件对这一点都“非常重视”;所谓“重视”就是大肆做相关的广告;行
) E2 m% Z1 a8 }& G, H( P$ C! E为判断、虚拟机法、智能跟踪……如果这些都是实话,那么面对一个歪壳压的病毒,杀毒$ L7 F0 p. H/ Q8 F( T
软件们理应报警,但事实上没有一个杀毒软件做到这一点,这些谎言也就不攻自破了。当
6 I$ R3 _% j5 v+ D5 j$ u今的杀毒软件的防未知病毒机制其实只有启发式扫描,即仅仅是扫描文件中的可疑代码。
?( U# Q& J' }6 H( U4 z _: n$ _' L也就是说,如果解不了壳,再强的启发式扫描引擎也什么用也没有,由此,KV、AVP的表现
* \* B, C/ a& M6 n; _) T, B大幅超过了其它的杀毒软件。在加壳病毒横行的今天,其它的杀毒软件几乎全是吃鸭蛋。
! s* d: B& B7 s9 N- ^2 f. {5 }; c& k7 N4 s2 B# S3 p
不论如何,毒霸、瑞星和AVP的误报率都算比较高,尤其是前两者,几乎只有误报纪录! ?; {! k& G: s0 F! i
,毒霸的实时未知病毒检测甚至会干扰到已知病毒检测。Norton与KV到目前为止我也没发/ D# p* Q- H# N
现误报,不过Norton的未知病毒检测也不乍地,只是比毒霸、瑞星强了许多。
1 W6 E# l' t" E) p 不看误报率,只有AVP与KV的能力令人满意,AVP自然不用说,人家可是启发式扫描的: h6 ^% L+ ^$ @7 c) h2 H
鼻祖,具体能力大家也清楚。事实上KV也是非常强的,只是可能大家不知道,最经典的例3 y7 i5 U' h5 O2 Q1 T7 a) z+ T- u
子就是当年的KV3000不升级就可以挂掉冲击波!不过据说KV未知病毒检出率略低于AVP,也8 Q" n# c6 u$ U0 J3 R' P! K$ h7 F9 E
许这是为达到误报率为0所必须牺牲的吧。/ K# ?+ W* Z- t4 ~
大家注意,哪怕是KV、AVP,它们杀未知木马的能力也为0,也许它们一向都只是在研
. h2 @( h7 ^& h; _2 V3 p究病毒吧。若要杀未知木马,大家一定要用****,据我实验,****是第一个采用行为判断法
) V; H2 L$ I( Y' `的安全软件,同时有超强的专门对付木马蠕虫的启发式扫描引擎,对付加壳木马也非常有/ P0 n0 b: I/ W3 t7 s. w8 v
一套,实为史上最强的杀马软件,曾被ZDNet评为年度十佳软件……如果你用过老版本的*; i9 d, m8 O. _# G2 J
***杀当今的黑洞灰鸽子你就知道了。不过这有点扯远了。
2 [8 y' {6 l2 Y' r" `% i 七、速度
( z/ Q+ R4 f5 L! }: t 首先对毒霸的“闪电扫描”提出质疑:$ m! h8 U# O# x1 m. l4 v6 S
①有谁愿意为了一点点时间而仅仅去扫某些病毒呢?安全至上呀。
; \5 z. ]! l8 S: C5 U% { ②病毒经常是相互附身一齐出现的,这可是常识呀。
x1 @' b5 D# O1 x6 \' v% K3 [9 G ③鬼知道它扫的是哪100个病毒?* k7 b2 R0 R R4 E
“闪电扫描”顶多是一个花哨的噱头,基本上没有人用,大家不必理会它。大多数杀
2 B. ]' o. H; q/ X; i! [$ g7 M毒软件速度都差不多,可以接受就行了,不必排先后。不过AVP由于支持杀壳,所以在开了7 |, n0 {: m2 R9 g i" V
杀壳后速度慢了很多。但瑞星令人实在受不了,慢得甚至出现了专杀工具速度跑不过其它
; A& P3 c9 { ~8 \完整杀毒软件的奇特现象……。KV还是令人佩服,又支持杀壳,速度仍然很快,着实先进
. F2 I; x( W5 N" X. s- _,不能杀壳的毒霸扫再快也无法动摇这一点。3 p9 _) i2 W# f+ [% V
八、集成度+ G0 f7 q0 U4 Z$ S
老外们在这儿不得不出局:不支持QQ?Game over!; t1 b- u2 o% C" [; S) k* g$ n
KV的集成度肯定是最高的:有了动态滤毒,KV等于是支持了一切聊天软件与下载软件8 Z. L V3 U& U1 R0 O
,同时效率最高,名义上不支持QQ算什么?) t" D0 Z2 u+ p* y+ Y2 v9 b `0 B# R( U
毒霸及网镖在一次死机后图标全会消失不见,极不方便使用。瑞星用DLL进程守护解决1 }! t. x9 t: `
了这个问题,不过同时也带来了无尽的资源占用与冲突问题……) a/ a9 D! x* G& p
九、压缩格式查杀支持(出于实用,我们只看ZIP与RAR)
8 S7 U d. J5 x, R: | KV:普通ZIP、超真空ZIP、RAR
' v( u% e, T7 s, j; B AVP:普通ZIP、超真空ZIP、RAR
8 K5 ^" X0 U8 M2 P7 U" V 毒霸瑞星:普通ZIP、RAR7 z( o: j! z( x* c6 d
其它大多数国外二流杀毒软件:普通ZIP; d; e/ ^+ J. X: u+ l( P5 Z4 {
大多数外国人都不用RAR,所以Norton与McAfee等都杀不了RAR
# _1 p# @( x, d4 i 十、资源占用与冲突:& j# g3 ]- ]) A% i, X) z i
KV与AVP资源占用最小,获得广泛好评。Norton毒霸一般般,但开了QQ后Norton资源占6 o: [6 c" l5 w W3 Z9 D9 J
用暴升……瑞星这方面问题极严重,不仅是当之无愧的冲突王,也是万“死”不辞的资源
2 f2 @. o( h9 C7 p$ e占用王,有些配置稍逊的电脑在开了瑞星后,(只装瑞星)弹出右健菜单竟需3—5秒……另' [% x* g. v* M- Z8 M0 T
外好象有一个说法,就是装了瑞星后装其它杀毒软件,基本上都会起冲突:装毒霸后不开实
7 [9 Y9 J7 b8 Y5 r时监控系统也爆慢,网上有人把Norton这样装则是根本进不了系统。当然也有例外,就看4 N4 C2 {/ ?# n, Q( P! N$ r6 H
你的造化了。
8 i( _3 w4 [/ R: ?# z 总结:Norton实在太废,除了公安部和某些菜鸟,几乎是人神共诛,连外国同行都不
# H: \- `* R5 g F以为然。(6.8分,妈呀!)虽然Norton是实时监控的鼻祖,但却不思进取,活该。大家若+ G' H' q9 T& }! O# T! \
一定要崇洋媚外,那就请用AVP。不过我一开头就跟大家讲得很清楚,非本土化的杀毒软件0 Q5 x; B* U! c* Y( _7 r
的下场嘛……
3 M7 w4 I9 J J- j4 ]6 x/ U 毒霸的表现勉强算二流,面对加壳木马还是太嫩了。瑞星则是我见过的最废的杀毒软
! ~; v4 B& X2 t" i件:毒库不全,耗资源,易冲突,不杀壳,速度慢,跳杀!这年头民间防病毒软件非常多9 C0 J& p5 L1 r# }$ |
,大的有十几兆,小的只有几十KB,没有一个有跳杀的问题,扫上7天对它们都算神话来的! R! P' D, ~' P
!毫不客气地说,这一点可以让我们确定,瑞星是全世界最废的杀毒软件——谁不知道跳
7 a5 a7 i' c5 k- |1 ~' U杀意味着什么?
" C* H/ Q3 `9 ^8 g0 T* k* e 至于我对KV的评价,也绝不是一家之言。有许多国外媒体都在吹AVP,但这并不代表A' ?. b+ A0 e# f6 l# ?! n
VP比KV强,因为大家都没见过KV,惟一的例外是日本人评了一次,结果大家也知道,KV获
2 s% G% `$ j2 ^2 F4 ]6 G胜。与此同时,国内大多数的黑客专业网站推荐的也是KV。这跟本文的结论是一致的。KV$ D' V) M% y# e E
如果做好了国外病毒木马的收集工作,届时一定可以在国外压过AVP的风头。: c+ T! n8 K/ o% {. t" ]" K
我个人认为,本篇评测,是当今世界上最科学的评测之一:2 U2 P5 |0 t& v8 J. F) K M$ Z
1.一个评测如果只看重病毒库,那么只说明这帮人压根儿就不知道木马加壳术,不认
0 Z$ |* r3 J4 O: m1 r$ ?可加壳后的无敌木马的危险性,甚至连瑞星的跳杀问题都看不到!
2 m$ @) N1 }/ y! l( d 2.一个杀毒软件的能力是有限的,并非一个数字可以代表得了,正如水浒英雄的能力/ f1 g$ H: t& o3 N6 {( U _( k* M
并非那些“水浒人物卡”上的几个数字可以代表的,另外国外杀毒软件杀国产木马的狼狈
' r4 ^3 J9 t5 x' y. ?0 E相与评测时得到的检出率与分数完成不成比例,也能很好地说明这一点。一个真正合格的! a( c+ j8 l1 r. |& M
评测应该是把各个杀毒软件的优点缺点都列出来,让读者自己去按自己的需要来判断,最
: i3 C7 w$ d* L' o& G* N, f$ A多分不同情况给它们简单排排名。9 Z4 D% G6 s' g( ~; }9 U* L
3.一个评测如果只是泛泛而谈,而不分出杀毒软件的优劣高下,这只能说明这是一个9 t3 U: p/ n& d3 y
广告大串联,而不是什么评测。本评测中出现KV一边倒的局面并不能说明本人的方法不科$ t& r/ J7 ~& y+ @
学,反倒说明其它的评测根本算不上评测。" M3 d$ K/ m% P% B( l. A/ o
4.最重要的一点,本评测一切论据与细节都是公开的。(比如病毒名称,评价原因)
* F/ H% }$ k# _& B8 ~+ a就算去除一些口说无凭的个人经验,只剩下大家可以自己操作自己实践的部分,大家仍会
% A. h6 \' S4 Y ?6 [9 \$ [0 ~得到同样的结论。本评测的真实性无可怀疑正基于此,大家尽可乱试。/ |/ @. i& `/ v$ `1 ?) l
如果仅仅是做个评测,那么离“黑幕”就差太远了,但是事情远不止这么简单。我认
0 a$ t @: b; k( P: X为,如果压在KV头上的是AVP,我认为大家还有些讨论的余地,但我们可以看到,排在KV之
; `2 l; M) J; C S5 k0 U前的尽是些垃圾:毒霸、瑞星和Norton。它们的流行与中国人随波逐流、轻信广告、做事
+ {7 | [6 `6 \' a9 c) V不细究这些毛病都有关,这自然不用说,但我认为最重要的原因就是公安部的评测。
$ }" L5 O5 d$ m8 O. ]% {& Z 公安部的评分是这样的:毒霸95,瑞星95,KV90,Norton85,其它的杀毒软件依次列
Y) T8 N( _$ P' n在后面。所谓检出率则是:毒霸100%,瑞星100%,KV100%,Norton9x%,依此类推。! S+ h( ]* G& ~" l! \8 q3 }
实话实说,公安部的评测是我见过的最假的评测,也是最害人的,因为它影响力最大5 X0 J4 g1 A0 T& `% i3 {
,随便就可以扯出一大堆疑点:+ O" ?' a# v+ T. J1 W
1.KV那么强的引擎,凭什么排在毒霸、瑞星后面?如果说毒霸、瑞星恰好撞上比较“# P, C2 E8 Z. c" _
适合”自己的病毒库,那还好说。但既然检出率都是100%,其它性能KV则是全面超越毒霸, P" @' V& g' a/ g
、瑞星,凭什么KV要比人家低5分?
) h9 i6 f! u8 g% W( G5 g7 m 2.作为史上最废的杀毒软件,独一无二的冲突王、资源王、跳杀王,瑞星凭什么遥遥
) Z* w# S0 H; w领先,并列第一?: p9 m5 a7 K$ h+ t9 @
3.作为国内市场中病毒库最不全的杀毒软件,作为一个在民间评测与国外媒体评测中( y* J. N, |! v/ S G) v8 {
屡次垫底的杀毒软件,Norton凭什么比McAfee、PC—cillin、Panda这些家伙的分数与检出2 n( A( @( O5 `* w+ V2 ~ O8 D/ j
率高?大家记住Norton当年的分数:6.3分!
8 ~" C: K1 w L# k0 } 4.凭什么大名鼎鼎的AVP不参加评测?- V5 ?' u4 F% n( j
5.凭什么公安部几乎只看病毒库?虽然民间评测有这样的,但官方评测从来都不是这
, [7 [8 w1 F1 x: J/ c5 d样的。
8 ?' ^7 Y( c0 f9 {+ l4 w5 o 6.凭什么公安部把除了病毒库之外的评分标准全不公开?6 U) a9 g% ~7 W S+ ?+ S
7.凭什么公安部全盘都在暗箱操作?& M; K/ ~/ L5 e- r3 x
8.凭什么会出现三个杀毒软件同时得到100%检出率的情况?全世界的杀毒软件评测,! k, L- s& ]/ h3 v3 Y* O
根本就没出现这种情况。要么,就是公安部病毒太不全,要么就是人家想搞“民族产业振
8 e4 i# ^9 d" t; s" w. e兴”。
2 e; w2 u( s2 s+ z4 \……
8 V% B7 \. D( V, r5 Z4 \: q, C 疑点多到了让人几乎可以窒息的程度。研究一下杀毒软件的历史,发现公安部评测实2 v3 }4 x1 ~8 O: @
在害人。& _/ ~* T8 z f [: ^, @( b
众所周知,KV是早期中国最著名的杀毒软件,一度市场占有率遥遥领先,今天却落到
4 [0 d: b! r' K1 Q7 G了这个地步,难道是技术问题?KV的病毒库一直是全国最全的几个之一,未知病毒查杀当, m Y2 z* u- m7 C- G! O" o9 K
时在国内更是无可匹敌,而且早在KVW3000时代就可以杀UPX、Aspack甚至WWWPack这种偏壳
1 e, { ^! F' Q,恐怕只有AVP称得上对手。虽然对Win2000支持不好,但当时又有多少人用Win2000呢?那! r' _. t1 \# ?0 c
时KV的UI的确很差,但有些人认为KV那时用的是KV300的引擎,则纯粹是以貌取人,上面说$ C- [; K1 }2 o, [
得非常清楚。然而公安部从那时起便不给KV好脸色看,KV于是便一落千丈,落得今天这个0 e6 s9 b$ t3 i( p) s
地步。(硬盘炸弹固然也是一个原因,但今天还有几个网民记得这件事?还谈何影响力?
9 J6 D6 I6 D/ ?: ^! r1 n* `再说,公安部做的可是评测,而不是历史清算)可是直到现在,毒霸、瑞星除了支持NT内1 a: V: k2 m% u& c" V) @1 B
核实时监控,几乎什么都比不上当年的KVW3000,足以证明公安部评测的胡闹与破坏性。前
0 I4 ]- h) V5 a" g面说了,KV的文件监控本来就可以达到QQ、UC、POPO等防毒功能,今天却在KV2005中特意
/ W! |1 z9 F% v! V3 o$ e# W“加上”相关功能,不得不说是一种无奈。
5 V& ?, r" y9 Y+ B5 Y" a KV的下场并非最惨的。有些人可能还记得当年有一个很著名的杀毒软件——行天。行
: b4 G* ~8 g% \- u/ d天虽没有KV的强大引擎,但病毒之全实在是出类拔萃,几乎一直是全国第一,而其它的任$ [% j# F$ Q2 L$ j$ ~
何方面也不逊于毒霸,跳杀的瑞星更是不用说。安全之星XP(VRV)也一样,至少人家比瑞4 X2 F6 @. L& y7 ]3 N3 B6 B
星毒库全,速度快,又没跳杀问题嘛。可是就是这样两个杀毒软件如今却销声匿迹,公安
' N, _, _4 C; J- r& A* n2 t% O0 {部显然脱不了干系。
- J# _ Z; L& H4 v在这样一个节骨眼儿上,我不得不为KV说话——如果KV哪一天像行天VRV一样被整垮,我们
9 y( G$ y) Y& B6 O中国还有什么可以拿得出手的杀毒软件?我们如何面对微软的进军?我们如何面对今后出( P- N6 P* F# \" `
现的彻底本土化的国外杀毒软件?网民们轻易相信广告固然是个原因,但如果没有公安部7 o) F' t* c3 v+ E; \
的评测,网民们会这样吗?
' |5 G) Y" U8 Z) o; i, { 一切疑点表明,公安部评测并非乱测乱评,而是有非常非常强的倾向性,是明显经过5 g1 Y) q: M% T6 G) H
人工操纵的非常明显的作弊行为!毫无疑问,这后面还有太多的故事、太多的后台、太多. A& o$ o% X9 F( Q# l6 i
的黑幕、太多的权钱交易、太多的无耻。具体是谁在操纵,我也不知道,也没办法知道。
- ^; w6 h' w3 q6 L, \我只知道,它让三个垃圾占领了中国80%以上的杀毒软件市场。公安部评测,理应人神同诛
! O3 `6 o5 \7 g: L9 ]! Y' o- [% |# D% a( g
公安部固然要负主要责任,但虚假广告照样脱不了干系。; h) Y. R' P( M/ G# \
瑞星的瞎吹倒不多,但也不是没有:“第五代国际领先可扩展引擎”——作呕!不过% Y0 F* a5 G. l V! E. x# x3 Y' Z: W
瑞星还算是比较“谦虚”的,比如防未知病毒能力就只敢加个“瑞星专利”作形容词,“' `& V# Z" P2 O" m
清除病毒”之前就不敢加个“彻底”,算有自知之明。
9 ]- Q- l- i% l% r$ y% t4 v Norton倒没做广告,到底是怎么流行的,除了OEM大家也清楚:谣言可畏啊!
) F5 Y9 r- f5 {0 G/ Z& ` 最最最最无耻的就是金山了,实在是令人发指!不信请看:6 o8 K; p. _! e$ V
1、把你的金山毒霸包装翻到背面,一条一条地看:$ d; y" g3 E/ R. L% a* F' ?( Y
①“病毒处理速度>>病毒传播速度”这显然是瞎吹。6 \* D* `' h% m8 A8 x
②“网页防毒,有效拦截……”这年头窗口炸弹写法也就几种,随便一找就找到一个
) R* H4 c s2 G" j V5 Q毒霸杀不出的,(KV与Norton都杀得出)至于广告拦截更是效果几乎为0。你敢用这玩意儿; Y0 J1 M, } b( I
拦网页木马吗?
$ U+ I9 U: b( D* r h4 W9 T, N ③“闪电杀毒”前面也说了,花哨的垃圾。
5 N- T8 J: z8 r: F/ l* W ④“双引擎杀毒”金山的说法是:国际引擎是AVP的。懂一点杀毒软件的人都知道,双
2 C% y& e- O4 v& b重过滤分析是100%不可能实现的,否则毒霸耗的资源肯定不止那么多,速度也不可能那么9 Y6 [; n8 L) J2 R
快。隐含的国际杀毒引擎杀国际病毒效果好的说法更是有违常识。同时,不能杀壳,不能
- Y4 B3 r# ~9 t& T# g杀RAR,脚本拦截与杀未知病毒烂,这根本不是AVP的作风,去掉了它们,AVP根本不能称之
: H# C% X6 ?8 F2 P4 {; e9 d; Q4 s为AVP。再说AVP风头正盛,哪会干出这种卖引擎的傻事?
/ @3 l. B1 g1 {( Z( n2 I+ w9 i 依我看,有三种可能:9 Y+ G% s' r4 {4 H
(a)金山只买了一小部分引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒3 Q# I" [! X& x. ~" t0 A
,等于没买。
8 X4 l( x- i3 ?. o2 l (b)金山只买了一个老版本的AVP引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未
, m6 ~1 M9 k- `' [ P4 \知病毒,等于没买。这还是有可能的,因为毒霸老早就在吹它,时至今日,甚至懒得用一* V: u5 b9 @% n5 d
个“全新”作修饰。如果真是这样,我倒想给金山提个建议:买一个KV300的引擎,然后就
1 m! f+ w, ?# c- q" ?可以号称集成了KV的引擎了……
u" |" ~, `; m8 O: ~3 E9 \' F. G (c)金山仅仅买了个名号,这就是真的没买了。$ T$ ^) M% z W M
这三条说到底就是没买嘛。- Q, Z$ U; _8 j' ]+ L3 t9 Q& Z
⑤压缩格式查杀:别的我没追究,反正金山号称可以杀RAR很久了,但直到推出增强版
: S D9 a1 t# r; Y( A0 Z时才兑现,实在无耻。这个不用多说,大家一试便知。- T+ k- s/ R! Z" Y. t7 A5 A0 m
⑥内存杀毒:前面的评测里讲得很清楚,不用多说,反正很多人都有毒霸报警却发现狂点
; ~9 y: T1 ^! |, }! K! z# w也清不了毒的经历。不能内存杀毒也罢,金山竟敢再加一句“带毒杀毒技术,无需启动到3 @- T% G+ G4 y/ Y; z! c3 d0 `
DOS状态,直接在Windows环境下清除病毒”,真是厚颜无耻。每当我向金山售后服务问起! p+ d8 `: H( L$ k+ G% ?, T
这个问题,人家都抛下一句话:“你到DOS下面去吧”。可你要知道,毒霸DOS版杀不了NT
+ \7 E" H7 W8 } V6 mFS呀!! U% j# h. e$ @$ K+ i3 h3 l
⑦硬盘修复:修复CIH与Opasoft造成的破坏我倒没话说,虽然我没试过,但号称修复) l: ~$ n) v8 k0 k
Hdbreaker造成的破坏就肯定是胡扯了,实在是不自量力,我甚至怀疑这帮蠢货有没有见过
! l8 W6 l, e7 }3 b4 B! YHdbreaker。如果大家嫌自己电脑全是垃圾,也可以试试,反正我是很想在金山的每台电脑
) ?0 }0 V$ @9 S7 v) } |里都放上一个Aspack加壳的Hdbreaker:)* I4 p h7 S! i5 X, y% R0 e7 U1 m
顺便骂骂网镖:6 h5 O4 f( i+ }3 o
①作为一个规则过滤式防火墙,规则设定选项是它的灵魂。网镖的规则设定选项直到
/ w" m7 j2 `- o今天也是最少最不全的,连设置繁琐的瑞星防火墙都比不上,还敢叫“个人专业防火墙”
2 E# n% _- b9 j9 G; [2 K5 X% L' T' U?我宁可用Windows自带的防火墙。& X: M( V' O/ T( k" L
③很多人都知道,新网镖有一个功能,可以自动拦截木马并报警。这功能看来似乎有0 p& O/ P9 |( J8 s& H$ a
用,但实际上是屁用没有。试想一下,网镖可以准确地报出木马名称,这肯定是人家动用/ `* R, _$ W/ D& \8 t
了毒霸的引擎杀出的已知木马。要杀便杀,金山却多此一举,实在无聊至极,是明显的作
% }4 r: Q% V6 k# g( t秀行为。
% l1 [- o/ _: x* G3 s7 f ④金山网镖几乎是一周升级一次,但相信没有人发现过其中有什么变化,肯定是假升" v: p3 _( L9 `1 f' P/ E L$ ?
级。惟一的例外就是某次升级后,网镖会对冲击波报警,可我等早就打了补丁,要它作甚
& @0 f* ]) i% p- ]6 R?可是这个“内建规则”哪里都没法把它关掉,只好让它产生一堆垃圾日志。5 b6 F7 H- w9 U+ C! G; Z! ]
大家如果要用规则过滤式防火墙,那就用天网,试用版也行。如果你不嫌麻烦,那就- P X9 y, V0 f8 D. V+ r
用BlackICE。不论如何,就是不要用网镖,又花钱又受罪。
+ L) o9 `' k" i% W 2.金山那帮售后服务的人实在太菜,以下是经典问答:
! i+ _6 |7 y3 |. D- ] {7 i “毒霸怎么杀不了RAR?”“你到命令行下试一下,应该可以的……”,“毒霸怎么杀
! {9 u3 F: ?$ r0 h( I) X不了××病毒呀?狂点清除也杀不了耶。”“你到命令行下试试……”(小子,你们那个' u6 y0 s: x& \, V% T; c
很牛的“内存杀毒”呢?),“听说现在加壳木马很多耶,毒霸杀不杀得了?”“(有点
5 d6 C+ s+ e! E4 l* M& O3 [犹豫地说)应该可以的……”,大家还是自己实验的好。5 ~* X' M$ c" `
3.有了以上几条,金山也仍然不能在众多骗子公司中“出类拔萃”,不过这一条可以( M( N6 q0 S9 |+ x) l
改变这一点。
7 M+ x7 i. \9 H: E" F1 { 众所周知,毒霸6增强版加强了杀木马能力,号称可以增加查杀15000种木马。可是大
" O* M0 ]7 z4 b家是否想过,这多出来的15000种木马是从哪儿来的?是从地里冒出来的还是从天上掉下来2 h2 Q2 y5 _3 h$ Y
的?显然都不是,金山获得木马的途径只可能是来自上报。这也意味着金山扣押了大量的
8 J6 @) ^8 M9 B5 b8 u3 }5 W' r上报木马,以便进行这样一次市场炒作。本人这个说法绝非口说无凭,因为我与我的许多
% h" X. _' X5 o. Y朋友都有相关的体会:(其实根本就不用这么多,金山的广告就够了,自己仔细看吧)
) k. o" p5 B) F
+ W( x' e7 u7 j/ a* f ①半年多以前,自己在电脑里抓了好几个木马,毒霸杀不出,便去上报。结果金山回8 A% V \5 V* G3 m
E—mail说已有人上报,要我等。我留了个心眼,过了几周便把它们拿出来杀杀,可是毒霸4 ]9 a7 F4 M$ |3 I. u. p
一直不报警。这几个文件我已经弄丢了,但我希望那些给金山上报过木马的人把上报的木, k3 H7 i1 o7 Q: S9 A2 f7 H
马用未升到增强版的毒霸杀杀看,相信结果很多都是一样的。
) l9 i* E+ o3 B# L$ F% `0 O ②我有几个用毒霸的同学,在升到增强版后的那几分钟,电脑竟不约而同地报警说发
& O6 j/ o! g) S, r! H/ F( W5 B现木马。由于各种条件的限制,我只能搞到一个样本,不过相信这种情况一定为数不少。" e' ^; A( d& q$ z! p- p
大家千万不能上金山的当,像我那几个同学一样,还以为增强版的能力很强呢。
5 L; O7 Z9 T Q0 `, y 不管怎么说,毒霸的木马专杀本来就垃圾。木马专杀仅仅可以检查EXE关联与AUTOEXE, F! A6 `, s. N4 S
C.BAT以及CONFIG.SYS,比民间的“木马分析专家”差了几千倍,不能杀壳更是让木马专杀8 G# e# g5 f9 b1 R' x J
成为了废物,加上扣押的15000种木马后,病毒库齐全度才达到KV的水平。
% ]" } {5 V0 Y ]* ?; B7 S “木马专杀”肯定是一个蓄谋已久的阴谋:全球每天才诞生200种病毒木马,就算它们; |' T' f& q& I* _' r
全是木马,就算它们全部被金山收集到,那金山收集15000种木马也需要2个半月……而现6 K' x% Z5 C5 ?2 v
在金山更是把15000改为了20000,所以……' t7 o9 I/ J9 m$ p
不得不承认,金山公司在国人心中的地位的确很高,但那仅仅是因为人家最早出现,
) v. \1 q: I+ r: k! }$ i" }* u而这并不能说明人家的产品好、信誉好,那只是国人的想当然。在雷军上台的这几年,金
3 @, ]! k6 \/ _+ o山广告的确做得很火,但软件的技术几乎没有长进。这就不止网镖毒霸了:金山词霸2005% h# U6 k, r7 H7 R: H; v6 s
仅仅是2002版换了个界面与发音库,词条中的错误却一个也没改;金山快译虽号称智能引) I* n, S) Z7 N) |; l% [8 V: t: E
擎,但翻译效果却一直未超过Office2003,而且是差很远,几乎只相当于把一堆词拼揍起
1 S; u0 q$ P/ Q6 Z/ L9 r/ P来,据网友说,金山快译2005会把“Counter—strike”译成“计算机罢工”——妈呀,人
) ~+ x% k! [/ Z @# `家就是翻译成“柜台罢工”,我都不会介意的,可是“Counter”怎么跟计算机扯上关联了( V. P ?; x B+ f- g" |
?至于WPS,我认为也没什么好说的:WPS花哨的功能越来越多,可是时至今日,WPS仍未实
( e* _0 `+ f. K; j7 h: D6 ?0 b现电子表格中数据同步变换的功能,(即改一个数据,相关数据自动完成更改,这个功能0 l. @; M7 T& u S
是必备的)仍然需要大家自己一个个手动更改。而此功能在Office里面早已实现,这很是
7 ?) E; p0 J# j7 E' f* g0 [. w说明问题。
7 X3 Y9 a+ r' I 以上的说法并非本人发现,它们全都是网上已有的说法。综合起来,大家便可轻易看
' H K7 H2 c5 J7 E2 y' j1 v出金山的底细。) [. _; F9 g- Q( x' _' p
当今骗子公司虽多,但也没有任何一个有金山这样明目张胆地坑人的,尤其是“木马
) B Q2 e5 p/ D& W5 l专杀”一事,炒作疯狂,全国媒体一齐尽献媚词,其设局构思更是伟大到了史无前例的地, J/ l% Y% v7 K$ W+ O# r
步,那个大名鼎鼎的网E拍又算哪根葱?知道有人会想说当年江民的硬盘炸弹事件,那的确
7 V1 h2 w$ m. D9 g也是一个非常恶劣的行为,该骂。但当年的网民并不多,所以上网下载升级程序的受害者
" _" q: T, P6 p8 i7 C. j+ C" U并没有象大家宣传的那么多。再说那只是针对盗版用户的行为,(我没说这是合理的)而
! M& M2 J) A+ I- y( }金山则是拿众多信赖金山的正版用户开刀,论动机金山显然更加无耻。硬盘炸弹事件早已
, F" F+ W! P& P被公布于世,金山的“木马专杀”事件更应被公开在光天化日之下。至于两害谁轻谁重,
1 C2 D8 s9 H9 d7 v那就是另外一个问题了。3 Z2 |3 ?# Q/ h4 o8 P8 y
但是,大家不要忘了,以上一切的一切,如果没有IT媒体的撑腰,都是不会发生的。
. c/ Y% J3 V6 i: B& b' _大家不要把当今的媒体看得多神圣,多有光彩。人家不是搞舆论监督的,搞舆论监督的也
, r$ q T X# J4 H+ l' e* j2 x8 F不懂电脑。当今的IT媒体在面对谎言时,从来都没有打过头阵,从来都只是论坛的跟风者! y+ \6 K9 \& g3 t D) S# B( O
:3721、网E拍,它们全都是在网上论坛被骂得一塌胡涂的情况下才有媒体出来说话,有些
# n4 `5 z) X. I0 X) R媒体更是直等到3721推出新版上网助手才出场,趁此机会做“评测”说3721根本没卸载方
' h0 M* x* @: W2 g: N$ M4 d面的问题。(鬼知道这年头他们收了多少金山瑞星的广告费?)
* l* k. W/ R" T' A0 G/ |/ [4 ? 他们从来都缺乏说真话的勇气。当金山瑞星“论战”之时,他们几乎是一言不发。不7 S: Q" E2 R7 n& r u6 w( m( _( ?
要以为这是什么“清高”或是“公正”,在金山瑞星无数漏洞百出,毫无水平的“论词”8 M! i' c* c4 w& }
面前,真正丢脸的应该是他们,这种无作为对于一个真正的媒体来说就是同流合污。这些/ M. O0 A. A5 s" I' `4 x
年头,他们又不分青红皂白地给了毒霸瑞星多少虚名妄词,多少沾着读者血汗钱的“编辑
: k2 B8 ^( z) M8 O. {; E选择奖”。试问天下谁是真枪手?他们才是!4 U+ ?9 J; g, `$ d k" f5 P; v# K
上文中许多发现其实并不是我的原创,像瑞星漏杀问题在有些论坛上早已有人提出,
6 @' k6 w- g2 Q0 M* N4 G" i& I可是至今日,仍没有媒体敢提上半个字,足以证明他们的懦弱。看看他们干了些什么吧,& e% u) t! Q T
整天仅仅是唱唱瑞星给它们的那首老歌:“半个月以来,病毒A和病毒B这两个病毒值得注
- `4 l) f# |' ^ \' b3 z. }意。病毒A试图/会/除了会××××。病毒B(则)试图/会/除了会××××。可以上网的; K4 m% z/ c# Q+ |# }, Y
用户推荐采用在线杀毒方式,快速查杀这些病毒,也可以使用单机杀毒软件2004版,局域
3 B5 I5 t7 ]6 V' D" k/ [网用户最好能使用瑞星杀毒软件网络版来彻底清除这些病毒。《瑞星在线杀毒》无需升级0 C6 S, D) W: y
、《瑞星杀毒软件2004版》和《瑞星杀毒软件2004下载版》每工作日常规升级,遇紧急病, m; U1 M# Y9 p6 f' I
毒第一时间提供解决方案,每周升级的新病毒总数不少于400个!截止到×月底瑞星杀毒软+ Y6 G. N1 |1 `0 S; p3 n9 _
件将升级至××.××版本,望广大用户及时升级。如遇病毒,请拨打反病毒急救电话:0- ^$ \( u" ]5 L* T& }3 o% h
10—82678800或使用瑞星在线杀毒: http://online.rising.com.cn”这堆破玩$ t. i( {) W' m! |) u* Z
意儿对我们有何用?' `8 o5 K' r% Z5 ?
毒霸瑞星的地位并不是真刀真枪地干出来的,它们靠的是无尽的谎言:媒体的谎言,! a8 g! O" y/ } Z+ p3 G1 v
公安部的谎言,它们自己的谎言,颇有中国传统的“官官相护”之形。这正是看似简单的: Z. O( ^- T* O# }6 Y. i. S5 w
杀毒软件背后不可告人的黑幕。
! ?% z1 F+ ~) F3 L& s2 j; |(以上观点只指截止至10月初的现象。同时由于取证时间较长,难免有疏忽,敬请指出)
/ y, I* R5 S; ?& @2 K b7 U申明我不是江民内线
* ?5 c) s* f+ A) p3 i) `, H* F [此贴子已经被作者于2005-2-20 19:43:19编辑过]
; L. A, B: W. }/ q1 P2 e9 } |
|
/1 
IP卡
狗仔卡
发表于 2005-2-19 20:57:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2005-2-20 10:51:00
发表于 2005-2-25 02:08:00
发表于 2005-3-12 03:46:00
