|
|
6楼
楼主 |
发表于 2005-2-20 19:42:00
|
只看该作者
|
【转贴】杀毒软件背后的黑幕' k. k1 s3 o4 i
6 o' m' T0 q, \5 p5 Z; |杀毒软件背后的黑幕——中国最严重的信息安全问题3 D8 @( r. W% \5 P5 L7 [; ?
翻开2004年第18期《大众软件》,那个杀毒软件市场占有率排名让我百感交集:毒霸1 J* t' y. k0 [ x2 g
38%?瑞星29%,Norton14%,KV11%……,不要以为这只是几个简单的数字,这后面有太多9 y+ S( J' V5 u7 ]2 J7 {, q
的故事,一时,竟不知从何讲起。这样,我们先看看各个杀毒软件的真实能力。(本评测' c( A( _+ y" P! _* ~& {# m4 _
中KV指KV2004)
2 w7 z. j2 M# _7 J 一、病毒库! V2 R$ Z+ U/ Y$ r: g& b
这些年头看过许多评测,有民间的也有媒体的,几乎都是以病毒库是否全面为依据。
" [' j3 Z7 y7 g8 ?' q* |这是非常不科学的!暂且不说别的因素,我认为用杀毒软件对一堆病毒木马一通乱杀最后
$ F! }" t; f2 j6 k仅仅以检出率论英雄,是一种对读者不负责的数字游戏。
! W* e& h1 l# k. }5 }$ j 举两个最简单的例子,你有用过Norton去杀黑洞2004吗?不说别的,就说最有影响力
3 U1 Q7 N4 Y7 T h& T* B, n8 E5 t的0815版,Norton也是怎么杀也杀不出。这完全不是什么巧合,Norton如果杀n年前的经典
1 {: Z7 y9 E) A' T: F' ]木马冰河84,也还是杀得出来的,只是会在隔离区里加上两个字作注释——罕见……
) J ]8 Q" k7 d' c Norton是一个非常典型的例子,因为在这个方面的问题Norton是最明显的。不过其它
% R, X# d9 x$ {, f, D的外国杀毒软件也好不了多少,哪怕是那个公认的杀毒王兼升级狂AVP,大家拿手上那帮大
: q q. }" D' Z9 d马小马自个儿试试吧,保证叫它们死得惨不忍睹,AVP那么好的引擎又有何用呢?(据说当
' x M2 @' O8 P: d1 I年因为Pc-cillin杀不了CIH的某些国内变种,所以有人就……)
/ b0 z, D# H! |6 \+ r 就是不算木马,各种蠕虫变种也够这帮老外受的,其中最典型的就是Lovgate系列了。/ t4 q% O4 [+ v" R
有些用Norton的单位就算是天天更新,也总是不如它的变种来得快,甚至面对有些n年前的) v' R8 v. F6 ~4 _2 w
国产病毒,那帮老外也一声不吭。# y# n/ K. W. Q" ^% Z
综上所述,我们只能得到两个结论:1、面对众多国产病毒木马,外国杀毒软件只是一 n1 l; n. U0 y/ e1 D n
帮废物;2、以检出率论英雄是一个彻底的错误,因为一个1%可以包含很少的东西,也可以
1 h0 Y# S, F/ ?9 Q& H3 i/ Z包含太多的东西,同样的检出率,一个可以杀灰鸽子,一个可以杀Beast或××国外二线木
+ L5 J& }# R! [, {5 z马,你会选哪个?
2 a! o- ]8 q7 l 虽然如此,但如果检出率相差太大,那就是另一回事儿了。Norton的病毒库是非常不4 _" i. s' D6 P
全的,尽管在杀木马时与其它国外杀毒软件差不多,但在杀病毒时检出率相差实在太大。
2 V @% t: m( D5 X8 R在许多病毒库比较齐全的评测中,(不包括公安部)Norton总是在最后几名徘徊,远远落 W- |& m6 d7 }( I# E: Z }. W
在其它老外后面,甚至在有次国外媒体评测时仅给了Norton6.8分,(满分10分,,AVP9分8 I2 |# h6 F' a& Z/ Q6 v
)简直是……
5 k6 i# z! a7 V7 r; b& F 至于瑞星的病毒库也好不了多少,经常在民间评测中与Norton一起垫底,惟有木马库 j- i, \. ?6 I5 {; g
齐全了许多,所以其杀毒能力可想而知……当然,瑞星杀Lovgate这些国产病毒的检出率显5 [8 {- z& q' ?; ]/ t" m
然高些,但木马不同的是,病毒是会自我传播的,所以国外病毒在国内照样常见。于是有! y1 Z3 M' o) U
一次,我的一个用瑞星的同学在用Norton扫盘时扫出满盘的病毒……顺便说一句,当年瑞
2 A! D. Z9 @ U+ J$ [星2003时人家可是一周一次升级!在这个方面,只有KV与毒霸过关,其它的实在差太远了
' D) P- N) }! k% N% ~。" \( x0 I' J! H3 `5 Q
二、杀壳能力" u9 U: Z# }8 ^5 S
在我看过的评测中,基本上没有哪个把杀壳能力放在眼里的。事实上,没有杀壳能力5 {$ I7 v+ f& l: L
,一个杀毒软件在面对木马以及病毒变种时,基本上就成了废物,有谁用马不加壳?有谁1 L, G* w* G9 h6 }8 W8 }! M
改病毒不换壳?只要人家有意,你的杀毒软件一瞬间就可以挂掉。(近来网上有传言说加
5 m' Y: `* b0 I( }了壳的木马自释放时会还原,这个说法是假的)经本人实验,各大杀毒软件杀壳能力如下) r5 y/ H! d" o3 ]3 J' Y
:* \. |8 u# |' v: E8 q* Y4 o
McAfee及大多数国外二流杀毒软件:UPX8 p$ U# A6 S) K$ G7 ?9 Q& K
瑞星:无* j: M2 A- o' g8 R2 d" y
毒霸:无
" W7 e: ]" E& f$ S" X Y8 t( v Norton:无/ O$ m: X5 p5 M9 r4 w9 }+ ~% D" j
AVP:大多数流行壳2 e( F B. X) Y! H( H! U% T3 O8 O8 g
KV:大多数流行壳
& `( _6 |& V' h, o8 H7 D UPX是一种免费软件,所以支持杀UPX无需交专利费,如果一个杀毒软件连UPX都杀不了/ F9 I& |1 A7 S! D
,那只能说明他们那帮人偷懒。当然,无论如何,没有杀壳能力的这些杀毒软件会轻易地
0 G: f% m; r; k让你死翘翘的,所以大家今后必须重视杀壳能力。' {+ C E* R& j+ h7 H
6 V" x5 c5 S$ h( \5 N- p& A$ c
2 A/ Y* w' f! U c6 b- i: ?* m. n* n; _: E g; Y
同样的木马,一加壳便是不同的下场: V, c- S! V' x0 r
三、清除能力 x) X: V) O6 v/ P
不得不说,任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不
2 z# [) ?- M# q9 y9 S" K理想,不过由于在杀毒过后这些文件都成了死链接,所以随便找一个清垃圾文件的软件就! D: U- t- O3 m. @4 J' w: d
可以了。) S4 P* P2 n0 E& S' ^
其实关于清除能力,大多数的杀毒软件都差不多,不过倒还是有几个特例:9 O' m# d( r$ K# W
瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下,杀Lovg
n' d: [% Q% X; m+ }ate用了2天,杀某蠕虫病毒用了一周,杀folder.htt病毒用了超过一周时间也杀不干净,
% ^& W* E: b6 S# R5 }最后只用搜索并删除同名文件却杀干净了!明显是跳杀现象。, N4 U# C4 x9 t' {, v) F
Norton则是一见染毒文件就删,实在令人怀疑Symantec的人是否学过汇编。另外Norton在
/ L% }) K8 g$ U4 T# J! ^撞上一个病毒在内存中的进程时,竟经常不会自动关闭,需要你手动关闭,而其它任何杀/ ?. @8 s; t/ a) u9 Q
毒软件大都有此规则。
3 {. V9 p: X# p; _! |4 | 四、内存杀毒及DOS杀毒+ b7 `( j% l7 k+ s
当今国外杀毒软件基本没有再提供DOS杀毒的了,所以面对dll进程守护式的病毒木马6 I+ E% a, L- g9 W" Y) H8 Z* [% o; y
就只能到安全模式下碰运气了,并且有时还会失败。相比之下,毒霸、瑞星、KV都有DOS杀
$ N. e s/ _: F. B0 D1 Y$ i毒能力,只是毒霸杀不了NTFS,KV可以杀壳。
: f' H: c8 o' T1 e 国产杀毒软件都号称可以内存杀毒,但大都只是实时监控加进程关闭的换汤不换药,
7 l3 K1 e) }5 Q' B" D% J杀不了dll进程守护,甚至不去检查调用的dll文件,等于一个功能没加,只有KV一个一个7 B; \# X+ a2 D+ e) p
dll地检查,并有查到毒后反复检查内存及必要时自动开机检查的功能,dll进程守护的病
) h# f8 J. O& t" P0 h毒木马基本上都可以挂掉。实话说,只有KV的可以算有内存杀毒功能,其它的都是吹牛。
# G% o+ B% h7 E& T3 H5 E& _
1 G3 `7 ]# X. ?. l/ B/ j6 J 五、实时监控2 H8 K4 c: m( G/ U
当今的杀毒软件几乎都要吹一吹自己的实时监控,但实话说,没什么稀奇的:一是对
0 g( g, u$ D+ V: S0 a, _进入内存的程序进行扫描,二是预读。(解压时查毒属于第一项)第一项没啥子稀奇,至
% U; O$ y% t' y于第二项,国产杀毒软件的速度大幅超过了老外,的确可喜可贺。7 ]8 E( W9 x; t# }: n
尽管如此,不得不说说KV。KV的实时监控技术,即“动态比特滤毒”技术实在是太强
. M5 F+ ~: ~" c5 e了。为什么我一直在用Net Transport呢?因为在打开KV文件监控的时候,KV会自动对进入( V9 U6 U. G4 V5 z: F k! ~% X
电脑的文件进行扫描。如果是带毒的压缩包,KV会在下载结束的一瞬间报警,如果是EXE或+ g- P/ i$ Q0 p+ l$ `
DLL等,那么有时才下载到一半就会报警。另外如果你用Windows搜索时开KV文件监控,KV! z' r2 k& i+ j, l
会顺带地扫出很多东西,(前提是你硬盘上有)上次我就是忘了这一点,结果把自己的黑6 m, G$ ^, \% [* K( X% q9 b
软库一大半倒进了隔离区。(开个KV在网站上防Asp木马,爆爽!); R6 A1 g2 F7 M7 f) w/ b c5 q, y
六、杀未知病毒能力( {5 d8 v! {, X+ `# X9 o
当今的杀毒软件对这一点都“非常重视”;所谓“重视”就是大肆做相关的广告;行
* H, d! s; `& B J为判断、虚拟机法、智能跟踪……如果这些都是实话,那么面对一个歪壳压的病毒,杀毒
$ W5 _/ l* \* t9 v$ [: V1 g软件们理应报警,但事实上没有一个杀毒软件做到这一点,这些谎言也就不攻自破了。当0 e7 C$ E& v2 R/ Z1 M
今的杀毒软件的防未知病毒机制其实只有启发式扫描,即仅仅是扫描文件中的可疑代码。
6 U/ r4 _- a2 t/ h& t也就是说,如果解不了壳,再强的启发式扫描引擎也什么用也没有,由此,KV、AVP的表现( Z' q' H6 @) c
大幅超过了其它的杀毒软件。在加壳病毒横行的今天,其它的杀毒软件几乎全是吃鸭蛋。
3 t0 ^' V* _! C3 |6 h. h, E7 O
% U9 m7 | o2 e 不论如何,毒霸、瑞星和AVP的误报率都算比较高,尤其是前两者,几乎只有误报纪录/ ?, k8 W; V8 ~) j/ X! v7 P% g
,毒霸的实时未知病毒检测甚至会干扰到已知病毒检测。Norton与KV到目前为止我也没发
8 V4 Y8 |1 r* c3 d& K现误报,不过Norton的未知病毒检测也不乍地,只是比毒霸、瑞星强了许多。, }( M: h, F- x! l
不看误报率,只有AVP与KV的能力令人满意,AVP自然不用说,人家可是启发式扫描的
) z0 t. T6 b( d7 P% G+ t( d, G鼻祖,具体能力大家也清楚。事实上KV也是非常强的,只是可能大家不知道,最经典的例. N" Z0 b) U) R
子就是当年的KV3000不升级就可以挂掉冲击波!不过据说KV未知病毒检出率略低于AVP,也
0 T; C7 I" U6 n许这是为达到误报率为0所必须牺牲的吧。1 F+ l1 D4 Y& _6 P2 u
大家注意,哪怕是KV、AVP,它们杀未知木马的能力也为0,也许它们一向都只是在研0 s7 f- b! [5 A: R) R! N: n' o
究病毒吧。若要杀未知木马,大家一定要用****,据我实验,****是第一个采用行为判断法% Q$ J+ c; A2 h. F0 z
的安全软件,同时有超强的专门对付木马蠕虫的启发式扫描引擎,对付加壳木马也非常有
K# k1 a: l! ?& a* G* R一套,实为史上最强的杀马软件,曾被ZDNet评为年度十佳软件……如果你用过老版本的*
4 I# I* {, ?4 |. m% M***杀当今的黑洞灰鸽子你就知道了。不过这有点扯远了。" p4 h# O9 ~ h3 g o
七、速度8 x( z* B3 ]- s* i" Q1 i+ b
首先对毒霸的“闪电扫描”提出质疑:
- |+ n" x& A* u7 e$ Y$ W# H ①有谁愿意为了一点点时间而仅仅去扫某些病毒呢?安全至上呀。7 v- z" [: x( w
②病毒经常是相互附身一齐出现的,这可是常识呀。- Q- S$ v/ l6 Q$ f P
③鬼知道它扫的是哪100个病毒?) q$ b5 Y: i. A7 _3 d+ p8 N
“闪电扫描”顶多是一个花哨的噱头,基本上没有人用,大家不必理会它。大多数杀
$ @6 O& d/ Q/ k8 N; T2 f毒软件速度都差不多,可以接受就行了,不必排先后。不过AVP由于支持杀壳,所以在开了
, \; T1 [ N) P' e7 @% l# I杀壳后速度慢了很多。但瑞星令人实在受不了,慢得甚至出现了专杀工具速度跑不过其它
% j: R8 H0 l, W5 E$ O; ]1 \# s完整杀毒软件的奇特现象……。KV还是令人佩服,又支持杀壳,速度仍然很快,着实先进3 r+ Z" E7 W, {
,不能杀壳的毒霸扫再快也无法动摇这一点。, Y6 I7 r! E- U) P8 C A3 P
八、集成度
, ]0 }- r1 X# O6 m 老外们在这儿不得不出局:不支持QQ?Game over!
( I5 ?5 W! ~* P- X5 A+ m9 J7 S& v KV的集成度肯定是最高的:有了动态滤毒,KV等于是支持了一切聊天软件与下载软件
/ B, B/ q, l0 d,同时效率最高,名义上不支持QQ算什么?
& ^: W/ F$ J' `& f 毒霸及网镖在一次死机后图标全会消失不见,极不方便使用。瑞星用DLL进程守护解决. D7 \0 e" ~- {( Z o# ^
了这个问题,不过同时也带来了无尽的资源占用与冲突问题……3 D4 z* q2 s: G+ F1 g
九、压缩格式查杀支持(出于实用,我们只看ZIP与RAR)1 x- j, U# Y# w" `) q) d
KV:普通ZIP、超真空ZIP、RAR
$ R! L5 U3 n9 z' v: N; y0 C7 n& x AVP:普通ZIP、超真空ZIP、RAR# {! f! f) S8 c
毒霸瑞星:普通ZIP、RAR
- [ ^+ z* ^) |# a7 V$ R 其它大多数国外二流杀毒软件:普通ZIP3 _4 i/ u+ r6 u, w$ k
大多数外国人都不用RAR,所以Norton与McAfee等都杀不了RAR3 J9 t6 r& G( t/ ]( F1 L
十、资源占用与冲突:5 H5 t$ E$ |5 P5 G% d6 t" q
KV与AVP资源占用最小,获得广泛好评。Norton毒霸一般般,但开了QQ后Norton资源占1 n/ g" D# A' E- |# B
用暴升……瑞星这方面问题极严重,不仅是当之无愧的冲突王,也是万“死”不辞的资源 Z; y; R, Q, A/ z e) x& P
占用王,有些配置稍逊的电脑在开了瑞星后,(只装瑞星)弹出右健菜单竟需3—5秒……另1 N# J* W9 n& G& U6 `5 c; f/ P
外好象有一个说法,就是装了瑞星后装其它杀毒软件,基本上都会起冲突:装毒霸后不开实8 y" T. j6 M. R7 C1 _% ~
时监控系统也爆慢,网上有人把Norton这样装则是根本进不了系统。当然也有例外,就看; h* d& r5 H9 N; @ }5 n
你的造化了。
7 u6 i5 `1 Y: `# _ H3 N7 y0 d 总结:Norton实在太废,除了公安部和某些菜鸟,几乎是人神共诛,连外国同行都不
- U' I$ ]4 ]* s- x/ |4 |" E) D+ r9 J以为然。(6.8分,妈呀!)虽然Norton是实时监控的鼻祖,但却不思进取,活该。大家若- T7 Z" N- E9 x6 W6 u% L# D v& h
一定要崇洋媚外,那就请用AVP。不过我一开头就跟大家讲得很清楚,非本土化的杀毒软件
$ V1 `' ]! A% T( g/ i. m0 z$ E" n2 P的下场嘛……
$ t( x# b! s* V6 J& x- l$ g- Q* m 毒霸的表现勉强算二流,面对加壳木马还是太嫩了。瑞星则是我见过的最废的杀毒软3 ?4 g( B! P; F1 \" i
件:毒库不全,耗资源,易冲突,不杀壳,速度慢,跳杀!这年头民间防病毒软件非常多8 z1 K% M6 D0 f' j: O* p
,大的有十几兆,小的只有几十KB,没有一个有跳杀的问题,扫上7天对它们都算神话来的 K- g8 g0 {" M D" d {" T7 H) N
!毫不客气地说,这一点可以让我们确定,瑞星是全世界最废的杀毒软件——谁不知道跳
7 Q" d4 u* `& F) B" W3 B5 S1 E杀意味着什么?
4 z+ z) k& H2 }8 B# E' x2 g 至于我对KV的评价,也绝不是一家之言。有许多国外媒体都在吹AVP,但这并不代表A
3 y8 c m! | ^7 Q" \4 |VP比KV强,因为大家都没见过KV,惟一的例外是日本人评了一次,结果大家也知道,KV获
$ K) E0 @3 M% q& b6 U胜。与此同时,国内大多数的黑客专业网站推荐的也是KV。这跟本文的结论是一致的。KV
6 p8 E: s5 \! p# \; }, c如果做好了国外病毒木马的收集工作,届时一定可以在国外压过AVP的风头。
8 G4 g5 f( Z% ^ 我个人认为,本篇评测,是当今世界上最科学的评测之一:: r, \' N/ q8 J \; L/ k
1.一个评测如果只看重病毒库,那么只说明这帮人压根儿就不知道木马加壳术,不认
* ?0 e$ s: G( X* @, A; W# f/ {可加壳后的无敌木马的危险性,甚至连瑞星的跳杀问题都看不到!
/ T5 t6 Z* @8 F0 N9 y! K 2.一个杀毒软件的能力是有限的,并非一个数字可以代表得了,正如水浒英雄的能力
+ e& i. D6 ^ F3 D8 X0 `8 K并非那些“水浒人物卡”上的几个数字可以代表的,另外国外杀毒软件杀国产木马的狼狈
* V6 a: n2 U* I* ]( l相与评测时得到的检出率与分数完成不成比例,也能很好地说明这一点。一个真正合格的
3 ?- U& Q4 o& w2 C9 _' b评测应该是把各个杀毒软件的优点缺点都列出来,让读者自己去按自己的需要来判断,最
z1 y" {: \; S" A1 k/ n多分不同情况给它们简单排排名。
. @1 x) P2 H& j$ b 3.一个评测如果只是泛泛而谈,而不分出杀毒软件的优劣高下,这只能说明这是一个
' y7 T. ^+ h) {% N0 v3 [广告大串联,而不是什么评测。本评测中出现KV一边倒的局面并不能说明本人的方法不科
/ l8 _+ M0 O: t学,反倒说明其它的评测根本算不上评测。
. `/ U# L: Q0 ]1 c 4.最重要的一点,本评测一切论据与细节都是公开的。(比如病毒名称,评价原因)& ]* O4 ]. K* D( p3 n2 r
就算去除一些口说无凭的个人经验,只剩下大家可以自己操作自己实践的部分,大家仍会; b* s6 q( p( V2 J" |4 n$ R3 M9 _! j
得到同样的结论。本评测的真实性无可怀疑正基于此,大家尽可乱试。
4 e! j5 l: y: \ 如果仅仅是做个评测,那么离“黑幕”就差太远了,但是事情远不止这么简单。我认$ U r4 l6 w) m& y1 P0 `
为,如果压在KV头上的是AVP,我认为大家还有些讨论的余地,但我们可以看到,排在KV之
7 Z1 A: I8 ^, k/ p$ o e前的尽是些垃圾:毒霸、瑞星和Norton。它们的流行与中国人随波逐流、轻信广告、做事# Q4 h' K; _7 f' m/ R3 Q
不细究这些毛病都有关,这自然不用说,但我认为最重要的原因就是公安部的评测。, i! S7 Q* G1 L2 V! ^
公安部的评分是这样的:毒霸95,瑞星95,KV90,Norton85,其它的杀毒软件依次列- e2 l* Z% c" l* r% J3 }/ S
在后面。所谓检出率则是:毒霸100%,瑞星100%,KV100%,Norton9x%,依此类推。
$ `5 i6 B; l0 S$ F p 实话实说,公安部的评测是我见过的最假的评测,也是最害人的,因为它影响力最大
# O3 m0 Z5 ]1 s. |2 u: \,随便就可以扯出一大堆疑点:
" F4 J1 D% t* y" F 1.KV那么强的引擎,凭什么排在毒霸、瑞星后面?如果说毒霸、瑞星恰好撞上比较“
, |+ z ?: v3 H+ y适合”自己的病毒库,那还好说。但既然检出率都是100%,其它性能KV则是全面超越毒霸: X4 E6 `0 r( P- \3 ~2 W
、瑞星,凭什么KV要比人家低5分?& I# M% Q1 [* B5 M5 p: t
2.作为史上最废的杀毒软件,独一无二的冲突王、资源王、跳杀王,瑞星凭什么遥遥
; ~* P; a2 U3 N! q- a: u9 q领先,并列第一?) K+ w# P: T9 U/ ~6 X/ J# ^4 x. ]/ `6 P
3.作为国内市场中病毒库最不全的杀毒软件,作为一个在民间评测与国外媒体评测中
8 W! r* ~0 B5 a! E% H屡次垫底的杀毒软件,Norton凭什么比McAfee、PC—cillin、Panda这些家伙的分数与检出% U( y/ M2 q4 p/ t1 L! G0 `
率高?大家记住Norton当年的分数:6.3分!% f% u3 y1 C! c
4.凭什么大名鼎鼎的AVP不参加评测?
7 Z K4 U* Z5 G+ P) N 5.凭什么公安部几乎只看病毒库?虽然民间评测有这样的,但官方评测从来都不是这. Y# s( k' O0 ~; K( {) |+ o* m- v
样的。$ h4 G% s L& {; J/ s
6.凭什么公安部把除了病毒库之外的评分标准全不公开?
: l6 B4 M9 e( G: G2 c! h 7.凭什么公安部全盘都在暗箱操作?, {6 ~+ C$ v. {. s1 @' n
8.凭什么会出现三个杀毒软件同时得到100%检出率的情况?全世界的杀毒软件评测,7 W6 }% d' V7 n
根本就没出现这种情况。要么,就是公安部病毒太不全,要么就是人家想搞“民族产业振
9 k5 g9 J" Y& `( X" v% w! }兴”。' [8 H E7 t u& k
……
; @; T* V# @. @8 I7 c 疑点多到了让人几乎可以窒息的程度。研究一下杀毒软件的历史,发现公安部评测实
2 g$ v. n Z3 H; U' {+ r1 T+ M2 u在害人。( {. W4 b$ ~: }. y/ {
众所周知,KV是早期中国最著名的杀毒软件,一度市场占有率遥遥领先,今天却落到0 D8 t. ]; t9 V$ X. i
了这个地步,难道是技术问题?KV的病毒库一直是全国最全的几个之一,未知病毒查杀当: N1 L+ U1 |, C" F( c6 F
时在国内更是无可匹敌,而且早在KVW3000时代就可以杀UPX、Aspack甚至WWWPack这种偏壳
+ a- s; R; P6 w) b,恐怕只有AVP称得上对手。虽然对Win2000支持不好,但当时又有多少人用Win2000呢?那' b1 n I1 N$ K
时KV的UI的确很差,但有些人认为KV那时用的是KV300的引擎,则纯粹是以貌取人,上面说+ |, c R7 [7 s4 L
得非常清楚。然而公安部从那时起便不给KV好脸色看,KV于是便一落千丈,落得今天这个
* ^# ?( i: h& A$ H7 I& }地步。(硬盘炸弹固然也是一个原因,但今天还有几个网民记得这件事?还谈何影响力?8 i. u- {; u7 Q
再说,公安部做的可是评测,而不是历史清算)可是直到现在,毒霸、瑞星除了支持NT内
5 |3 }+ Y! m! S+ g" ^4 f6 R. P6 _核实时监控,几乎什么都比不上当年的KVW3000,足以证明公安部评测的胡闹与破坏性。前
, S, H2 [* o; } k. z) _* R面说了,KV的文件监控本来就可以达到QQ、UC、POPO等防毒功能,今天却在KV2005中特意& V+ L8 R% [1 g- |! \$ a+ [
“加上”相关功能,不得不说是一种无奈。5 F9 S n0 L5 u$ y6 s
KV的下场并非最惨的。有些人可能还记得当年有一个很著名的杀毒软件——行天。行" t+ n! T4 J% k( t/ {0 H) n
天虽没有KV的强大引擎,但病毒之全实在是出类拔萃,几乎一直是全国第一,而其它的任: W8 u' `- e/ R1 Q
何方面也不逊于毒霸,跳杀的瑞星更是不用说。安全之星XP(VRV)也一样,至少人家比瑞
. L5 {* u& `7 g6 ^* @5 r* N星毒库全,速度快,又没跳杀问题嘛。可是就是这样两个杀毒软件如今却销声匿迹,公安% |; G9 B; i3 O
部显然脱不了干系。
5 {) h4 H* j- F. w& k e- Y在这样一个节骨眼儿上,我不得不为KV说话——如果KV哪一天像行天VRV一样被整垮,我们0 f3 |3 \( }0 C) x2 C6 B! N
中国还有什么可以拿得出手的杀毒软件?我们如何面对微软的进军?我们如何面对今后出
! @7 d1 {0 ^' e! ]/ W l0 h: l现的彻底本土化的国外杀毒软件?网民们轻易相信广告固然是个原因,但如果没有公安部
) d0 j3 {5 z8 ]9 X7 u的评测,网民们会这样吗?
% J" e7 p# u; @ 一切疑点表明,公安部评测并非乱测乱评,而是有非常非常强的倾向性,是明显经过
# p( y9 U( G! ?0 S6 Z8 p0 c& e1 M人工操纵的非常明显的作弊行为!毫无疑问,这后面还有太多的故事、太多的后台、太多. W0 o; C! x* ~+ p
的黑幕、太多的权钱交易、太多的无耻。具体是谁在操纵,我也不知道,也没办法知道。* G# K' r# _! d
我只知道,它让三个垃圾占领了中国80%以上的杀毒软件市场。公安部评测,理应人神同诛: u' `( P% F. k7 \
!
9 ^3 L* ?* z, m7 {- @: C" J 公安部固然要负主要责任,但虚假广告照样脱不了干系。
; Q, d% e0 ~/ V. @0 i v( m7 L 瑞星的瞎吹倒不多,但也不是没有:“第五代国际领先可扩展引擎”——作呕!不过
4 m1 H( A' S. g$ \/ z: J! g$ ~瑞星还算是比较“谦虚”的,比如防未知病毒能力就只敢加个“瑞星专利”作形容词,“
* z- n1 P7 B; D1 ]" Q6 V0 r清除病毒”之前就不敢加个“彻底”,算有自知之明。
# e" ~+ }* {" Y5 J7 [! ~- _# Z Norton倒没做广告,到底是怎么流行的,除了OEM大家也清楚:谣言可畏啊!
+ c* H2 Y7 L. h1 T) w 最最最最无耻的就是金山了,实在是令人发指!不信请看:
' R2 N5 I/ C- C& V; m1 E r 1、把你的金山毒霸包装翻到背面,一条一条地看:7 y7 N% j1 ~ R. p
①“病毒处理速度>>病毒传播速度”这显然是瞎吹。 q( X( [. R0 l5 {; Y i
②“网页防毒,有效拦截……”这年头窗口炸弹写法也就几种,随便一找就找到一个& ]' A! y2 r( m& P3 W* c: f8 p- o
毒霸杀不出的,(KV与Norton都杀得出)至于广告拦截更是效果几乎为0。你敢用这玩意儿" G/ e: y3 `. c
拦网页木马吗?& w3 G. @+ B( L( z+ E j, O
③“闪电杀毒”前面也说了,花哨的垃圾。
4 c2 ~3 I% v/ k; ]! v1 [ ④“双引擎杀毒”金山的说法是:国际引擎是AVP的。懂一点杀毒软件的人都知道,双/ w; U! \. Q: |( p
重过滤分析是100%不可能实现的,否则毒霸耗的资源肯定不止那么多,速度也不可能那么
7 [) _. x5 M/ P! |7 G- h快。隐含的国际杀毒引擎杀国际病毒效果好的说法更是有违常识。同时,不能杀壳,不能
3 W) a& m6 P5 j% f+ B" w. E杀RAR,脚本拦截与杀未知病毒烂,这根本不是AVP的作风,去掉了它们,AVP根本不能称之+ F }. X' t/ c# w
为AVP。再说AVP风头正盛,哪会干出这种卖引擎的傻事?
( h. ] N2 s4 M" z8 b, Q 依我看,有三种可能:: H% x3 s9 @9 x, [9 o0 h
(a)金山只买了一小部分引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒6 A6 r; {7 i$ V+ w" N# j6 @6 W1 D
,等于没买。
) Z7 T4 [/ }9 ]) J2 a I& F! F (b)金山只买了一个老版本的AVP引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未
8 x9 B3 g/ l- u% s* {知病毒,等于没买。这还是有可能的,因为毒霸老早就在吹它,时至今日,甚至懒得用一
+ q1 I- ^5 O& H+ @. X个“全新”作修饰。如果真是这样,我倒想给金山提个建议:买一个KV300的引擎,然后就1 `$ H5 ]3 h- m7 x. g+ f& L
可以号称集成了KV的引擎了……3 E2 o9 o" G, v
(c)金山仅仅买了个名号,这就是真的没买了。
2 _% [2 \6 ^! R4 L! z g# T 这三条说到底就是没买嘛。! i- t& u- _+ i& B7 i
⑤压缩格式查杀:别的我没追究,反正金山号称可以杀RAR很久了,但直到推出增强版
. w ^9 \- Y7 }7 r R时才兑现,实在无耻。这个不用多说,大家一试便知。 S1 D; `# _( |9 ]6 c' g
⑥内存杀毒:前面的评测里讲得很清楚,不用多说,反正很多人都有毒霸报警却发现狂点) y5 p. `3 n% R# P3 `+ U+ J
也清不了毒的经历。不能内存杀毒也罢,金山竟敢再加一句“带毒杀毒技术,无需启动到& X9 R/ w! Q% ?5 v4 N5 G7 ]' t. e. G
DOS状态,直接在Windows环境下清除病毒”,真是厚颜无耻。每当我向金山售后服务问起/ i$ T1 o/ b: {+ F' I
这个问题,人家都抛下一句话:“你到DOS下面去吧”。可你要知道,毒霸DOS版杀不了NT0 v( y# m& D$ i1 X+ }& Y6 ~
FS呀!# ~# t* r% o8 H, N- b
⑦硬盘修复:修复CIH与Opasoft造成的破坏我倒没话说,虽然我没试过,但号称修复 u. M; V+ U; q- j3 b2 c7 D
Hdbreaker造成的破坏就肯定是胡扯了,实在是不自量力,我甚至怀疑这帮蠢货有没有见过" y- E8 H; Q( j9 Y' _5 N
Hdbreaker。如果大家嫌自己电脑全是垃圾,也可以试试,反正我是很想在金山的每台电脑
( @4 A6 x/ C) ?( l里都放上一个Aspack加壳的Hdbreaker:)* |& h" j. ^, j- R* A& e
顺便骂骂网镖:
9 Q6 s* D/ @( a9 L4 o$ [6 T ①作为一个规则过滤式防火墙,规则设定选项是它的灵魂。网镖的规则设定选项直到
- R7 i4 Q2 U& [今天也是最少最不全的,连设置繁琐的瑞星防火墙都比不上,还敢叫“个人专业防火墙”
, Y# S+ R$ R$ y3 T& R! C* ]?我宁可用Windows自带的防火墙。; a( j1 [" n+ y" s
③很多人都知道,新网镖有一个功能,可以自动拦截木马并报警。这功能看来似乎有
2 h! _; x5 E2 O用,但实际上是屁用没有。试想一下,网镖可以准确地报出木马名称,这肯定是人家动用# ~3 @/ Y" _: n6 U
了毒霸的引擎杀出的已知木马。要杀便杀,金山却多此一举,实在无聊至极,是明显的作
j" ?4 j# e6 ^5 U秀行为。 P6 k# D) o' j) f; c
④金山网镖几乎是一周升级一次,但相信没有人发现过其中有什么变化,肯定是假升0 S w7 f& W, q; c' H
级。惟一的例外就是某次升级后,网镖会对冲击波报警,可我等早就打了补丁,要它作甚
( b% \8 X+ @% \* B+ k S?可是这个“内建规则”哪里都没法把它关掉,只好让它产生一堆垃圾日志。6 Y, y2 U6 I/ s$ B
大家如果要用规则过滤式防火墙,那就用天网,试用版也行。如果你不嫌麻烦,那就
" Z0 p2 v1 L+ T! j4 J$ Y6 g" j用BlackICE。不论如何,就是不要用网镖,又花钱又受罪。
. s h# L# _3 V" m/ E: n1 ?0 l# E 2.金山那帮售后服务的人实在太菜,以下是经典问答:3 F T7 R% m, {# t2 q5 b
“毒霸怎么杀不了RAR?”“你到命令行下试一下,应该可以的……”,“毒霸怎么杀
T6 T! y* C. i) C+ N+ L/ v0 t* y不了××病毒呀?狂点清除也杀不了耶。”“你到命令行下试试……”(小子,你们那个
5 @/ m$ P4 A( s! l" R很牛的“内存杀毒”呢?),“听说现在加壳木马很多耶,毒霸杀不杀得了?”“(有点. A; }4 v0 p8 _3 M' N# z' k
犹豫地说)应该可以的……”,大家还是自己实验的好。
( n% W& s7 {0 P) [% ?7 o7 S 3.有了以上几条,金山也仍然不能在众多骗子公司中“出类拔萃”,不过这一条可以
2 C, K3 k9 B2 j改变这一点。
/ e2 s& N5 d6 M: Q- \0 @9 a 众所周知,毒霸6增强版加强了杀木马能力,号称可以增加查杀15000种木马。可是大
/ y* `8 B5 v5 w家是否想过,这多出来的15000种木马是从哪儿来的?是从地里冒出来的还是从天上掉下来. V0 N5 f' `/ ]9 t) Y4 d4 H
的?显然都不是,金山获得木马的途径只可能是来自上报。这也意味着金山扣押了大量的0 F Z+ j2 m+ C- ?- {. \. {
上报木马,以便进行这样一次市场炒作。本人这个说法绝非口说无凭,因为我与我的许多, i0 W& x( x* C
朋友都有相关的体会:(其实根本就不用这么多,金山的广告就够了,自己仔细看吧)
/ a9 T3 n c$ w4 ~. M$ f, M; o b+ d7 j$ F
①半年多以前,自己在电脑里抓了好几个木马,毒霸杀不出,便去上报。结果金山回
* e$ j4 ?6 k8 p( V( V0 s( IE—mail说已有人上报,要我等。我留了个心眼,过了几周便把它们拿出来杀杀,可是毒霸
$ ^) e# c- S1 k. U* f一直不报警。这几个文件我已经弄丢了,但我希望那些给金山上报过木马的人把上报的木3 ]. A# r) U. W _
马用未升到增强版的毒霸杀杀看,相信结果很多都是一样的。
. n+ P! E0 D$ ? x. H8 ` ②我有几个用毒霸的同学,在升到增强版后的那几分钟,电脑竟不约而同地报警说发" m9 B7 k, E! G1 y* s9 {5 r, j
现木马。由于各种条件的限制,我只能搞到一个样本,不过相信这种情况一定为数不少。
& J& _1 M* {; g0 M大家千万不能上金山的当,像我那几个同学一样,还以为增强版的能力很强呢。
, s$ g5 _2 S8 L' F4 F0 f5 z 不管怎么说,毒霸的木马专杀本来就垃圾。木马专杀仅仅可以检查EXE关联与AUTOEXE- D0 Z" T* p+ x5 B
C.BAT以及CONFIG.SYS,比民间的“木马分析专家”差了几千倍,不能杀壳更是让木马专杀9 W& T+ g3 H" {8 e5 F6 A
成为了废物,加上扣押的15000种木马后,病毒库齐全度才达到KV的水平。
: K# K# R/ f$ j4 Y2 D “木马专杀”肯定是一个蓄谋已久的阴谋:全球每天才诞生200种病毒木马,就算它们( i& O- y; p( E; `2 ^* q4 t3 [
全是木马,就算它们全部被金山收集到,那金山收集15000种木马也需要2个半月……而现
1 O( R) j5 B: P$ P7 ?" ^0 i在金山更是把15000改为了20000,所以……& S+ d/ G0 Z" R' s7 i% l3 f
不得不承认,金山公司在国人心中的地位的确很高,但那仅仅是因为人家最早出现,
8 p; D" @% z- e/ q而这并不能说明人家的产品好、信誉好,那只是国人的想当然。在雷军上台的这几年,金
6 P* d$ t: |7 X0 m" V, t6 _山广告的确做得很火,但软件的技术几乎没有长进。这就不止网镖毒霸了:金山词霸2005
" P- d. P9 |* `/ _+ t% _仅仅是2002版换了个界面与发音库,词条中的错误却一个也没改;金山快译虽号称智能引9 }( B9 `; n" z& |# o# ]( T2 `
擎,但翻译效果却一直未超过Office2003,而且是差很远,几乎只相当于把一堆词拼揍起& S8 `2 }/ K1 @' Q$ X( A
来,据网友说,金山快译2005会把“Counter—strike”译成“计算机罢工”——妈呀,人" |' o& z$ y0 {/ G/ m
家就是翻译成“柜台罢工”,我都不会介意的,可是“Counter”怎么跟计算机扯上关联了, l l! z( |( A0 t4 `- I* P
?至于WPS,我认为也没什么好说的:WPS花哨的功能越来越多,可是时至今日,WPS仍未实
6 r% D/ C# S9 E" S3 }. ~ y现电子表格中数据同步变换的功能,(即改一个数据,相关数据自动完成更改,这个功能; w( ~0 X2 s" X6 F4 I
是必备的)仍然需要大家自己一个个手动更改。而此功能在Office里面早已实现,这很是
2 n L- }+ {7 S8 w: v说明问题。% X' w- ^' K; I+ u
以上的说法并非本人发现,它们全都是网上已有的说法。综合起来,大家便可轻易看% s5 u& x' z4 J
出金山的底细。
6 y2 j% x, P& U7 {" o 当今骗子公司虽多,但也没有任何一个有金山这样明目张胆地坑人的,尤其是“木马
% e) [% } r: d* H0 o7 ~8 p) I, T专杀”一事,炒作疯狂,全国媒体一齐尽献媚词,其设局构思更是伟大到了史无前例的地; T" @2 E6 s& U6 d7 d- @3 {
步,那个大名鼎鼎的网E拍又算哪根葱?知道有人会想说当年江民的硬盘炸弹事件,那的确
' [- r( i I7 t2 Z" K+ ?& @也是一个非常恶劣的行为,该骂。但当年的网民并不多,所以上网下载升级程序的受害者
, _& T g, L. \$ U6 l并没有象大家宣传的那么多。再说那只是针对盗版用户的行为,(我没说这是合理的)而
" \0 m. s& X; k, N金山则是拿众多信赖金山的正版用户开刀,论动机金山显然更加无耻。硬盘炸弹事件早已! P& r* H) |, G$ h/ z
被公布于世,金山的“木马专杀”事件更应被公开在光天化日之下。至于两害谁轻谁重,: K% ^/ w& V. s, M: g
那就是另外一个问题了。
I1 ~# I- Z3 O3 s" `. H, e9 q1 A 但是,大家不要忘了,以上一切的一切,如果没有IT媒体的撑腰,都是不会发生的。3 J+ C; x+ C3 P! c7 P4 ]; M G
大家不要把当今的媒体看得多神圣,多有光彩。人家不是搞舆论监督的,搞舆论监督的也$ I# d) \+ w( q+ l: @8 N: N0 B
不懂电脑。当今的IT媒体在面对谎言时,从来都没有打过头阵,从来都只是论坛的跟风者
1 ]3 a3 Z0 H( H; v:3721、网E拍,它们全都是在网上论坛被骂得一塌胡涂的情况下才有媒体出来说话,有些
( j: V! J# e% W; ]1 g# S7 \媒体更是直等到3721推出新版上网助手才出场,趁此机会做“评测”说3721根本没卸载方
7 s }' v; o2 D' J' e面的问题。(鬼知道这年头他们收了多少金山瑞星的广告费?)
, u7 B7 B# E# A( g 他们从来都缺乏说真话的勇气。当金山瑞星“论战”之时,他们几乎是一言不发。不9 _/ i3 g; {! _! ~6 b
要以为这是什么“清高”或是“公正”,在金山瑞星无数漏洞百出,毫无水平的“论词”
+ i& G7 l: c1 u* Z6 B面前,真正丢脸的应该是他们,这种无作为对于一个真正的媒体来说就是同流合污。这些
* |1 `7 ?1 ^0 H5 ^* R! C年头,他们又不分青红皂白地给了毒霸瑞星多少虚名妄词,多少沾着读者血汗钱的“编辑
. q. M2 I2 d- \! S/ n; t e选择奖”。试问天下谁是真枪手?他们才是!- ~, l$ _( f# M( x# f
上文中许多发现其实并不是我的原创,像瑞星漏杀问题在有些论坛上早已有人提出,
! ]6 ^8 b8 \5 V# O' C可是至今日,仍没有媒体敢提上半个字,足以证明他们的懦弱。看看他们干了些什么吧,8 s+ y, E5 R+ D+ t) V1 [
整天仅仅是唱唱瑞星给它们的那首老歌:“半个月以来,病毒A和病毒B这两个病毒值得注
/ T. _3 D' B& n% F, s% c意。病毒A试图/会/除了会××××。病毒B(则)试图/会/除了会××××。可以上网的
3 Y! V! }6 R, D9 ~& g+ k% I3 Y# \用户推荐采用在线杀毒方式,快速查杀这些病毒,也可以使用单机杀毒软件2004版,局域9 J. d% `% @3 c! d I
网用户最好能使用瑞星杀毒软件网络版来彻底清除这些病毒。《瑞星在线杀毒》无需升级
1 \+ U( Q: F+ b# q、《瑞星杀毒软件2004版》和《瑞星杀毒软件2004下载版》每工作日常规升级,遇紧急病
* E" m& |9 W, s$ y毒第一时间提供解决方案,每周升级的新病毒总数不少于400个!截止到×月底瑞星杀毒软
: Y$ O3 W8 d/ |4 O/ m件将升级至××.××版本,望广大用户及时升级。如遇病毒,请拨打反病毒急救电话:0
# [( D0 X" n- ^2 j2 m8 W, k8 U10—82678800或使用瑞星在线杀毒: http://online.rising.com.cn”这堆破玩% ~$ w& f, V8 a) s" E% l% g9 z
意儿对我们有何用?
0 n# i4 C: n( P: h0 g 毒霸瑞星的地位并不是真刀真枪地干出来的,它们靠的是无尽的谎言:媒体的谎言,0 h+ j8 s2 t* x! f8 [
公安部的谎言,它们自己的谎言,颇有中国传统的“官官相护”之形。这正是看似简单的; |+ W4 u( _9 s: v
杀毒软件背后不可告人的黑幕。
) C4 }% O1 U7 d( H7 r7 E(以上观点只指截止至10月初的现象。同时由于取证时间较长,难免有疏忽,敬请指出)1 g5 }+ g1 \; p2 ^2 ]9 N
申明我不是江民内线' {( J% ^ P! b# w( A
[此贴子已经被作者于2005-2-20 19:43:19编辑过] 9 a8 P" e+ b* k9 o- d3 p$ V5 Y
|
|
/1 
IP卡
狗仔卡
发表于 2005-2-19 20:57:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2005-2-20 10:51:00
发表于 2005-2-25 02:08:00
发表于 2005-3-12 03:46:00
