|
|
6楼
楼主 |
发表于 2005-2-20 19:42:00
|
只看该作者
|
【转贴】杀毒软件背后的黑幕1 b7 u5 k' @! o% i. m7 M
; _( W0 @5 j: f* V6 E
杀毒软件背后的黑幕——中国最严重的信息安全问题
: N8 e/ s7 R0 Y% D& \5 y 翻开2004年第18期《大众软件》,那个杀毒软件市场占有率排名让我百感交集:毒霸* K7 D% w, i% F& U" U" U: e
38%?瑞星29%,Norton14%,KV11%……,不要以为这只是几个简单的数字,这后面有太多
- p! D6 R9 n) l0 ]* |; ]9 ^# U的故事,一时,竟不知从何讲起。这样,我们先看看各个杀毒软件的真实能力。(本评测
" s; H b- D. y. j3 W- T中KV指KV2004)6 H2 q% T6 e T" z' o" X2 @
一、病毒库
& a+ Z; P) T8 J7 {/ E T 这些年头看过许多评测,有民间的也有媒体的,几乎都是以病毒库是否全面为依据。2 h5 `/ [- s3 O* @5 D. l" ~! _
这是非常不科学的!暂且不说别的因素,我认为用杀毒软件对一堆病毒木马一通乱杀最后
- m" Z- z3 g& f. _仅仅以检出率论英雄,是一种对读者不负责的数字游戏。
R( p7 e' g6 m$ L* v7 r 举两个最简单的例子,你有用过Norton去杀黑洞2004吗?不说别的,就说最有影响力" V8 Z# Y$ u$ N) b9 c
的0815版,Norton也是怎么杀也杀不出。这完全不是什么巧合,Norton如果杀n年前的经典
, L; Z* ^% S+ U+ Y. ]6 Q木马冰河84,也还是杀得出来的,只是会在隔离区里加上两个字作注释——罕见…… r: |* r7 \% [+ O
Norton是一个非常典型的例子,因为在这个方面的问题Norton是最明显的。不过其它
3 o8 |3 r) F& b% \/ i; L% c' ]的外国杀毒软件也好不了多少,哪怕是那个公认的杀毒王兼升级狂AVP,大家拿手上那帮大
5 P3 v6 h2 I7 E7 P/ p& I马小马自个儿试试吧,保证叫它们死得惨不忍睹,AVP那么好的引擎又有何用呢?(据说当
! Q0 V, ~# b0 p! j年因为Pc-cillin杀不了CIH的某些国内变种,所以有人就……). Q" E( q' D: T& @5 ^$ z
就是不算木马,各种蠕虫变种也够这帮老外受的,其中最典型的就是Lovgate系列了。3 O9 u2 K& N9 ~9 y1 V- t% x
有些用Norton的单位就算是天天更新,也总是不如它的变种来得快,甚至面对有些n年前的
: S. }$ i+ D, t6 T" N* i8 D" _国产病毒,那帮老外也一声不吭。
' ?3 z& Q4 V0 d! Y9 @2 i 综上所述,我们只能得到两个结论:1、面对众多国产病毒木马,外国杀毒软件只是一5 U$ M8 ]1 ^1 I" v% N
帮废物;2、以检出率论英雄是一个彻底的错误,因为一个1%可以包含很少的东西,也可以
' l7 ^; _* B3 B! r包含太多的东西,同样的检出率,一个可以杀灰鸽子,一个可以杀Beast或××国外二线木* t% x8 r' d# @% H# T8 f$ ^: X! z
马,你会选哪个?
: i* h3 v7 T. i! o V8 {+ i7 W) I 虽然如此,但如果检出率相差太大,那就是另一回事儿了。Norton的病毒库是非常不
$ G, k' q! C8 ?* |" B全的,尽管在杀木马时与其它国外杀毒软件差不多,但在杀病毒时检出率相差实在太大。
; I$ n1 @4 J. H- v在许多病毒库比较齐全的评测中,(不包括公安部)Norton总是在最后几名徘徊,远远落
7 M9 v8 w9 a5 S6 R在其它老外后面,甚至在有次国外媒体评测时仅给了Norton6.8分,(满分10分,,AVP9分
$ \1 {3 {/ n2 T% v)简直是……
6 N; ?6 Q% C7 `2 x 至于瑞星的病毒库也好不了多少,经常在民间评测中与Norton一起垫底,惟有木马库
% A/ k0 S; v+ I6 v# G* B; I }5 q齐全了许多,所以其杀毒能力可想而知……当然,瑞星杀Lovgate这些国产病毒的检出率显- D4 _4 |) o9 P" V5 T* [5 t
然高些,但木马不同的是,病毒是会自我传播的,所以国外病毒在国内照样常见。于是有
4 x; \; e" H3 V; v: W一次,我的一个用瑞星的同学在用Norton扫盘时扫出满盘的病毒……顺便说一句,当年瑞
' g o O) b7 s+ E1 n# ]星2003时人家可是一周一次升级!在这个方面,只有KV与毒霸过关,其它的实在差太远了
; A8 i/ [# V! J) P& B# _' U。1 k, [; a. V6 r; W2 f( Y m5 K
二、杀壳能力0 [; k1 J! H q& J
在我看过的评测中,基本上没有哪个把杀壳能力放在眼里的。事实上,没有杀壳能力
) I% h. r/ O9 W, a- A: y( {( X,一个杀毒软件在面对木马以及病毒变种时,基本上就成了废物,有谁用马不加壳?有谁
+ y0 F; r3 J7 R改病毒不换壳?只要人家有意,你的杀毒软件一瞬间就可以挂掉。(近来网上有传言说加+ x0 }3 Y1 C. M: ?
了壳的木马自释放时会还原,这个说法是假的)经本人实验,各大杀毒软件杀壳能力如下0 Q! P; D& g- s8 F) f
:
% {1 a7 J/ y5 a# Z' |6 W McAfee及大多数国外二流杀毒软件:UPX8 }% }2 y) c9 F5 w4 y8 t u" x" S
瑞星:无" M9 z" n# [3 {) X" K. C
毒霸:无/ F, @! z) e M8 @" F8 a5 J! d
Norton:无' d. x5 ~1 W8 p! [% T
AVP:大多数流行壳
: ^1 d' @: `- b KV:大多数流行壳
* U8 K( B6 Q1 s+ _9 | K8 s+ J UPX是一种免费软件,所以支持杀UPX无需交专利费,如果一个杀毒软件连UPX都杀不了
8 s5 P4 a" b+ l5 K: v2 g,那只能说明他们那帮人偷懒。当然,无论如何,没有杀壳能力的这些杀毒软件会轻易地
6 ^# i( P4 _; C8 r0 ~) S让你死翘翘的,所以大家今后必须重视杀壳能力。5 T5 }) w# X6 [* g
( u' `# N9 C4 Z" J: m' X0 Y+ e+ R8 ?0 t( S
7 ^" y$ ]/ r( H4 B6 c( J同样的木马,一加壳便是不同的下场
( o. w! q' Q: W6 R0 O! P4 C) u三、清除能力
& O7 r3 @4 q/ Y! R 不得不说,任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不
2 T, C) a. s# R# T5 M' F. c! R理想,不过由于在杀毒过后这些文件都成了死链接,所以随便找一个清垃圾文件的软件就# _4 B2 v5 g H s4 e h
可以了。
! C. W- `7 k# F- u" U' @ 其实关于清除能力,大多数的杀毒软件都差不多,不过倒还是有几个特例:
) Q$ {& F' R7 U: L+ ^瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下,杀Lovg8 ~2 L) n0 I' P- {- T
ate用了2天,杀某蠕虫病毒用了一周,杀folder.htt病毒用了超过一周时间也杀不干净,
; B; }6 @- l* z4 R- H- ]最后只用搜索并删除同名文件却杀干净了!明显是跳杀现象。3 Q- \& E1 t1 }1 |
Norton则是一见染毒文件就删,实在令人怀疑Symantec的人是否学过汇编。另外Norton在! J& k, j8 p) o" c
撞上一个病毒在内存中的进程时,竟经常不会自动关闭,需要你手动关闭,而其它任何杀1 i4 j5 b8 ]- ~. u% o( q
毒软件大都有此规则。
$ W- d* f- p( u g* g& \8 N6 q0 O 四、内存杀毒及DOS杀毒8 ^- Q* a& F* J6 T8 B4 ?0 A: b7 s
当今国外杀毒软件基本没有再提供DOS杀毒的了,所以面对dll进程守护式的病毒木马
' w* T( K% U, w$ N* n就只能到安全模式下碰运气了,并且有时还会失败。相比之下,毒霸、瑞星、KV都有DOS杀/ V5 y5 }6 ~! k: o# f$ m4 h# v
毒能力,只是毒霸杀不了NTFS,KV可以杀壳。+ l! W& \+ a; g( ~
国产杀毒软件都号称可以内存杀毒,但大都只是实时监控加进程关闭的换汤不换药,
6 \/ z) m, A+ G( J杀不了dll进程守护,甚至不去检查调用的dll文件,等于一个功能没加,只有KV一个一个 d8 h, o+ o1 a. B
dll地检查,并有查到毒后反复检查内存及必要时自动开机检查的功能,dll进程守护的病2 H! l- _4 A7 Y& L0 n1 T3 I' R
毒木马基本上都可以挂掉。实话说,只有KV的可以算有内存杀毒功能,其它的都是吹牛。! g& z0 C0 \3 j
. D3 [% ~! n' U/ a. {) y# ~ 五、实时监控
" Q* F; u' A* `4 w6 i1 G2 H 当今的杀毒软件几乎都要吹一吹自己的实时监控,但实话说,没什么稀奇的:一是对, V6 w2 o# J! b0 K+ x% F
进入内存的程序进行扫描,二是预读。(解压时查毒属于第一项)第一项没啥子稀奇,至
: T: T, ?5 O8 A0 r$ K3 m/ v于第二项,国产杀毒软件的速度大幅超过了老外,的确可喜可贺。) @' k+ Y i& m, _
尽管如此,不得不说说KV。KV的实时监控技术,即“动态比特滤毒”技术实在是太强
! G c0 @% u3 _: U2 A$ l了。为什么我一直在用Net Transport呢?因为在打开KV文件监控的时候,KV会自动对进入# i0 @ V9 q* q }/ p
电脑的文件进行扫描。如果是带毒的压缩包,KV会在下载结束的一瞬间报警,如果是EXE或
2 | y; z8 L7 x: M+ E0 x! ]DLL等,那么有时才下载到一半就会报警。另外如果你用Windows搜索时开KV文件监控,KV
4 { n+ p8 B- I8 `" `5 i' b会顺带地扫出很多东西,(前提是你硬盘上有)上次我就是忘了这一点,结果把自己的黑
' c% t& O7 e ^+ F: Z; {软库一大半倒进了隔离区。(开个KV在网站上防Asp木马,爆爽!)
0 p3 E! B2 p1 h, i& n: Q 六、杀未知病毒能力
. D* H6 E$ n6 o 当今的杀毒软件对这一点都“非常重视”;所谓“重视”就是大肆做相关的广告;行
3 i W: @) X- x" E' _5 b为判断、虚拟机法、智能跟踪……如果这些都是实话,那么面对一个歪壳压的病毒,杀毒: y) j" K v9 f( G+ B
软件们理应报警,但事实上没有一个杀毒软件做到这一点,这些谎言也就不攻自破了。当! } Q" e1 I/ X
今的杀毒软件的防未知病毒机制其实只有启发式扫描,即仅仅是扫描文件中的可疑代码。
8 j' ~. j# ?7 Y* M* \也就是说,如果解不了壳,再强的启发式扫描引擎也什么用也没有,由此,KV、AVP的表现# ~) Q( x- t" v9 Z7 V2 a3 {
大幅超过了其它的杀毒软件。在加壳病毒横行的今天,其它的杀毒软件几乎全是吃鸭蛋。4 F' b& S* \! p, `; g- H
% W, D: |+ r& ]1 c0 I 不论如何,毒霸、瑞星和AVP的误报率都算比较高,尤其是前两者,几乎只有误报纪录
: Z8 B7 m6 |$ ]" V* |# D,毒霸的实时未知病毒检测甚至会干扰到已知病毒检测。Norton与KV到目前为止我也没发
6 ]- A0 |- ~+ c& I. [/ P7 j现误报,不过Norton的未知病毒检测也不乍地,只是比毒霸、瑞星强了许多。* n9 O/ o# q" G. d$ }
不看误报率,只有AVP与KV的能力令人满意,AVP自然不用说,人家可是启发式扫描的
, z5 Q) d( L1 X% z4 z鼻祖,具体能力大家也清楚。事实上KV也是非常强的,只是可能大家不知道,最经典的例
5 i/ T, v: e% @. S3 {- N! j子就是当年的KV3000不升级就可以挂掉冲击波!不过据说KV未知病毒检出率略低于AVP,也5 O) L! V6 i0 q
许这是为达到误报率为0所必须牺牲的吧。4 g2 E2 t% x& x) S
大家注意,哪怕是KV、AVP,它们杀未知木马的能力也为0,也许它们一向都只是在研
# S- E7 v# n- F究病毒吧。若要杀未知木马,大家一定要用****,据我实验,****是第一个采用行为判断法
+ ~* E; E# q* u* g的安全软件,同时有超强的专门对付木马蠕虫的启发式扫描引擎,对付加壳木马也非常有
: _4 c; b7 Z3 U. k一套,实为史上最强的杀马软件,曾被ZDNet评为年度十佳软件……如果你用过老版本的*
4 I5 f r) b# }$ i***杀当今的黑洞灰鸽子你就知道了。不过这有点扯远了。" W" O7 x; W6 R ]
七、速度% A6 C6 a1 n, y- ]
首先对毒霸的“闪电扫描”提出质疑:
2 {, ^5 v7 h2 s1 P# t" Q7 { ①有谁愿意为了一点点时间而仅仅去扫某些病毒呢?安全至上呀。9 b9 z' n8 j0 W6 [6 N6 r
②病毒经常是相互附身一齐出现的,这可是常识呀。 D# K9 Z( T W/ L( |
③鬼知道它扫的是哪100个病毒?
0 m r6 m, G$ z: U “闪电扫描”顶多是一个花哨的噱头,基本上没有人用,大家不必理会它。大多数杀6 C6 f" z) A0 l1 W
毒软件速度都差不多,可以接受就行了,不必排先后。不过AVP由于支持杀壳,所以在开了
! K4 @+ d( ~) A* {杀壳后速度慢了很多。但瑞星令人实在受不了,慢得甚至出现了专杀工具速度跑不过其它
2 b2 [0 t4 S! w/ l完整杀毒软件的奇特现象……。KV还是令人佩服,又支持杀壳,速度仍然很快,着实先进3 ?1 Z6 f+ I2 p) n
,不能杀壳的毒霸扫再快也无法动摇这一点。6 n% Z) d u* s6 G0 d- O6 w0 D( X
八、集成度8 D, B/ ~) V( \& Q$ n7 @! O
老外们在这儿不得不出局:不支持QQ?Game over!
! ~/ }) \7 e& c8 x0 y' b( A7 ~ KV的集成度肯定是最高的:有了动态滤毒,KV等于是支持了一切聊天软件与下载软件5 Z/ E, t/ n; E! v- @: B
,同时效率最高,名义上不支持QQ算什么?
, `6 ^5 V7 r1 [ 毒霸及网镖在一次死机后图标全会消失不见,极不方便使用。瑞星用DLL进程守护解决$ y+ S8 T$ e$ u5 Z6 O2 u: h G4 f
了这个问题,不过同时也带来了无尽的资源占用与冲突问题……* s! n9 X0 K7 V: G* [" k
九、压缩格式查杀支持(出于实用,我们只看ZIP与RAR)
3 J9 `9 }6 y& a1 s& A' l' ` KV:普通ZIP、超真空ZIP、RAR
! t0 E& z: S+ V* y/ t AVP:普通ZIP、超真空ZIP、RAR
6 P1 }; d' @6 B& K6 r2 G" m 毒霸瑞星:普通ZIP、RAR
5 x$ p2 r9 Y' w9 C3 W; P; r 其它大多数国外二流杀毒软件:普通ZIP2 m9 B4 |/ O" [7 M2 H
大多数外国人都不用RAR,所以Norton与McAfee等都杀不了RAR
3 b9 X {) b+ v( f2 S 十、资源占用与冲突:+ R# y1 L! i: u$ f6 y' W0 \
KV与AVP资源占用最小,获得广泛好评。Norton毒霸一般般,但开了QQ后Norton资源占, \+ I v" M6 H; T/ l; s
用暴升……瑞星这方面问题极严重,不仅是当之无愧的冲突王,也是万“死”不辞的资源
7 @0 F/ v/ p7 L+ K/ z占用王,有些配置稍逊的电脑在开了瑞星后,(只装瑞星)弹出右健菜单竟需3—5秒……另9 S2 z3 j6 u: H H* r, r
外好象有一个说法,就是装了瑞星后装其它杀毒软件,基本上都会起冲突:装毒霸后不开实7 w9 r7 u* m4 @$ Z
时监控系统也爆慢,网上有人把Norton这样装则是根本进不了系统。当然也有例外,就看9 a2 |+ s$ W9 D; ~0 N) R
你的造化了。# p$ W& }$ }2 R/ ?) s# f
总结:Norton实在太废,除了公安部和某些菜鸟,几乎是人神共诛,连外国同行都不
2 y9 _% [) C$ D; b: x以为然。(6.8分,妈呀!)虽然Norton是实时监控的鼻祖,但却不思进取,活该。大家若9 I, B! _& v. J4 j* r. u8 G- s7 u' n
一定要崇洋媚外,那就请用AVP。不过我一开头就跟大家讲得很清楚,非本土化的杀毒软件9 \' q! ~) @- u* L, Y% l' P& j
的下场嘛……
8 Q I- n2 N5 W3 d 毒霸的表现勉强算二流,面对加壳木马还是太嫩了。瑞星则是我见过的最废的杀毒软1 K$ P) c" U$ {7 E8 C
件:毒库不全,耗资源,易冲突,不杀壳,速度慢,跳杀!这年头民间防病毒软件非常多
- k! X9 T$ \+ `; ^. I9 {,大的有十几兆,小的只有几十KB,没有一个有跳杀的问题,扫上7天对它们都算神话来的
* o! `* f' y: v# ?2 \% [' Y!毫不客气地说,这一点可以让我们确定,瑞星是全世界最废的杀毒软件——谁不知道跳 g$ q- i% W: G% @
杀意味着什么?
9 I! @9 F! W% J# M% z6 y 至于我对KV的评价,也绝不是一家之言。有许多国外媒体都在吹AVP,但这并不代表A- w% ^- n0 \' A+ F, N( f+ a% o( f
VP比KV强,因为大家都没见过KV,惟一的例外是日本人评了一次,结果大家也知道,KV获- X6 d( H5 {: a$ Q
胜。与此同时,国内大多数的黑客专业网站推荐的也是KV。这跟本文的结论是一致的。KV1 ~( F8 L3 |: S1 H* W) @$ n: Q& C
如果做好了国外病毒木马的收集工作,届时一定可以在国外压过AVP的风头。
. _8 @: |6 |6 R& F8 F( C) H, M 我个人认为,本篇评测,是当今世界上最科学的评测之一:
~$ i+ u2 @! [. C 1.一个评测如果只看重病毒库,那么只说明这帮人压根儿就不知道木马加壳术,不认9 ~; n+ q) o9 B0 {4 R8 g+ @* o& o/ U6 o
可加壳后的无敌木马的危险性,甚至连瑞星的跳杀问题都看不到!
( j0 Y" A9 ]( M$ a& l- q) x. A 2.一个杀毒软件的能力是有限的,并非一个数字可以代表得了,正如水浒英雄的能力
7 ^1 o& U9 \% E并非那些“水浒人物卡”上的几个数字可以代表的,另外国外杀毒软件杀国产木马的狼狈; r! _# `. s8 @$ ^* p. E3 v% i
相与评测时得到的检出率与分数完成不成比例,也能很好地说明这一点。一个真正合格的' T& f4 N6 {6 {( X& {7 `
评测应该是把各个杀毒软件的优点缺点都列出来,让读者自己去按自己的需要来判断,最
- h- x8 U. R, p' \7 ?3 s多分不同情况给它们简单排排名。4 p( z) p0 T$ Z% _' L
3.一个评测如果只是泛泛而谈,而不分出杀毒软件的优劣高下,这只能说明这是一个
* E- _0 q8 ~( l' I8 K广告大串联,而不是什么评测。本评测中出现KV一边倒的局面并不能说明本人的方法不科! Z* x* M" i, m/ z, t
学,反倒说明其它的评测根本算不上评测。" R! V6 Q" g: z m8 [& K- V
4.最重要的一点,本评测一切论据与细节都是公开的。(比如病毒名称,评价原因)
+ R- ^0 s L7 P% d4 j4 u+ j! h" B就算去除一些口说无凭的个人经验,只剩下大家可以自己操作自己实践的部分,大家仍会
6 f4 [& `+ k" g, c1 x4 c( r' J得到同样的结论。本评测的真实性无可怀疑正基于此,大家尽可乱试。0 c" p) D5 M( \4 ]/ o
如果仅仅是做个评测,那么离“黑幕”就差太远了,但是事情远不止这么简单。我认% k; a1 F/ T( H) b
为,如果压在KV头上的是AVP,我认为大家还有些讨论的余地,但我们可以看到,排在KV之
. z9 Y* w/ X O; P* O+ k9 {" ^前的尽是些垃圾:毒霸、瑞星和Norton。它们的流行与中国人随波逐流、轻信广告、做事
4 S( y' ^5 ~. i3 Z6 R9 b; Y! |- [不细究这些毛病都有关,这自然不用说,但我认为最重要的原因就是公安部的评测。
& j" N6 p5 J, U3 ]1 |" w, y. x, L 公安部的评分是这样的:毒霸95,瑞星95,KV90,Norton85,其它的杀毒软件依次列. {# o3 H4 c6 e8 p
在后面。所谓检出率则是:毒霸100%,瑞星100%,KV100%,Norton9x%,依此类推。, f1 q3 H4 M0 D: j
实话实说,公安部的评测是我见过的最假的评测,也是最害人的,因为它影响力最大
) N* d- l% U- i# m H& k5 _,随便就可以扯出一大堆疑点:
7 ]: A& X) Q7 m 1.KV那么强的引擎,凭什么排在毒霸、瑞星后面?如果说毒霸、瑞星恰好撞上比较“
; A' b. T! e0 s9 r' k# [# k适合”自己的病毒库,那还好说。但既然检出率都是100%,其它性能KV则是全面超越毒霸/ |' e8 Z) h. D# W, m( e9 s
、瑞星,凭什么KV要比人家低5分?
8 K$ }9 O9 O; W9 r 2.作为史上最废的杀毒软件,独一无二的冲突王、资源王、跳杀王,瑞星凭什么遥遥' D6 ^$ D0 P% L. M( z$ E
领先,并列第一?+ `2 l. |3 Q+ c" ~8 F- H1 h! c5 [
3.作为国内市场中病毒库最不全的杀毒软件,作为一个在民间评测与国外媒体评测中% q0 { @% t+ ?* y- F& |
屡次垫底的杀毒软件,Norton凭什么比McAfee、PC—cillin、Panda这些家伙的分数与检出1 A8 u' Q) b5 k2 J% V+ W
率高?大家记住Norton当年的分数:6.3分!
9 X: p+ @- l$ N K 4.凭什么大名鼎鼎的AVP不参加评测?
+ D" h) x3 S1 u$ Y( q- p1 J 5.凭什么公安部几乎只看病毒库?虽然民间评测有这样的,但官方评测从来都不是这1 E* ]+ d: o9 \5 j
样的。
; X; l& T8 u2 e/ m 6.凭什么公安部把除了病毒库之外的评分标准全不公开?+ z/ g8 Q: Z8 \8 B
7.凭什么公安部全盘都在暗箱操作?
6 T. U& x. \6 j7 Z1 [1 v* x 8.凭什么会出现三个杀毒软件同时得到100%检出率的情况?全世界的杀毒软件评测,2 B- s5 \2 n" t$ i& U9 P$ j- i$ v
根本就没出现这种情况。要么,就是公安部病毒太不全,要么就是人家想搞“民族产业振$ K+ u- n( f. j* O9 [5 \" i
兴”。
9 @1 P6 \2 F2 o9 c, v……* y* ]: F) l% H# q$ N( \
疑点多到了让人几乎可以窒息的程度。研究一下杀毒软件的历史,发现公安部评测实
X- ?9 ^" {% o- D- U8 S/ T在害人。
. ?5 V5 D: {" g 众所周知,KV是早期中国最著名的杀毒软件,一度市场占有率遥遥领先,今天却落到
6 L {" q# r6 K% m( X' b# \了这个地步,难道是技术问题?KV的病毒库一直是全国最全的几个之一,未知病毒查杀当
: S& c2 \3 W0 }+ \时在国内更是无可匹敌,而且早在KVW3000时代就可以杀UPX、Aspack甚至WWWPack这种偏壳+ B, V( H( s: l
,恐怕只有AVP称得上对手。虽然对Win2000支持不好,但当时又有多少人用Win2000呢?那
: m: l" }! }% d5 |时KV的UI的确很差,但有些人认为KV那时用的是KV300的引擎,则纯粹是以貌取人,上面说
8 H3 M$ O* n/ Y9 n' b得非常清楚。然而公安部从那时起便不给KV好脸色看,KV于是便一落千丈,落得今天这个1 F0 N% W' D/ e4 }. \3 {7 a
地步。(硬盘炸弹固然也是一个原因,但今天还有几个网民记得这件事?还谈何影响力?5 ~+ z! R- m8 [
再说,公安部做的可是评测,而不是历史清算)可是直到现在,毒霸、瑞星除了支持NT内6 M2 L4 E: v/ P2 P4 S
核实时监控,几乎什么都比不上当年的KVW3000,足以证明公安部评测的胡闹与破坏性。前" @* n8 P8 U# J7 L, H
面说了,KV的文件监控本来就可以达到QQ、UC、POPO等防毒功能,今天却在KV2005中特意
$ A s# U* p4 a0 j; b“加上”相关功能,不得不说是一种无奈。0 s* {8 B( Z: N+ J) A
KV的下场并非最惨的。有些人可能还记得当年有一个很著名的杀毒软件——行天。行
8 s" q* z0 o; Z5 y4 g$ E, \0 f天虽没有KV的强大引擎,但病毒之全实在是出类拔萃,几乎一直是全国第一,而其它的任
* f1 S4 ?" K( I: @8 ^何方面也不逊于毒霸,跳杀的瑞星更是不用说。安全之星XP(VRV)也一样,至少人家比瑞4 e+ g+ l! y& D' @( A, @" `
星毒库全,速度快,又没跳杀问题嘛。可是就是这样两个杀毒软件如今却销声匿迹,公安5 X% i$ y2 d$ e: g4 `5 D
部显然脱不了干系。
( i' C: F6 {$ C' ~$ z在这样一个节骨眼儿上,我不得不为KV说话——如果KV哪一天像行天VRV一样被整垮,我们 X0 ~9 `0 N; J; m' A# [
中国还有什么可以拿得出手的杀毒软件?我们如何面对微软的进军?我们如何面对今后出
# {, s" q6 `! F% V$ D+ |/ A% _& t& t现的彻底本土化的国外杀毒软件?网民们轻易相信广告固然是个原因,但如果没有公安部2 r; W ?, @2 I W) [9 W
的评测,网民们会这样吗?' b2 w; f" t# @7 g2 S: Z5 X# k
一切疑点表明,公安部评测并非乱测乱评,而是有非常非常强的倾向性,是明显经过% t+ d/ g# i- }2 r7 E4 c s
人工操纵的非常明显的作弊行为!毫无疑问,这后面还有太多的故事、太多的后台、太多- }- M6 ^; E- v. h9 x! Z
的黑幕、太多的权钱交易、太多的无耻。具体是谁在操纵,我也不知道,也没办法知道。
' W7 j( @, [* e; X6 B8 z我只知道,它让三个垃圾占领了中国80%以上的杀毒软件市场。公安部评测,理应人神同诛
; s! [" K5 o. n$ B" i!9 e# s4 p2 d& p8 I; q
公安部固然要负主要责任,但虚假广告照样脱不了干系。' Y( K% m3 m$ N0 u7 m
瑞星的瞎吹倒不多,但也不是没有:“第五代国际领先可扩展引擎”——作呕!不过3 e! u+ \2 C4 m/ J) ]
瑞星还算是比较“谦虚”的,比如防未知病毒能力就只敢加个“瑞星专利”作形容词,“) N3 h) y z3 Z- F/ Q' P7 h0 A/ F
清除病毒”之前就不敢加个“彻底”,算有自知之明。
. R4 \4 R" m/ A+ F* d N2 t r Norton倒没做广告,到底是怎么流行的,除了OEM大家也清楚:谣言可畏啊!
4 p8 Z* r1 b2 `' n 最最最最无耻的就是金山了,实在是令人发指!不信请看:
0 N5 }) u( d& u 1、把你的金山毒霸包装翻到背面,一条一条地看:
i; I3 z% e! T8 s2 B( c ①“病毒处理速度>>病毒传播速度”这显然是瞎吹。8 `* A8 @" b8 j! X" [& c' [
②“网页防毒,有效拦截……”这年头窗口炸弹写法也就几种,随便一找就找到一个# }% p$ B1 L( A+ F8 o! u# M
毒霸杀不出的,(KV与Norton都杀得出)至于广告拦截更是效果几乎为0。你敢用这玩意儿
" e4 L3 u! p, E& D% H1 b拦网页木马吗?/ U& q1 _8 t1 P
③“闪电杀毒”前面也说了,花哨的垃圾。/ ], o5 n% N; D4 f+ ^, ?
④“双引擎杀毒”金山的说法是:国际引擎是AVP的。懂一点杀毒软件的人都知道,双
+ l5 s% `+ q, m4 Y重过滤分析是100%不可能实现的,否则毒霸耗的资源肯定不止那么多,速度也不可能那么
4 I2 M' F8 Z/ A$ q" {快。隐含的国际杀毒引擎杀国际病毒效果好的说法更是有违常识。同时,不能杀壳,不能5 m, j/ ?2 m+ F: T& w" H% Q5 }# s
杀RAR,脚本拦截与杀未知病毒烂,这根本不是AVP的作风,去掉了它们,AVP根本不能称之! {. ^! e+ d9 u5 [
为AVP。再说AVP风头正盛,哪会干出这种卖引擎的傻事?
n' m9 O5 R+ ~( Q3 Y 依我看,有三种可能:
! F9 V3 _' D/ E4 k. ?0 C- s (a)金山只买了一小部分引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒0 V# i0 P$ F L @, a( [' V# R3 v0 I
,等于没买。
1 |# `( f2 t y4 M |3 }$ t- V (b)金山只买了一个老版本的AVP引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未
4 f) H/ s( f$ g/ c. B! X( G知病毒,等于没买。这还是有可能的,因为毒霸老早就在吹它,时至今日,甚至懒得用一1 W3 b) q& d8 @* u! b7 d
个“全新”作修饰。如果真是这样,我倒想给金山提个建议:买一个KV300的引擎,然后就
8 H/ P2 E/ O2 x( X+ }/ ^ z可以号称集成了KV的引擎了……
# e% \2 T: N$ e0 D0 d (c)金山仅仅买了个名号,这就是真的没买了。$ _+ P, O# z, a
这三条说到底就是没买嘛。
; ?3 W- l5 u+ K ⑤压缩格式查杀:别的我没追究,反正金山号称可以杀RAR很久了,但直到推出增强版: S. i& r6 u" b0 j; F" w, `; ?
时才兑现,实在无耻。这个不用多说,大家一试便知。" P$ e- s7 i4 {" Q8 o
⑥内存杀毒:前面的评测里讲得很清楚,不用多说,反正很多人都有毒霸报警却发现狂点
1 L2 v0 `9 \7 u2 \; M- ~4 n; d也清不了毒的经历。不能内存杀毒也罢,金山竟敢再加一句“带毒杀毒技术,无需启动到5 j, ^: ~9 [6 d: U* r; y. z
DOS状态,直接在Windows环境下清除病毒”,真是厚颜无耻。每当我向金山售后服务问起
# b) I: L- F3 _# b' X. d% ]这个问题,人家都抛下一句话:“你到DOS下面去吧”。可你要知道,毒霸DOS版杀不了NT/ W! ?2 I. a6 M" U) d
FS呀!
% x7 h" v' J, Z4 J ⑦硬盘修复:修复CIH与Opasoft造成的破坏我倒没话说,虽然我没试过,但号称修复
( v3 B: J! A& I4 l# p2 Y8 k _Hdbreaker造成的破坏就肯定是胡扯了,实在是不自量力,我甚至怀疑这帮蠢货有没有见过
' }1 J' q }6 h+ `! I' d" T. y& rHdbreaker。如果大家嫌自己电脑全是垃圾,也可以试试,反正我是很想在金山的每台电脑
# ]" k7 @( [3 {! L& C里都放上一个Aspack加壳的Hdbreaker:)
% c/ S8 H3 s" S 顺便骂骂网镖:
6 v( V5 D, f8 h9 | ①作为一个规则过滤式防火墙,规则设定选项是它的灵魂。网镖的规则设定选项直到
, h. F; k- q2 m! x& W5 y" d: i今天也是最少最不全的,连设置繁琐的瑞星防火墙都比不上,还敢叫“个人专业防火墙”
~6 ?2 ~3 m% p& m9 |+ k2 O?我宁可用Windows自带的防火墙。% ?( M+ S9 |1 U7 E9 j. ]9 P
③很多人都知道,新网镖有一个功能,可以自动拦截木马并报警。这功能看来似乎有
1 l# Z7 `( J# c# Z3 f) j用,但实际上是屁用没有。试想一下,网镖可以准确地报出木马名称,这肯定是人家动用1 N2 s9 {7 U! L& V
了毒霸的引擎杀出的已知木马。要杀便杀,金山却多此一举,实在无聊至极,是明显的作
2 P6 m5 V4 ~% v* A8 e7 M秀行为。
7 n8 u, }2 a$ m% ?% I* ~2 b ④金山网镖几乎是一周升级一次,但相信没有人发现过其中有什么变化,肯定是假升' f6 x' |) m2 e& Y9 c; a6 N: z
级。惟一的例外就是某次升级后,网镖会对冲击波报警,可我等早就打了补丁,要它作甚
( g2 B K$ n L, `$ B J6 Z( S7 {- w?可是这个“内建规则”哪里都没法把它关掉,只好让它产生一堆垃圾日志。9 N# j/ k( ]( ?, W" [
大家如果要用规则过滤式防火墙,那就用天网,试用版也行。如果你不嫌麻烦,那就1 k7 ]( m! I; M3 L8 q
用BlackICE。不论如何,就是不要用网镖,又花钱又受罪。- R0 J$ f1 I( j+ x) q
2.金山那帮售后服务的人实在太菜,以下是经典问答:; c8 N+ c/ b& G: y) \# t
“毒霸怎么杀不了RAR?”“你到命令行下试一下,应该可以的……”,“毒霸怎么杀
# G, t/ ~3 m# A! }3 H, @, }0 _: v不了××病毒呀?狂点清除也杀不了耶。”“你到命令行下试试……”(小子,你们那个
1 g5 w/ } N1 K% Q/ E' R5 G很牛的“内存杀毒”呢?),“听说现在加壳木马很多耶,毒霸杀不杀得了?”“(有点
/ O; F" {4 N2 d+ K2 P$ U犹豫地说)应该可以的……”,大家还是自己实验的好。
4 K: d+ {# I/ [/ X$ y- X; K4 U$ x 3.有了以上几条,金山也仍然不能在众多骗子公司中“出类拔萃”,不过这一条可以
; n$ l$ [8 J# `$ ~- p2 A* r改变这一点。
- Q; ^ ]! B$ z4 t7 c 众所周知,毒霸6增强版加强了杀木马能力,号称可以增加查杀15000种木马。可是大9 y! M5 l/ i s0 ~ w7 n* _
家是否想过,这多出来的15000种木马是从哪儿来的?是从地里冒出来的还是从天上掉下来, r& g1 f" ]! I( _$ E
的?显然都不是,金山获得木马的途径只可能是来自上报。这也意味着金山扣押了大量的
- E6 j* y2 n) W: X5 V上报木马,以便进行这样一次市场炒作。本人这个说法绝非口说无凭,因为我与我的许多
7 ~+ V. K, {% h* ]; V/ o# z. Z9 N朋友都有相关的体会:(其实根本就不用这么多,金山的广告就够了,自己仔细看吧) @4 m0 A) q. v1 b, L9 i
% I* |2 f' X/ \ X) r; ` ①半年多以前,自己在电脑里抓了好几个木马,毒霸杀不出,便去上报。结果金山回
' Y' A5 C8 l' y! h5 e+ e6 iE—mail说已有人上报,要我等。我留了个心眼,过了几周便把它们拿出来杀杀,可是毒霸
2 f$ O; S, I6 k( B一直不报警。这几个文件我已经弄丢了,但我希望那些给金山上报过木马的人把上报的木
: }7 N9 j# ~# M# c) M3 N; x) u: @2 {马用未升到增强版的毒霸杀杀看,相信结果很多都是一样的。; e* v2 S6 a% C
②我有几个用毒霸的同学,在升到增强版后的那几分钟,电脑竟不约而同地报警说发
6 a: G1 s/ R7 I! N: b" ^ O' D3 A现木马。由于各种条件的限制,我只能搞到一个样本,不过相信这种情况一定为数不少。
5 q. k! i% d5 @ `/ x大家千万不能上金山的当,像我那几个同学一样,还以为增强版的能力很强呢。
- x9 Q. ]; a t$ Y! Q" X5 ~3 \; d) D 不管怎么说,毒霸的木马专杀本来就垃圾。木马专杀仅仅可以检查EXE关联与AUTOEXE
5 O+ z, X0 t5 J8 @+ k( iC.BAT以及CONFIG.SYS,比民间的“木马分析专家”差了几千倍,不能杀壳更是让木马专杀9 f4 r; D; A9 Q
成为了废物,加上扣押的15000种木马后,病毒库齐全度才达到KV的水平。2 ^' ?1 W6 u- P. d4 n1 _
“木马专杀”肯定是一个蓄谋已久的阴谋:全球每天才诞生200种病毒木马,就算它们
- [: M6 ~4 h1 T j全是木马,就算它们全部被金山收集到,那金山收集15000种木马也需要2个半月……而现
3 q9 [ @- {; n- O在金山更是把15000改为了20000,所以……
! z4 f% t- t9 M4 M e0 f8 ? 不得不承认,金山公司在国人心中的地位的确很高,但那仅仅是因为人家最早出现,
" O7 u/ f U3 F而这并不能说明人家的产品好、信誉好,那只是国人的想当然。在雷军上台的这几年,金2 @2 f; \4 P5 M) H) j
山广告的确做得很火,但软件的技术几乎没有长进。这就不止网镖毒霸了:金山词霸2005- J# c2 u- A9 g3 S
仅仅是2002版换了个界面与发音库,词条中的错误却一个也没改;金山快译虽号称智能引
* Z5 _5 X" S" B擎,但翻译效果却一直未超过Office2003,而且是差很远,几乎只相当于把一堆词拼揍起
1 L3 \4 x/ r8 A9 ~% V' O: |来,据网友说,金山快译2005会把“Counter—strike”译成“计算机罢工”——妈呀,人. q! C1 w% @1 y. a
家就是翻译成“柜台罢工”,我都不会介意的,可是“Counter”怎么跟计算机扯上关联了
9 U) O, b h4 i4 n6 e7 q?至于WPS,我认为也没什么好说的:WPS花哨的功能越来越多,可是时至今日,WPS仍未实
/ x0 A$ F* I N1 t1 A现电子表格中数据同步变换的功能,(即改一个数据,相关数据自动完成更改,这个功能6 @4 U& P3 t9 Q, W% J
是必备的)仍然需要大家自己一个个手动更改。而此功能在Office里面早已实现,这很是9 w6 |3 L( k5 l/ e" F
说明问题。
4 c: x8 B+ `( v7 T, O; R) d 以上的说法并非本人发现,它们全都是网上已有的说法。综合起来,大家便可轻易看* f; k& A# ~+ \( z+ {1 k
出金山的底细。
* V& H# T3 ^0 X! O+ U 当今骗子公司虽多,但也没有任何一个有金山这样明目张胆地坑人的,尤其是“木马5 Z( J, F; Z# n4 `2 }/ ~
专杀”一事,炒作疯狂,全国媒体一齐尽献媚词,其设局构思更是伟大到了史无前例的地
/ p- E. E7 q- g1 N6 z步,那个大名鼎鼎的网E拍又算哪根葱?知道有人会想说当年江民的硬盘炸弹事件,那的确+ @0 E$ c- C1 g) S% w/ a4 O
也是一个非常恶劣的行为,该骂。但当年的网民并不多,所以上网下载升级程序的受害者7 G1 B# s: H' O8 p0 g
并没有象大家宣传的那么多。再说那只是针对盗版用户的行为,(我没说这是合理的)而
# K. [) @* O/ [ U3 V" B7 f) c金山则是拿众多信赖金山的正版用户开刀,论动机金山显然更加无耻。硬盘炸弹事件早已
% d9 [: _7 i; t% G1 a被公布于世,金山的“木马专杀”事件更应被公开在光天化日之下。至于两害谁轻谁重,
: t8 z5 d1 a8 Q9 n7 v v9 |8 A那就是另外一个问题了。
* A$ b) y; u* q) ^ Y 但是,大家不要忘了,以上一切的一切,如果没有IT媒体的撑腰,都是不会发生的。! I) T1 M: `6 C* [+ Q
大家不要把当今的媒体看得多神圣,多有光彩。人家不是搞舆论监督的,搞舆论监督的也# D/ }; j! V7 p- b
不懂电脑。当今的IT媒体在面对谎言时,从来都没有打过头阵,从来都只是论坛的跟风者1 [% ^3 O* G2 l+ u0 x7 W
:3721、网E拍,它们全都是在网上论坛被骂得一塌胡涂的情况下才有媒体出来说话,有些
; \' Q/ p3 z- n% Y媒体更是直等到3721推出新版上网助手才出场,趁此机会做“评测”说3721根本没卸载方
: V) c# T3 T! m6 k2 F7 w. e7 `面的问题。(鬼知道这年头他们收了多少金山瑞星的广告费?)
! P! D6 e2 g5 E. M1 o" h; Y 他们从来都缺乏说真话的勇气。当金山瑞星“论战”之时,他们几乎是一言不发。不3 O. z4 }; I$ N; t5 B
要以为这是什么“清高”或是“公正”,在金山瑞星无数漏洞百出,毫无水平的“论词”; B+ z8 m9 S9 U/ W& A
面前,真正丢脸的应该是他们,这种无作为对于一个真正的媒体来说就是同流合污。这些2 D' c. A% z o. T6 c# [
年头,他们又不分青红皂白地给了毒霸瑞星多少虚名妄词,多少沾着读者血汗钱的“编辑
7 S7 y* ^. X" E9 i* l" Z选择奖”。试问天下谁是真枪手?他们才是!
4 v1 _4 L' @. X( p; E 上文中许多发现其实并不是我的原创,像瑞星漏杀问题在有些论坛上早已有人提出," o! l! N' v9 p. N
可是至今日,仍没有媒体敢提上半个字,足以证明他们的懦弱。看看他们干了些什么吧,
8 o% f4 u3 n2 T% S4 `整天仅仅是唱唱瑞星给它们的那首老歌:“半个月以来,病毒A和病毒B这两个病毒值得注. c1 f. C2 D h$ X4 u0 L3 E
意。病毒A试图/会/除了会××××。病毒B(则)试图/会/除了会××××。可以上网的/ l4 f, K- i! D
用户推荐采用在线杀毒方式,快速查杀这些病毒,也可以使用单机杀毒软件2004版,局域5 A" T+ l6 D( K5 W4 f- {
网用户最好能使用瑞星杀毒软件网络版来彻底清除这些病毒。《瑞星在线杀毒》无需升级 }% m) B5 ?& k% y, k. C
、《瑞星杀毒软件2004版》和《瑞星杀毒软件2004下载版》每工作日常规升级,遇紧急病
8 s: ~. X! t# |: V毒第一时间提供解决方案,每周升级的新病毒总数不少于400个!截止到×月底瑞星杀毒软
7 K2 D) C8 u- y# M- e2 g件将升级至××.××版本,望广大用户及时升级。如遇病毒,请拨打反病毒急救电话:07 G% Y9 G$ K& ~' {+ Z3 \2 B3 W
10—82678800或使用瑞星在线杀毒: http://online.rising.com.cn”这堆破玩
- C: s/ m# ?, n! f; f! u意儿对我们有何用?% |$ ]3 [( q: _
毒霸瑞星的地位并不是真刀真枪地干出来的,它们靠的是无尽的谎言:媒体的谎言,5 _$ o& K! f0 X8 m c' S
公安部的谎言,它们自己的谎言,颇有中国传统的“官官相护”之形。这正是看似简单的* k! \; d) h7 [( t
杀毒软件背后不可告人的黑幕。4 F) ?7 r1 X" ?% |% w# q
(以上观点只指截止至10月初的现象。同时由于取证时间较长,难免有疏忽,敬请指出); i0 j4 `3 M+ p. K& |, k/ ?
申明我不是江民内线
t: o: G6 J7 C, J6 @0 a% J# ` [此贴子已经被作者于2005-2-20 19:43:19编辑过] % O( c* Y" j# d9 C' c
|
|
/1 
IP卡
狗仔卡
发表于 2005-2-19 20:57:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2005-2-20 10:51:00
发表于 2005-2-25 02:08:00
发表于 2005-3-12 03:46:00
