|
|
6楼
楼主 |
发表于 2005-2-20 19:42:00
|
只看该作者
|
【转贴】杀毒软件背后的黑幕% a1 w7 {7 L/ b; g
6 m) `; Q' |1 E) @- h2 E0 s* s杀毒软件背后的黑幕——中国最严重的信息安全问题
" s) A; }6 l6 q- W 翻开2004年第18期《大众软件》,那个杀毒软件市场占有率排名让我百感交集:毒霸- m* F3 U3 Y, y# K5 x4 c2 ~
38%?瑞星29%,Norton14%,KV11%……,不要以为这只是几个简单的数字,这后面有太多
( I/ b9 p4 W1 {5 A" b的故事,一时,竟不知从何讲起。这样,我们先看看各个杀毒软件的真实能力。(本评测" o/ c: I# ~+ K2 V1 r7 w
中KV指KV2004)
, }# Q2 g6 n/ v4 N L- l 一、病毒库3 u2 {3 U9 t2 a8 D% ^. p# T
这些年头看过许多评测,有民间的也有媒体的,几乎都是以病毒库是否全面为依据。: Y" y4 g+ U: N
这是非常不科学的!暂且不说别的因素,我认为用杀毒软件对一堆病毒木马一通乱杀最后
# @# B& ]' z. R g( J. W& s仅仅以检出率论英雄,是一种对读者不负责的数字游戏。' F! N& C5 f9 a5 ~4 m. d6 _
举两个最简单的例子,你有用过Norton去杀黑洞2004吗?不说别的,就说最有影响力
5 S$ X. x) g F6 ?1 w6 c的0815版,Norton也是怎么杀也杀不出。这完全不是什么巧合,Norton如果杀n年前的经典
% O, K- H" `* K9 e木马冰河84,也还是杀得出来的,只是会在隔离区里加上两个字作注释——罕见……9 W& o1 @/ D9 G' k1 x! Q
Norton是一个非常典型的例子,因为在这个方面的问题Norton是最明显的。不过其它" k+ I( w! y( {9 Z2 M
的外国杀毒软件也好不了多少,哪怕是那个公认的杀毒王兼升级狂AVP,大家拿手上那帮大 U6 T6 v0 \$ w7 S
马小马自个儿试试吧,保证叫它们死得惨不忍睹,AVP那么好的引擎又有何用呢?(据说当
* Q( K- o U' \+ A年因为Pc-cillin杀不了CIH的某些国内变种,所以有人就……)
/ v9 S: C) A0 A) ?; g& s 就是不算木马,各种蠕虫变种也够这帮老外受的,其中最典型的就是Lovgate系列了。
0 u1 \) e! T$ o6 u. A* \有些用Norton的单位就算是天天更新,也总是不如它的变种来得快,甚至面对有些n年前的
( j3 g: W6 i6 {1 _国产病毒,那帮老外也一声不吭。
4 m% ~6 V# z) `' M" n 综上所述,我们只能得到两个结论:1、面对众多国产病毒木马,外国杀毒软件只是一
) {% t! D3 G. l0 Y% ]9 x帮废物;2、以检出率论英雄是一个彻底的错误,因为一个1%可以包含很少的东西,也可以
6 O) R+ S* }- `) z# i包含太多的东西,同样的检出率,一个可以杀灰鸽子,一个可以杀Beast或××国外二线木
5 U* F7 R; t6 ^* X, v& r马,你会选哪个?$ q% ?7 q" m- V/ s7 e- _% u
虽然如此,但如果检出率相差太大,那就是另一回事儿了。Norton的病毒库是非常不) X! ^1 G0 Z" R0 S& e( B
全的,尽管在杀木马时与其它国外杀毒软件差不多,但在杀病毒时检出率相差实在太大。# b' m4 j' c( F, B. _ H5 ]
在许多病毒库比较齐全的评测中,(不包括公安部)Norton总是在最后几名徘徊,远远落
. G7 n: H* l" h* [% {7 K5 Q; ^在其它老外后面,甚至在有次国外媒体评测时仅给了Norton6.8分,(满分10分,,AVP9分5 [& v7 v6 g! r; a
)简直是……
0 s4 F8 A& V: {2 M4 `2 Q G5 K 至于瑞星的病毒库也好不了多少,经常在民间评测中与Norton一起垫底,惟有木马库9 _; ~* v) h9 C9 D% x
齐全了许多,所以其杀毒能力可想而知……当然,瑞星杀Lovgate这些国产病毒的检出率显
# J8 v/ h8 M1 E+ [' E7 m" u; M, g然高些,但木马不同的是,病毒是会自我传播的,所以国外病毒在国内照样常见。于是有! F$ j1 W% ^* ]8 s/ y
一次,我的一个用瑞星的同学在用Norton扫盘时扫出满盘的病毒……顺便说一句,当年瑞 D& S2 m7 u$ y& ]$ l6 m$ ]
星2003时人家可是一周一次升级!在这个方面,只有KV与毒霸过关,其它的实在差太远了+ G5 N2 B8 p4 m7 J1 x
。
6 y [' F: P' w: h5 C 二、杀壳能力( x% S& K$ W! V: Y0 g5 R
在我看过的评测中,基本上没有哪个把杀壳能力放在眼里的。事实上,没有杀壳能力+ H2 J+ j% @; \# e! C$ k$ \; x
,一个杀毒软件在面对木马以及病毒变种时,基本上就成了废物,有谁用马不加壳?有谁
4 |# v. ]2 i* S0 [5 O改病毒不换壳?只要人家有意,你的杀毒软件一瞬间就可以挂掉。(近来网上有传言说加
$ m* k9 J! c# t5 T j6 a; A了壳的木马自释放时会还原,这个说法是假的)经本人实验,各大杀毒软件杀壳能力如下
' b4 {" f1 d# P4 |$ D( y# E# f3 L1 `3 m:' e; T: s* f( c. L6 q
McAfee及大多数国外二流杀毒软件:UPX7 r' Y- c; d& s3 ]2 D
瑞星:无
8 t: J- D( r' @1 k1 W 毒霸:无
& _& Z8 }, z8 F T& S# T. k9 B8 l2 i Norton:无% d0 e; M3 p: n f, I) b* r
AVP:大多数流行壳3 R- b' j) t/ d0 K! b
KV:大多数流行壳
9 Z( I V' U2 P, B UPX是一种免费软件,所以支持杀UPX无需交专利费,如果一个杀毒软件连UPX都杀不了
5 m6 {5 ]: h7 Q% A,那只能说明他们那帮人偷懒。当然,无论如何,没有杀壳能力的这些杀毒软件会轻易地. b! N! t2 d. ?* |
让你死翘翘的,所以大家今后必须重视杀壳能力。
3 x X; E4 z% z8 m: h$ t+ X& _0 v F- M) [: u
! g9 l# i' \7 ~) J7 O
0 v' D9 M' l) n. h同样的木马,一加壳便是不同的下场1 f( t5 s4 h( Q% _" \% V7 {4 h
三、清除能力
5 l5 p' ~0 H- y) f. Y; F+ d' c 不得不说,任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不
6 u, w$ Y. r! b2 p+ j) ~, I! }理想,不过由于在杀毒过后这些文件都成了死链接,所以随便找一个清垃圾文件的软件就: s+ K* I; R! S# R$ J: K* y
可以了。
- e0 s1 U; ^! O 其实关于清除能力,大多数的杀毒软件都差不多,不过倒还是有几个特例:9 q! ]* r0 H8 j" g; k: m5 q
瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下,杀Lovg7 \! N2 j1 @$ X7 j4 S( c& f
ate用了2天,杀某蠕虫病毒用了一周,杀folder.htt病毒用了超过一周时间也杀不干净,
]( M8 u3 I2 y, l z0 `) s最后只用搜索并删除同名文件却杀干净了!明显是跳杀现象。7 _' K( Y& Z5 R {3 Q" G
Norton则是一见染毒文件就删,实在令人怀疑Symantec的人是否学过汇编。另外Norton在
9 u! c2 N5 y5 f" ?: f4 J4 ?撞上一个病毒在内存中的进程时,竟经常不会自动关闭,需要你手动关闭,而其它任何杀
+ K/ q5 {8 ~; z. c毒软件大都有此规则。
4 Y$ x0 ^1 b! S7 b9 e" ~ 四、内存杀毒及DOS杀毒6 G/ C5 ], a. r& d2 y
当今国外杀毒软件基本没有再提供DOS杀毒的了,所以面对dll进程守护式的病毒木马$ _' }; P4 g4 J2 G
就只能到安全模式下碰运气了,并且有时还会失败。相比之下,毒霸、瑞星、KV都有DOS杀
: e# p9 |" ~2 ~, f+ D2 Y毒能力,只是毒霸杀不了NTFS,KV可以杀壳。
- M3 a2 V# A2 d8 { P 国产杀毒软件都号称可以内存杀毒,但大都只是实时监控加进程关闭的换汤不换药,/ f2 g7 O/ O" Y+ n% }; K5 W
杀不了dll进程守护,甚至不去检查调用的dll文件,等于一个功能没加,只有KV一个一个
, y) @) t, d: Ydll地检查,并有查到毒后反复检查内存及必要时自动开机检查的功能,dll进程守护的病
2 a1 y3 N3 U2 n( x; u1 y毒木马基本上都可以挂掉。实话说,只有KV的可以算有内存杀毒功能,其它的都是吹牛。
9 I) M9 q* I% i& O S* p5 T; ~4 x' T, f1 E& G4 t( n- }; Z. G8 p
五、实时监控
+ ]8 ?3 I9 j1 d0 s: g! @" h: v 当今的杀毒软件几乎都要吹一吹自己的实时监控,但实话说,没什么稀奇的:一是对. h: P2 c% X3 ~% Y: W g
进入内存的程序进行扫描,二是预读。(解压时查毒属于第一项)第一项没啥子稀奇,至
: b7 G7 d$ E* A" ]8 h7 f) g1 Y于第二项,国产杀毒软件的速度大幅超过了老外,的确可喜可贺。3 w5 H% f. ~$ J( I, h7 z
尽管如此,不得不说说KV。KV的实时监控技术,即“动态比特滤毒”技术实在是太强
- ]9 y0 G( @7 u0 W% `了。为什么我一直在用Net Transport呢?因为在打开KV文件监控的时候,KV会自动对进入
, ?: [1 |' @# W$ s电脑的文件进行扫描。如果是带毒的压缩包,KV会在下载结束的一瞬间报警,如果是EXE或7 b7 }: a" T% Z: ]
DLL等,那么有时才下载到一半就会报警。另外如果你用Windows搜索时开KV文件监控,KV' n1 R# P) |0 j% s
会顺带地扫出很多东西,(前提是你硬盘上有)上次我就是忘了这一点,结果把自己的黑' N; g# ]: B- i6 g8 u0 J
软库一大半倒进了隔离区。(开个KV在网站上防Asp木马,爆爽!)
! ]( p+ `1 L; O# Z 六、杀未知病毒能力8 ?+ I3 c% k4 e4 C
当今的杀毒软件对这一点都“非常重视”;所谓“重视”就是大肆做相关的广告;行
; m# }8 w4 P8 A) n: y为判断、虚拟机法、智能跟踪……如果这些都是实话,那么面对一个歪壳压的病毒,杀毒
d' N( \( R% T5 I& Z, ?软件们理应报警,但事实上没有一个杀毒软件做到这一点,这些谎言也就不攻自破了。当9 C+ t: ], L% `% F& X' I8 d
今的杀毒软件的防未知病毒机制其实只有启发式扫描,即仅仅是扫描文件中的可疑代码。
1 R* L/ W3 B/ u7 t: N2 c% y+ m也就是说,如果解不了壳,再强的启发式扫描引擎也什么用也没有,由此,KV、AVP的表现" i5 s3 F: E! S# P$ y
大幅超过了其它的杀毒软件。在加壳病毒横行的今天,其它的杀毒软件几乎全是吃鸭蛋。
3 d1 |2 c. o) M( X+ w4 X$ N2 {+ `6 o5 s3 V0 L
不论如何,毒霸、瑞星和AVP的误报率都算比较高,尤其是前两者,几乎只有误报纪录
' S' w- v J- v o6 b, Z" h% j,毒霸的实时未知病毒检测甚至会干扰到已知病毒检测。Norton与KV到目前为止我也没发
% V U, {4 f' I ?/ b# {% f# q0 o现误报,不过Norton的未知病毒检测也不乍地,只是比毒霸、瑞星强了许多。5 Z0 T3 G+ M c& w0 P# S; B
不看误报率,只有AVP与KV的能力令人满意,AVP自然不用说,人家可是启发式扫描的
: i( o- F! Q( N& `鼻祖,具体能力大家也清楚。事实上KV也是非常强的,只是可能大家不知道,最经典的例6 }) s9 T: b4 o4 I
子就是当年的KV3000不升级就可以挂掉冲击波!不过据说KV未知病毒检出率略低于AVP,也
: P$ ]6 a- y& m J" A许这是为达到误报率为0所必须牺牲的吧。7 b3 P) B- @0 J7 p
大家注意,哪怕是KV、AVP,它们杀未知木马的能力也为0,也许它们一向都只是在研
9 o- I, M1 H- z究病毒吧。若要杀未知木马,大家一定要用****,据我实验,****是第一个采用行为判断法
- e* m5 P* N0 O! |5 ^/ }3 X的安全软件,同时有超强的专门对付木马蠕虫的启发式扫描引擎,对付加壳木马也非常有' G0 d: z2 l/ T
一套,实为史上最强的杀马软件,曾被ZDNet评为年度十佳软件……如果你用过老版本的*0 O3 S! U, P2 b
***杀当今的黑洞灰鸽子你就知道了。不过这有点扯远了。
! o* C8 w$ a9 f' Z 七、速度* U& A, w# l* @
首先对毒霸的“闪电扫描”提出质疑:7 Y1 K( y+ I. Z5 g& p0 z0 M
①有谁愿意为了一点点时间而仅仅去扫某些病毒呢?安全至上呀。
^, R9 Q4 e7 ^% C' }, t ②病毒经常是相互附身一齐出现的,这可是常识呀。# _2 W2 D0 L4 g, Z( p' i( ^8 M
③鬼知道它扫的是哪100个病毒?7 V5 O6 E8 y4 c0 u3 a/ j
“闪电扫描”顶多是一个花哨的噱头,基本上没有人用,大家不必理会它。大多数杀
. F6 ?0 X0 G9 O& t3 D% o毒软件速度都差不多,可以接受就行了,不必排先后。不过AVP由于支持杀壳,所以在开了' o6 ?8 r) o% U0 W; V ^
杀壳后速度慢了很多。但瑞星令人实在受不了,慢得甚至出现了专杀工具速度跑不过其它
/ p0 B8 w$ ?( V- I$ X& U完整杀毒软件的奇特现象……。KV还是令人佩服,又支持杀壳,速度仍然很快,着实先进
( q! n: b8 W1 T. g,不能杀壳的毒霸扫再快也无法动摇这一点。
7 ^& @' j7 R0 d 八、集成度
" \2 `& p- J0 e+ I7 ^4 |$ C 老外们在这儿不得不出局:不支持QQ?Game over!) f* }6 {4 A, V! ]7 K
KV的集成度肯定是最高的:有了动态滤毒,KV等于是支持了一切聊天软件与下载软件
3 m) ~9 e8 x; ]/ a,同时效率最高,名义上不支持QQ算什么?/ q: w3 R: e k3 Q6 e! U* J Q
毒霸及网镖在一次死机后图标全会消失不见,极不方便使用。瑞星用DLL进程守护解决! h5 V! J0 p# D$ [/ ~
了这个问题,不过同时也带来了无尽的资源占用与冲突问题……
: L/ F# y* k1 U/ L0 }/ n* C 九、压缩格式查杀支持(出于实用,我们只看ZIP与RAR)
2 X" q) m, q! @, [2 J& M KV:普通ZIP、超真空ZIP、RAR) }4 Y$ |& G. e! ~) n ?( l
AVP:普通ZIP、超真空ZIP、RAR
5 m: x. T) @3 k6 _ 毒霸瑞星:普通ZIP、RAR* y& l- v% p: e* b! Y& u
其它大多数国外二流杀毒软件:普通ZIP7 [9 y: ?( Q) s8 J" C. i8 t! m
大多数外国人都不用RAR,所以Norton与McAfee等都杀不了RAR
. P& X3 S. Q) K1 b% R8 b& h 十、资源占用与冲突:3 q* H) \4 u! P
KV与AVP资源占用最小,获得广泛好评。Norton毒霸一般般,但开了QQ后Norton资源占
+ c7 y8 d! a! a3 J# q用暴升……瑞星这方面问题极严重,不仅是当之无愧的冲突王,也是万“死”不辞的资源
7 O9 \5 o' f- q+ u占用王,有些配置稍逊的电脑在开了瑞星后,(只装瑞星)弹出右健菜单竟需3—5秒……另& F6 ~/ S: L6 N
外好象有一个说法,就是装了瑞星后装其它杀毒软件,基本上都会起冲突:装毒霸后不开实
& o! P' l+ c' I/ Z, k; r' N时监控系统也爆慢,网上有人把Norton这样装则是根本进不了系统。当然也有例外,就看
; }* a! ]: x5 t+ J# j2 q你的造化了。3 s$ m! H5 T3 V* H! T H9 p% m
总结:Norton实在太废,除了公安部和某些菜鸟,几乎是人神共诛,连外国同行都不
; |8 c c5 G8 q. P, l以为然。(6.8分,妈呀!)虽然Norton是实时监控的鼻祖,但却不思进取,活该。大家若2 O- Q( q l4 G& Z" z
一定要崇洋媚外,那就请用AVP。不过我一开头就跟大家讲得很清楚,非本土化的杀毒软件# [6 B8 I4 U! ~8 U. v6 r; S+ S/ a
的下场嘛……
7 I# [: b$ t6 N 毒霸的表现勉强算二流,面对加壳木马还是太嫩了。瑞星则是我见过的最废的杀毒软
" `3 Z8 \8 {3 ^* g! o件:毒库不全,耗资源,易冲突,不杀壳,速度慢,跳杀!这年头民间防病毒软件非常多0 k5 Z8 P" r3 H* T
,大的有十几兆,小的只有几十KB,没有一个有跳杀的问题,扫上7天对它们都算神话来的$ u" }' w8 A1 I8 |7 ~. j( C
!毫不客气地说,这一点可以让我们确定,瑞星是全世界最废的杀毒软件——谁不知道跳
" |2 M$ @( c$ q6 K4 _杀意味着什么?
1 a3 t1 J2 ]4 G& U3 s" G1 Y 至于我对KV的评价,也绝不是一家之言。有许多国外媒体都在吹AVP,但这并不代表A
( [* }: i+ n2 m" d1 g, g: dVP比KV强,因为大家都没见过KV,惟一的例外是日本人评了一次,结果大家也知道,KV获
4 W2 x& E& I0 k( I0 D+ S胜。与此同时,国内大多数的黑客专业网站推荐的也是KV。这跟本文的结论是一致的。KV
: c- h* u( r% G9 O9 M# D如果做好了国外病毒木马的收集工作,届时一定可以在国外压过AVP的风头。
4 w4 @' l3 l$ J: O+ c' A/ U* V 我个人认为,本篇评测,是当今世界上最科学的评测之一:) w! K) {6 f/ j: V: D; J
1.一个评测如果只看重病毒库,那么只说明这帮人压根儿就不知道木马加壳术,不认% j: L/ m$ ^& X, M* U
可加壳后的无敌木马的危险性,甚至连瑞星的跳杀问题都看不到!5 E' M8 I% G. \4 @
2.一个杀毒软件的能力是有限的,并非一个数字可以代表得了,正如水浒英雄的能力
( X( Q5 v8 o6 B' l8 F并非那些“水浒人物卡”上的几个数字可以代表的,另外国外杀毒软件杀国产木马的狼狈' } D2 B' [8 K6 h5 {; E, I
相与评测时得到的检出率与分数完成不成比例,也能很好地说明这一点。一个真正合格的( K8 f3 P- R& i0 k) f1 F! f) ? Z
评测应该是把各个杀毒软件的优点缺点都列出来,让读者自己去按自己的需要来判断,最
: D9 L4 `& _: Y3 e$ z& [$ \多分不同情况给它们简单排排名。: E, F5 x2 V) R: D* n' E. w
3.一个评测如果只是泛泛而谈,而不分出杀毒软件的优劣高下,这只能说明这是一个
, U3 @$ s4 A2 m; \8 {& n+ \! @6 Y广告大串联,而不是什么评测。本评测中出现KV一边倒的局面并不能说明本人的方法不科
/ S q7 t7 u6 @- V9 ?4 [1 J- ]学,反倒说明其它的评测根本算不上评测。# V2 q4 \; I* O# x* ]0 Q
4.最重要的一点,本评测一切论据与细节都是公开的。(比如病毒名称,评价原因)& a7 D% b: J: ?8 u' a" X
就算去除一些口说无凭的个人经验,只剩下大家可以自己操作自己实践的部分,大家仍会
* R+ e: S& d, F0 h) M* ]得到同样的结论。本评测的真实性无可怀疑正基于此,大家尽可乱试。$ D; L8 o+ ?3 ?8 ~& R
如果仅仅是做个评测,那么离“黑幕”就差太远了,但是事情远不止这么简单。我认! ~% }7 K) k) G% `3 J9 m+ l1 x/ t
为,如果压在KV头上的是AVP,我认为大家还有些讨论的余地,但我们可以看到,排在KV之
% |" O2 i: Y# P8 G5 P3 e6 \: _前的尽是些垃圾:毒霸、瑞星和Norton。它们的流行与中国人随波逐流、轻信广告、做事+ L; _9 f0 m2 m6 y; h8 n% g
不细究这些毛病都有关,这自然不用说,但我认为最重要的原因就是公安部的评测。. F- ^ ?: p, J. i/ v/ q
公安部的评分是这样的:毒霸95,瑞星95,KV90,Norton85,其它的杀毒软件依次列
6 p2 G; [: g6 d% Z* i在后面。所谓检出率则是:毒霸100%,瑞星100%,KV100%,Norton9x%,依此类推。
* o! }3 i2 ~7 A/ ^' }, @4 Y' p# o 实话实说,公安部的评测是我见过的最假的评测,也是最害人的,因为它影响力最大- a/ `& m8 H" u2 R+ v3 b% C4 X
,随便就可以扯出一大堆疑点:$ l, k9 G B# {% t+ G5 y5 }
1.KV那么强的引擎,凭什么排在毒霸、瑞星后面?如果说毒霸、瑞星恰好撞上比较“2 m8 Y' x6 F' u- T2 X" J
适合”自己的病毒库,那还好说。但既然检出率都是100%,其它性能KV则是全面超越毒霸2 d4 l/ z; r8 `: ?: t
、瑞星,凭什么KV要比人家低5分?
/ O) o Z. ?6 ~9 N! ]! E 2.作为史上最废的杀毒软件,独一无二的冲突王、资源王、跳杀王,瑞星凭什么遥遥
, j C7 i3 p9 ~9 h- [' ~领先,并列第一?$ `" w! E; C/ H7 I
3.作为国内市场中病毒库最不全的杀毒软件,作为一个在民间评测与国外媒体评测中
- U5 y) e1 {5 Y* q# I5 p$ }+ n屡次垫底的杀毒软件,Norton凭什么比McAfee、PC—cillin、Panda这些家伙的分数与检出
1 C3 J( X7 h) W K' @$ \率高?大家记住Norton当年的分数:6.3分!5 z5 w& [, M! n1 G
4.凭什么大名鼎鼎的AVP不参加评测?
: e# K! Q6 `+ B$ C: p0 u 5.凭什么公安部几乎只看病毒库?虽然民间评测有这样的,但官方评测从来都不是这' O6 r' K* m6 G3 t' f$ W
样的。8 F6 I- U! v* n: N, x
6.凭什么公安部把除了病毒库之外的评分标准全不公开?7 s) }; e" g. J& E6 I
7.凭什么公安部全盘都在暗箱操作?
8 C5 ?2 c8 S3 Q) K0 Y* F 8.凭什么会出现三个杀毒软件同时得到100%检出率的情况?全世界的杀毒软件评测,
. K3 ^$ n F6 F! _( a/ l根本就没出现这种情况。要么,就是公安部病毒太不全,要么就是人家想搞“民族产业振* f8 b! F% n) S+ N# F$ J; M/ Y
兴”。
# B$ e; q+ r! z) k……7 J4 [" H( x( m2 }/ h& [
疑点多到了让人几乎可以窒息的程度。研究一下杀毒软件的历史,发现公安部评测实- k1 A& g3 P3 M3 m! x2 |" U8 ?7 L
在害人。' S( r; T) O8 X# Z$ U' {$ |+ C9 z4 |
众所周知,KV是早期中国最著名的杀毒软件,一度市场占有率遥遥领先,今天却落到2 j9 K: g9 w" r( S! ~
了这个地步,难道是技术问题?KV的病毒库一直是全国最全的几个之一,未知病毒查杀当
2 m1 ^- p! z& }6 ^! Z时在国内更是无可匹敌,而且早在KVW3000时代就可以杀UPX、Aspack甚至WWWPack这种偏壳
. j8 v5 F& _8 X# u7 q* M! v,恐怕只有AVP称得上对手。虽然对Win2000支持不好,但当时又有多少人用Win2000呢?那
# a) {% i) c4 ]+ V7 r时KV的UI的确很差,但有些人认为KV那时用的是KV300的引擎,则纯粹是以貌取人,上面说
" H; N0 E5 U0 r, ~. V& z, n得非常清楚。然而公安部从那时起便不给KV好脸色看,KV于是便一落千丈,落得今天这个
( R0 M5 t9 \& B! B9 Z* `2 J- M地步。(硬盘炸弹固然也是一个原因,但今天还有几个网民记得这件事?还谈何影响力?2 _5 K; j: X& \5 t7 R8 f- y
再说,公安部做的可是评测,而不是历史清算)可是直到现在,毒霸、瑞星除了支持NT内( U3 n+ l, ?0 T
核实时监控,几乎什么都比不上当年的KVW3000,足以证明公安部评测的胡闹与破坏性。前, E" E) w) B6 {5 f$ n+ g# G
面说了,KV的文件监控本来就可以达到QQ、UC、POPO等防毒功能,今天却在KV2005中特意
8 e$ y5 I' s4 B+ d* D: U“加上”相关功能,不得不说是一种无奈。
% `; D' `, w1 a* A KV的下场并非最惨的。有些人可能还记得当年有一个很著名的杀毒软件——行天。行0 B0 H' q# R, ], Z+ V
天虽没有KV的强大引擎,但病毒之全实在是出类拔萃,几乎一直是全国第一,而其它的任* _# w7 ]" C$ m5 I0 e3 F& b% G
何方面也不逊于毒霸,跳杀的瑞星更是不用说。安全之星XP(VRV)也一样,至少人家比瑞
' F( \! Y9 x- Z+ q星毒库全,速度快,又没跳杀问题嘛。可是就是这样两个杀毒软件如今却销声匿迹,公安9 p# z% A! X8 W" Z
部显然脱不了干系。
4 P2 H4 K$ b6 \在这样一个节骨眼儿上,我不得不为KV说话——如果KV哪一天像行天VRV一样被整垮,我们- _- o& ^: c" `0 N5 Z# }8 ^
中国还有什么可以拿得出手的杀毒软件?我们如何面对微软的进军?我们如何面对今后出
# Q4 U+ o& T* R' ~5 ^现的彻底本土化的国外杀毒软件?网民们轻易相信广告固然是个原因,但如果没有公安部
: d! D4 m. a3 g p$ z的评测,网民们会这样吗?% i. \$ x2 I+ z* i
一切疑点表明,公安部评测并非乱测乱评,而是有非常非常强的倾向性,是明显经过
( f l6 W+ R5 G9 l, |6 `人工操纵的非常明显的作弊行为!毫无疑问,这后面还有太多的故事、太多的后台、太多5 O) q: k0 @" T9 o7 H4 X4 E
的黑幕、太多的权钱交易、太多的无耻。具体是谁在操纵,我也不知道,也没办法知道。% f3 C, \, N' e. x7 A! r7 O, H* H
我只知道,它让三个垃圾占领了中国80%以上的杀毒软件市场。公安部评测,理应人神同诛
* T7 ~! ~% F6 A1 o4 K5 |!
_, v* _( V2 _3 i2 A, S) p/ C 公安部固然要负主要责任,但虚假广告照样脱不了干系。
) C5 t6 W6 H1 F4 P% [ 瑞星的瞎吹倒不多,但也不是没有:“第五代国际领先可扩展引擎”——作呕!不过4 v; p( f8 i, @. y: E% L( N
瑞星还算是比较“谦虚”的,比如防未知病毒能力就只敢加个“瑞星专利”作形容词,“
/ G8 A- l2 g& k' z' f% k清除病毒”之前就不敢加个“彻底”,算有自知之明。
' M# o, Z- @: M) I3 u Norton倒没做广告,到底是怎么流行的,除了OEM大家也清楚:谣言可畏啊!
( o C+ u2 u: M- \5 ? 最最最最无耻的就是金山了,实在是令人发指!不信请看:3 C( G- D$ {' b8 t
1、把你的金山毒霸包装翻到背面,一条一条地看:+ Y k' u' h g
①“病毒处理速度>>病毒传播速度”这显然是瞎吹。
3 R* g4 t0 [' g) ]7 X* v ②“网页防毒,有效拦截……”这年头窗口炸弹写法也就几种,随便一找就找到一个) r/ Q0 q' ?* P! O; e) H
毒霸杀不出的,(KV与Norton都杀得出)至于广告拦截更是效果几乎为0。你敢用这玩意儿. C: d V/ @, |2 |" o" J
拦网页木马吗?5 E Z" u( }1 A( P' D
③“闪电杀毒”前面也说了,花哨的垃圾。3 W, W# f& R# c
④“双引擎杀毒”金山的说法是:国际引擎是AVP的。懂一点杀毒软件的人都知道,双/ m( [7 C' r3 y$ u1 [( \! ?
重过滤分析是100%不可能实现的,否则毒霸耗的资源肯定不止那么多,速度也不可能那么
, J* ]. T }; M+ P1 [快。隐含的国际杀毒引擎杀国际病毒效果好的说法更是有违常识。同时,不能杀壳,不能; n0 x( [& ] K! y5 r0 e
杀RAR,脚本拦截与杀未知病毒烂,这根本不是AVP的作风,去掉了它们,AVP根本不能称之
9 J, {. x8 k6 P$ t- [% _为AVP。再说AVP风头正盛,哪会干出这种卖引擎的傻事?
. L; |, j. Q _ s0 { 依我看,有三种可能:9 v) v0 o; ?+ [( r5 P
(a)金山只买了一小部分引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒. [$ H) [8 D. @0 E7 P6 w) D
,等于没买。- U/ x2 O4 z7 K* U" l1 _3 l
(b)金山只买了一个老版本的AVP引擎,不能杀壳不能杀RAR不能杀窗口炸弹不能杀未
% V) ]5 o) t! o. Q, c知病毒,等于没买。这还是有可能的,因为毒霸老早就在吹它,时至今日,甚至懒得用一
. Y; Z3 [4 @; t9 K2 O6 d个“全新”作修饰。如果真是这样,我倒想给金山提个建议:买一个KV300的引擎,然后就: F. N& l" ?+ a2 F3 w
可以号称集成了KV的引擎了……
' Y! i3 y# U' ~* t, k (c)金山仅仅买了个名号,这就是真的没买了。
1 C6 h4 S8 a4 i I3 m 这三条说到底就是没买嘛。 d2 R8 S2 G( b0 n) d+ f4 a4 @0 j
⑤压缩格式查杀:别的我没追究,反正金山号称可以杀RAR很久了,但直到推出增强版 T }) W- {, f4 F2 ~8 _9 S
时才兑现,实在无耻。这个不用多说,大家一试便知。
: r: {* _3 L4 ^3 f- g J⑥内存杀毒:前面的评测里讲得很清楚,不用多说,反正很多人都有毒霸报警却发现狂点
0 Z! w% C( l$ d- A1 n9 f: I- w也清不了毒的经历。不能内存杀毒也罢,金山竟敢再加一句“带毒杀毒技术,无需启动到* J5 w6 a G# A
DOS状态,直接在Windows环境下清除病毒”,真是厚颜无耻。每当我向金山售后服务问起
`) J2 A" q1 F5 H& D% _这个问题,人家都抛下一句话:“你到DOS下面去吧”。可你要知道,毒霸DOS版杀不了NT
: }, X" S( }% DFS呀!
( k) I: T& I5 S2 X+ u @6 m ⑦硬盘修复:修复CIH与Opasoft造成的破坏我倒没话说,虽然我没试过,但号称修复
7 e6 u7 ?9 v) \; h, M9 @Hdbreaker造成的破坏就肯定是胡扯了,实在是不自量力,我甚至怀疑这帮蠢货有没有见过1 F! g5 H5 Q% i4 ?6 d
Hdbreaker。如果大家嫌自己电脑全是垃圾,也可以试试,反正我是很想在金山的每台电脑5 ^0 `5 y* x8 g1 R
里都放上一个Aspack加壳的Hdbreaker:)5 x1 K! k+ N& F5 i
顺便骂骂网镖:
. l7 L& R8 ]- l3 C9 o ①作为一个规则过滤式防火墙,规则设定选项是它的灵魂。网镖的规则设定选项直到
: Y) N' v4 A8 |! C6 g7 q今天也是最少最不全的,连设置繁琐的瑞星防火墙都比不上,还敢叫“个人专业防火墙”
' Q A% `6 y! r?我宁可用Windows自带的防火墙。
; P( N N" t! }* j0 @) T1 s ③很多人都知道,新网镖有一个功能,可以自动拦截木马并报警。这功能看来似乎有, [' @* K2 F" [% S/ T- _0 ~
用,但实际上是屁用没有。试想一下,网镖可以准确地报出木马名称,这肯定是人家动用
2 }, D2 N G) j+ a% c了毒霸的引擎杀出的已知木马。要杀便杀,金山却多此一举,实在无聊至极,是明显的作) C- _0 e) D1 l+ j# r" K
秀行为。
, z, `8 K j B* Y1 \7 Z ④金山网镖几乎是一周升级一次,但相信没有人发现过其中有什么变化,肯定是假升
1 O- w) ?& Y1 l6 Z% X! D级。惟一的例外就是某次升级后,网镖会对冲击波报警,可我等早就打了补丁,要它作甚
G& S1 d/ H& ~/ {1 g( o: a?可是这个“内建规则”哪里都没法把它关掉,只好让它产生一堆垃圾日志。; Y. \- p4 g& u+ g% \8 T
大家如果要用规则过滤式防火墙,那就用天网,试用版也行。如果你不嫌麻烦,那就
W( }0 Q( H( t" c7 W7 x+ t用BlackICE。不论如何,就是不要用网镖,又花钱又受罪。9 V: Y- J, U0 B9 [
2.金山那帮售后服务的人实在太菜,以下是经典问答:
2 e4 `; S5 l3 v$ |: K. h! M3 R' F “毒霸怎么杀不了RAR?”“你到命令行下试一下,应该可以的……”,“毒霸怎么杀7 X! |+ h* m4 P! J) f+ I. y
不了××病毒呀?狂点清除也杀不了耶。”“你到命令行下试试……”(小子,你们那个) x6 ^ O% M8 N0 N9 p
很牛的“内存杀毒”呢?),“听说现在加壳木马很多耶,毒霸杀不杀得了?”“(有点
0 p7 p; w* B& L& q. l0 ]* _犹豫地说)应该可以的……”,大家还是自己实验的好。
5 }' E2 y& ]" D3 Q: K( I 3.有了以上几条,金山也仍然不能在众多骗子公司中“出类拔萃”,不过这一条可以
% I2 R; G" u; j/ f3 x7 x改变这一点。2 a' t: w( k( U/ `; e+ T
众所周知,毒霸6增强版加强了杀木马能力,号称可以增加查杀15000种木马。可是大
# m1 S" Z6 O8 P! q/ R7 F家是否想过,这多出来的15000种木马是从哪儿来的?是从地里冒出来的还是从天上掉下来7 Z/ R6 s& ]: k ?
的?显然都不是,金山获得木马的途径只可能是来自上报。这也意味着金山扣押了大量的
2 E8 d& j8 P5 |" J& q上报木马,以便进行这样一次市场炒作。本人这个说法绝非口说无凭,因为我与我的许多5 Q: w/ Y# a3 k- i
朋友都有相关的体会:(其实根本就不用这么多,金山的广告就够了,自己仔细看吧)
p: p5 @* g+ {4 N6 l2 I) c8 k- N
; `9 T- h/ S8 ` E; ~5 \* f3 e' S: f ①半年多以前,自己在电脑里抓了好几个木马,毒霸杀不出,便去上报。结果金山回* S* A' D! N4 u* v- E
E—mail说已有人上报,要我等。我留了个心眼,过了几周便把它们拿出来杀杀,可是毒霸
: G# `& s4 s9 `. h L& H一直不报警。这几个文件我已经弄丢了,但我希望那些给金山上报过木马的人把上报的木7 t) a4 f, H; e' ? t- g/ @. D/ l( h
马用未升到增强版的毒霸杀杀看,相信结果很多都是一样的。0 Q; q" k7 h; u8 R4 ^& [
②我有几个用毒霸的同学,在升到增强版后的那几分钟,电脑竟不约而同地报警说发4 u/ _. ]2 b: t6 F
现木马。由于各种条件的限制,我只能搞到一个样本,不过相信这种情况一定为数不少。
x- t: O$ c& @. F5 _( i大家千万不能上金山的当,像我那几个同学一样,还以为增强版的能力很强呢。
; l6 ? V5 d" w7 R9 v 不管怎么说,毒霸的木马专杀本来就垃圾。木马专杀仅仅可以检查EXE关联与AUTOEXE
6 e. V. E& T$ xC.BAT以及CONFIG.SYS,比民间的“木马分析专家”差了几千倍,不能杀壳更是让木马专杀
q% Z9 }2 T" @: z$ e成为了废物,加上扣押的15000种木马后,病毒库齐全度才达到KV的水平。, Z6 Q4 d- S4 x& n8 j: k
“木马专杀”肯定是一个蓄谋已久的阴谋:全球每天才诞生200种病毒木马,就算它们7 U8 v9 Z. j" F8 y( ~
全是木马,就算它们全部被金山收集到,那金山收集15000种木马也需要2个半月……而现
8 W2 x+ j9 Z5 r. R1 j( R在金山更是把15000改为了20000,所以……
Z- F0 K# z7 m- r1 A0 k 不得不承认,金山公司在国人心中的地位的确很高,但那仅仅是因为人家最早出现,
% P3 r4 G& k4 D; V5 z& w. V) @: O而这并不能说明人家的产品好、信誉好,那只是国人的想当然。在雷军上台的这几年,金
: D; o! J0 Q, h5 t x) y0 v山广告的确做得很火,但软件的技术几乎没有长进。这就不止网镖毒霸了:金山词霸2005
! f3 N, d4 R+ M' U7 k p! Y1 X) q' @仅仅是2002版换了个界面与发音库,词条中的错误却一个也没改;金山快译虽号称智能引
0 b! K3 z$ v& ^擎,但翻译效果却一直未超过Office2003,而且是差很远,几乎只相当于把一堆词拼揍起- P" ~7 k* c8 l# j+ H! d# S
来,据网友说,金山快译2005会把“Counter—strike”译成“计算机罢工”——妈呀,人8 v; b% a1 W0 g! g% k- P; o3 v
家就是翻译成“柜台罢工”,我都不会介意的,可是“Counter”怎么跟计算机扯上关联了0 F8 X: x( M+ Y, {$ a/ f
?至于WPS,我认为也没什么好说的:WPS花哨的功能越来越多,可是时至今日,WPS仍未实7 S( W: W. j; x8 H+ r, x8 g
现电子表格中数据同步变换的功能,(即改一个数据,相关数据自动完成更改,这个功能7 E! Z9 _$ K1 K1 W- s' T" `8 K6 a% |
是必备的)仍然需要大家自己一个个手动更改。而此功能在Office里面早已实现,这很是
: S8 c4 _; @1 `/ ]" }说明问题。, D+ c! p8 u0 [7 s; e6 K5 G
以上的说法并非本人发现,它们全都是网上已有的说法。综合起来,大家便可轻易看% L* l) s# C- z( ~; A: E" ^0 o \
出金山的底细。+ {" Z" }/ O3 H
当今骗子公司虽多,但也没有任何一个有金山这样明目张胆地坑人的,尤其是“木马# F; O J+ ^. @; s9 f# J5 \
专杀”一事,炒作疯狂,全国媒体一齐尽献媚词,其设局构思更是伟大到了史无前例的地
, V, `1 t# j8 p2 h0 r步,那个大名鼎鼎的网E拍又算哪根葱?知道有人会想说当年江民的硬盘炸弹事件,那的确4 t4 L8 M% |* ^5 L! j4 D
也是一个非常恶劣的行为,该骂。但当年的网民并不多,所以上网下载升级程序的受害者
3 R' [% v& O2 r2 m, `并没有象大家宣传的那么多。再说那只是针对盗版用户的行为,(我没说这是合理的)而
2 [; o5 F1 d- S, _金山则是拿众多信赖金山的正版用户开刀,论动机金山显然更加无耻。硬盘炸弹事件早已( X! _$ [. p* n7 ]5 t: x; V/ l$ H
被公布于世,金山的“木马专杀”事件更应被公开在光天化日之下。至于两害谁轻谁重,
! N$ b3 h) s3 C" N) X那就是另外一个问题了。( N( C' l: {+ [( C7 \5 @3 J
但是,大家不要忘了,以上一切的一切,如果没有IT媒体的撑腰,都是不会发生的。
$ m# P9 G1 d$ b, `大家不要把当今的媒体看得多神圣,多有光彩。人家不是搞舆论监督的,搞舆论监督的也
* n- ^5 |% O" [不懂电脑。当今的IT媒体在面对谎言时,从来都没有打过头阵,从来都只是论坛的跟风者
. U0 K/ {) z8 p:3721、网E拍,它们全都是在网上论坛被骂得一塌胡涂的情况下才有媒体出来说话,有些5 }2 G3 r2 p2 R K- x) A
媒体更是直等到3721推出新版上网助手才出场,趁此机会做“评测”说3721根本没卸载方* A9 C3 a5 S/ w1 A( q7 \0 o5 }
面的问题。(鬼知道这年头他们收了多少金山瑞星的广告费?)
/ g9 {8 x: \- K2 e( V' j 他们从来都缺乏说真话的勇气。当金山瑞星“论战”之时,他们几乎是一言不发。不
- W6 K4 d+ z" M) o; A要以为这是什么“清高”或是“公正”,在金山瑞星无数漏洞百出,毫无水平的“论词”. j* ~4 |! U* w7 W- d/ a
面前,真正丢脸的应该是他们,这种无作为对于一个真正的媒体来说就是同流合污。这些& U7 O$ X6 e# J, l
年头,他们又不分青红皂白地给了毒霸瑞星多少虚名妄词,多少沾着读者血汗钱的“编辑
3 A5 Z. W( ~/ C选择奖”。试问天下谁是真枪手?他们才是!" [5 a! M* @+ C9 l1 F+ g3 |: t3 Y
上文中许多发现其实并不是我的原创,像瑞星漏杀问题在有些论坛上早已有人提出,
' s* Y& R6 s; S. {6 S可是至今日,仍没有媒体敢提上半个字,足以证明他们的懦弱。看看他们干了些什么吧,
( Y1 e5 }1 @% c, O9 a整天仅仅是唱唱瑞星给它们的那首老歌:“半个月以来,病毒A和病毒B这两个病毒值得注; L. j2 t O y0 Z2 i& Q4 p5 H! L) Q
意。病毒A试图/会/除了会××××。病毒B(则)试图/会/除了会××××。可以上网的
f" Q4 i5 q# d% w用户推荐采用在线杀毒方式,快速查杀这些病毒,也可以使用单机杀毒软件2004版,局域
4 Y, n& L* H: F- f$ v网用户最好能使用瑞星杀毒软件网络版来彻底清除这些病毒。《瑞星在线杀毒》无需升级/ l, a1 t& b- ?: ]" o; Q
、《瑞星杀毒软件2004版》和《瑞星杀毒软件2004下载版》每工作日常规升级,遇紧急病
, v5 X+ O x: t- {3 t毒第一时间提供解决方案,每周升级的新病毒总数不少于400个!截止到×月底瑞星杀毒软2 s5 ?5 X" @: l+ l' |! @9 U
件将升级至××.××版本,望广大用户及时升级。如遇病毒,请拨打反病毒急救电话:0, f+ I* B' [1 e% C; D
10—82678800或使用瑞星在线杀毒: http://online.rising.com.cn”这堆破玩
$ E6 O2 l) f9 I% P% I* K意儿对我们有何用?1 e% D( N; A) S& ?7 p$ x; ]
毒霸瑞星的地位并不是真刀真枪地干出来的,它们靠的是无尽的谎言:媒体的谎言,
1 C* B! Z% f1 h) C- a公安部的谎言,它们自己的谎言,颇有中国传统的“官官相护”之形。这正是看似简单的
. i7 B4 v9 h5 U杀毒软件背后不可告人的黑幕。
0 O! K: e8 S; X4 l! R# c(以上观点只指截止至10月初的现象。同时由于取证时间较长,难免有疏忽,敬请指出)1 O4 a3 a6 a6 }' A. n2 o$ s
申明我不是江民内线
! @8 R5 H, E3 y& ]6 Y [此贴子已经被作者于2005-2-20 19:43:19编辑过] 7 {" n: `, H' p' y1 B/ Y
|
|
/1 
IP卡
狗仔卡
发表于 2005-2-19 20:57:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2005-2-20 10:51:00
发表于 2005-2-25 02:08:00
发表于 2005-3-12 03:46:00
