[psac]

作為安全理論的基礎，中國乃至全世界的防殺毒理論已經在務虛的大坑裡越爬越深，而且還在繼續下陷，安全理論寶塔的根基早已被蛀空，被缺乏系統研究與不負責任的謊言及「安全人士」們的不務正業蛀空。其上的任何理論，無論看起來多高明與精闢，都如同空中樓閣。基本問題不解決，如此務虛的安全界，又可能有什麼進展呢？無非是幾個漏洞向種害人程式碼原理與寫法了。這樣一來攻的理論一再完善，守的基本理論卻是花架子不堪一擊，也難怪現在網路安全一壞再壞了。這不止是難免的，也是必然的。
為了更清楚地揭示這一切,我們不妨以字典詞條的形式列出:
安全界黑幕小詞典
一 安全界：
本文中大多數「安全界」指一些與我們身邊緊密相關的與訊息安全相關的事物比如雜誌上的殺軟答疑與病毒播報等，或者指狹義的安全界，即那此專業與業餘安全士作者的世界。

二 病毒播報：主要有金山與瑞星兩種。
瑞星的播報我以前談過，分析了其傳統廣譜特徵程式碼以作為笑談。《電腦套用文摘》每期必登，這個東西只能作廣告來看，作為病毒分析它是整個業界之迂腐的傳統象徵。
金山的播報主要登在《大眾軟體》上。其特點為：是毒是馬都要標出突發日期。如果是CIH—類的老前輩，好說。但蠕蟲、木馬它們，一個是由不可抗力來傳播的。一個是由人為意志來撒播的，你有資格有能力預測它們何時突發嗎？
如果金山哪一次把蠕蟲木馬預測准了，還精確到天，我只好遺憾地告訴大家，那個東西是金山自個兒寫的。
2005年大軟上該播報及金山毒霸的廣告已消失，而本人那時尚未寫本文。唯一的解釋是：在殺軟黑幕中我對金山的虛假廣告分析極其精闢，迫使其有所收斂。
另外提一提AVP播報資料的一個問題，很簡單：不本土化。

三 金山：
中國IT史上最無恥的公司，對自己的正版用戶都撒謊非法詞語，無惡不作。以WPS辦公軟體起家，其創始人求伯君早已退休，當今總裁是雷軍，其一切罪惡的責任人。若不是雷軍，金山完全可以不如此。
金山快譯、詞霸、毒霸在專門研究過它們的人眼中早已臭不可聞。WPS雖是開山始祖，但其某些能力近乎弱智。在國家訊息產業部評測中，WPS在國產產品中頂多排中間，與office更是無可比較。毒霸不用說，畢竟本人對其是當之無愧的專家。詞霸功能就那些不論金山號稱是幾代引擎幾個詞典，第一代的bug都夠金山出好幾個SP。至於有關快譯，笑話就多了,寫那篇相關文章的人說：「張樹忠」office2003譯為英文「zhangshuzhong」，快譯譯為「A tree忠」，大寫小中文英文詞組單字都有(笑)。譯句子更不用說，比原文都難懂，進一個句子出一個笑話，所以又叫「金山笑譯」。金山快譯的語法判斷極有有問題，所以其作廣告的圖片都是以雅虎中文這一類的四處都是關鍵詞的網站作例子，句子碰都不敢碰。
二線產品如金山影霸就有點無人問津了。金山遊俠雖有實用價值，但也無非是把一些與遊戲相關的基礎功能從winhex那些大佬中提出，技術含量不值一提。（有些鍵值遊俠根本不能改，FPE卻能）
為什麼有人買金山產品？無非是雷軍打著求伯君的金山旗號大賣非法詞語罷了。大家心知肚明。
不談產品，金山還有「木馬專殺事件」、「毒霸6不殺RAR」、「硬碟修復敢修Hdbreaker」、「胡吹記憶體殺毒」、「胡吹雙引擎殺毒」等一系列事跡（見殺軟黑幕），近日我還確證了一些網友反映的金山病毒上報的問題：任何人向金山上報病毒木馬、金山都會說該病毒已上報，請等待昇級云云。有位網友試著自己寫了一個病毒來上報，人家也這麼說！也就是說，金山從未兌現過獎勵上報者一套「安全組合裝」的承諾，至少現在還沒！
金山有信譽嗎？沒有！金山無恥嗎？無恥！這個自問自答是任何人都沒有資格反駁的。只可惜以金山的影響力，若他們賣的是阜陽奶粉，九千萬中國線人是要毒死半億人的！

四 漏殺：
現在的媒體一看到病毒殺不掉，就去「稱讚」該病毒厲害。可能從勢利眼的角度來說，不招惹任何一個公司是實用之舉，但在技術上來說，這是愚味，在道德上來說，這是無恥。
漏殺在我眼中幾乎已成為瑞星的代名詞。當年2004年4月木馬剋星有一個版本漏殺，於次日修正，此外我就再也沒有見過瑞星以外的漏殺了。
瑞星漏殺歷史悠久。以「反覆查殺」為特徵程式碼，我可以在書中查到2002版的該現象。有意見嗎？2002年前一代是有標準版/千禧版之分的一代，千禧版是有瑞星第一個既時監控的產品。夠老吧？
新歡樂時光是漏殺的完美驗證者，作為資料夾指令碼病毒，其極易被觸發，複製能力強，又恰恰不佔記憶體，卻在不開資料夾情況下也無法在幾遍掃瞄之內再無報警，再加上不能開資料夾的講究，又體現了其既時監控之玩忽職守。
鐵的事實，無可改變。

五 瑞星2005：
在《黑幕》的晴空霹靂之下，瑞星2005在某些頑固「高手」的保衛中踉蹌出世。讓我們看看它：
瑞星2005與2004相比幾乎無變化：
記憶體佔用顯示減少，速度還是那麼慢，只是啟動主程序時好一點兒，這是什麼改進?這是瑞星在原有基礎上變本加厲地貫徹dll插入與行程守護來掩蓋它的恐怖佔用!!!大軟說是改進，電腦套用文摘說是改進，改進個屁！！
Dll插入雖由病毒首創，但並非游手好閒的媒體所說，是「病毒技術」，像木馬剋星的密碼保護及KV的動態濾毒就靠它。但是瑞星那樣大量無謂的dll插入的確可以算病毒技術，行程守護就更當之無愧了。《電腦愛好者》上瑞星某經理還敢罵別人如此如此，無恥。
Dll插入做到病毒的份上的只有瑞星！
瑞星號稱加強了未知病毒查殺，但從其總誤認監聽工具來看，瑞星與KV及AVP相比，水準差遠了。只能說與早期毒霸6相比強一些。至於殺殼能力，那是KVW3000/AVP3.5他孫子。
除了界面外，瑞星2005只剩下了大軟一句不負責任的評論「下載防毒的取消，可能說明了瑞星對自己的文件監控有信心」
這種極不負責任的白癡低級錯誤不怪瑞星，只怪大軟在《黑幕》壓力下一夜之間對殺軟只想揀好的說，一會兒說所謂的「記憶體佔用」減少，一會兒又說速度影響大（《黑幕》中再三重申瑞星最耗的壓力），對關鍵殺毒能力閉口不提。
大家可以看看，下載軟體的防毒不是在嵌入防毒裡嗎？大軟的評測水準，心態，取向，由此可見。

六 金山毒霸2005
3月真是一個好月份，中國最臭的軟體公司金山又來給我獻醜了：毒王2005來了，又一次帶來了一堆毒汁----
「主動既時昇級」是抄襲光華的Online。在本身引擎不行的前提下，這是徹頭徹尾的作秀。金山的處理速度與效果也值得懷疑。
「漏洞修復」和「木馬防火牆」還是原來的作秀廢渣。可笑的是，在200507期的《電腦套用文摘》上，一邊廣告說它是「傳統功能」，一邊卻說是「NEW」，吐。
「跟蹤式反間諜」就是BLACKICE上的一個小小的功能，人家早就實現了，這還值得吹上幾百字？
「可疑文件掃瞄」之廢，不用多說。用木馬剋星吧！
臭名遠揚的「木馬專殺」還是不殺殼的廢渣，倒帶來了「行程啟動項管理」和「系統環境修復」。別人可不屑於做這些事情，為什麼？這是網上任何一個相關小工具就能做得更好的功能，技術含量不值一提。又是「多功能式」作秀！
「搶先式防毒系統」聽來是好東西，但我說了，金山不可能有好東西：
1 金山的所謂「記憶體殺毒」，地球人都知道是廢渣。（今天的2005總算有些改善，但也只是能關EXE行程罷了，2級）當年廣告裡號稱「帶毒殺毒技術，無需啟動到DOS狀態，直接在Windows環境下清除病毒」，今天在廣告裡卻要「避免帶毒殺毒的危險」，暈倒！
2 「不等系統完全啟動」是什麼概念呢？懂行的都知道，只要不是微軟自己寫殺軟，那就只有一種可能：服務。
「當您看到 WINDOWS 彈出登入框讓您輸入帳號密碼，「RUN」和「開始」裡的程序都還沒有執行時，金山毒霸 2005 已經開始全方位保護您的電腦了。」這就是證據！
可是一切殺軟不也都是這樣的嗎？金山毒霸原來不也是這樣的嗎？Lovgate不也是服務啟動嗎？那就只有一種可能：扯蛋！
3 說的是防毒系統，它就算先於一切病毒啟動，又如何能殺活毒呢？「文件既時防毒啟動後,駐停留記憶體，自動執行於後台，在任一應用程式對文件進行操作；在接收電子郵件、從網路下載或 QQ、MSN傳送文件、開啟光碟時進行病毒監控，徹底防止病毒入侵。」「防毒勝於殺毒......」
這些刻意迴避「殺毒」字眼的廣告詞足以證明，「搶先式防毒系統」的「殺毒能力」完全是靠模糊的偷換概念得到的。金山只不過是在殺毒服務啟動時加上了幾個金山圖示做一下秀罷了。
而這就是咱們的「搶先式防毒系統」。

金山毒王2005是換湯不換藥的當之無愧的又一代廢品，它告訴我們：撒謊作秀狂金山不是一日之寒！！！

七 殼：
殺不殺大量的殼，早已成為了殺未知病毒與木馬能力的分水嶺，只是菜鳥們不懂罷了，但殼的概念已到了非普及不可的地步了。
殼是一種類似於自解包的東西。但是，殼有兩點不同於自解包。
1 殼一般只適用於exe、dll、ocx，加殼成功後文件可直接執行，使用。
2 加殼文件執行時不解壓到硬碟上，而是直接入記憶體。這樣既時監控就不能像對付自解包一樣對它們了。電腦報「黑客營」的所謂既時監控能對付它們的說法簡直就是造謠！！
這樣一來不殺殼的殺軟殺加了殼的病毒木馬時就查不到原有的特徵碼了，效果就等於甚至超出改特徵碼，因為幾乎所有的程式碼都改變了，不像只改部分程式碼只針對部分殺軟，未知病毒啟髮式反描的時常失效也正是因為它錯亂的程式碼無可分辨。舉個例子，一個木馬的程式碼是ABCD，我用加殼軟體加殼後程式碼變成：請把E換成A，把F換成B，G換成C，H換成D，程式碼是EFGH。此時如果殺軟以AB為特徵程式碼，它殺不出，如果在未知病毒掃瞄中它以CD為破壞性程式碼的標誌，它也認不出，但電腦執行時程序就解密成了ABCD，木馬再將自己拷貝到系統目錄，設定自啟動，你的電腦就這樣中了抗防殺木馬！
這樣一來黑客們哪怕不學無術也可以改出抗殺病毒木馬，只要看過相關方法每個菜鳥都可以學會，因為這只不過是點幾下滑鼠罷了。每一台裝有不殺殼殺軟的電腦都可以這樣圓你的黑客夢，每一個知名木馬被你胡點幾下便可抗殺！
大多數的蠕蟲都有幾乎是僅僅加殼換殼的變種，不殺殼的殺軟只好讓你們不其煩地盯著未知病毒掃瞄的失效與媒體要你們天天昇級的警告。現在的新一代病毒幾乎都加了殼，它們也說幾乎都失效了。
木馬更是離譜。所有的木馬都是人為放的，而乎所有放木馬的人都懂加殼，所以幾乎所有的木馬都被加殼、換殼流傳於世。（不加殼的木馬才叫罕見！）如果不能殺殼，殺軟公司對付加殼木馬完全錯亂的程式碼就完全等於殺一個新木馬。事實上，除了原版木馬加的殼(包括某些網站向大家「直接提供」的網頁木馬)以外這些殺軟公司從不再加新加殼木馬的特徵程式碼。
所以除了殺一部分網頁木馬外，這些殺軟幾乎沒有殺木馬的能力。再說現在的IP黑客攻擊寶刀未老，成功率依然很高，還有大量的元件服務木馬，我們可以認為，它們幾乎沒有殺木馬的資格！那是癡心妄想！！天下有多少殼？無數！那麼它們要面對的等同於無數新木馬！就算，天下殼已盡我也成功地試過在黑洞20040815上加20遍Aspack！這回數位至少是無限的！
我重申，當今殺軟殺殼能力可分為三大等級：
等級3：幾乎可殺所有殼：McAfee
等級2：可殺大多數殼：AVP、KV
等級1：幾乎不殺殼或根本不殺殼：毒霸、瑞星(汗,不殺殼也罷,人家殺兩個殼!)NAV、SAV等幾乎一切其它殺軟。
不過，一味迷信殺殼能力也是不對的，殺殼只是一環，斷了殺殼這一環是堅決不行的，別的環斷了也不行。我這是在說McAfee。
McAfee殺殼應該說叫極強我同意。但是一是其未知病毒查殺根本就不行，二是殺不得黑洞2004815這種國產傳統木馬，三是記憶體查殺能力較差，這樣一來其殺毒殺馬殺活殺死的能力環近乎全斷。這樣的殺毒軟體的殺殼就只有技術意義與研究意義而非實用意義。當然,沒有實用意義的殺軟遠不止MCAfee.
最後按照慣例，我們再來看看媒體：幾乎所有的媒體都對殼這個名詞遮遮掩掩，最多一筆帶過，更不敢提各個殺軟的殺殼能力。幾乎沒有菜鳥知道這個東西。
作為一個曾經的「黑道中人」，我可以明確的告訴大家，絕大多數的黑客都是靠加殼木馬吃飯，就是高手,也是優先使用簡單有效的這一招，我的所有同行也會支持這個說法，他們也會告訴你，他們正是因此造就了這個木馬時代。殼，是這個木馬時代最血腥的一個詞！
如果媒體對「殼」不迴避的話，大家就可以想像一下：當所有的人都發現幾乎不殺殼或根本不殺殼的毒霸、瑞星NAV、SAV等幾乎一切其它殺軟殺不了殼時，也就是發現「它們幾乎沒有殺木馬的資格」時，他們還用吃飯嗎？！為了保護自己的廣告費來源，他們也就做了這種沒良心的事！！！
警醒吧，這個詞「殼」上沾了多少人的痛苦與損失，我無可統計，我自己當年也是這樣的，我要復仇，我要報復那些造就整整一代無知線人的人。
黑客同胞們,你們應該知道殼的危害。如果媒體不肯負上他們應有的責任，那麼你們這些明白人應該在無數次作惡之後，用自己尚未泯滅的良知告訴每個菜鳥，告訴他們什麼是殼！這是你們對社會的責任！！

八 KV3000：傳統笑話，許多「高手」卻聽不出來，還借題發揮，更是笑話！
KV3000是KV2005的上上上一代產品，於2002年發怖，2004年2月停止昇級。用它來殺當今的毒和馬，還罵人，你們是白癡啊？
至於KV用AVP引擎的說法，那至少是KVW3000以前的事了。由此推出：這個說法至少是2001年的事兒了。那是什麼年代的事兒啊？
在理念上，AVP和KV早就分道揚鑣了。再說，江民還敢像金山那樣抱個老AVP不放嗎？好好想一想。

這種時代性的惡疾，你們安全界竟能容忍，我不罵人就太不像話了！

註：出人意料的是，媒體也犯這種KV3000式錯誤，甚至有200505期大軟，你們是殺軟盲還是槍手？！