史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2005-05-14, 11:53 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 安全界惊天黑幕三部曲(第二版)

<<殺軟黑幕>>作者木馬鬥士重出江湖之作----安全界驚天黑幕三部曲(第二版)

(如果一直有人認為我是槍手,那麼這一次我想得到澄清)

半年了,一直在等這一天。
而這一天,又整整遲來了十年。
我半年前的《殺軟黑幕》我當然知道它改變不了這個腐臭的業界,但它的歷史使命已經完成,在無數的回貼與媒體習以為常的小動作面前,一切都已明瞭。
我想,是時候打出我的王牌了!
我要讓每一個線人都知道,十年以來,整個安全界都走上了一條危險的死路,構築了無數可笑的理論,而這正成了許多人罵我槍手的依據。這還不要緊,惡性病毒與加殼木馬的猖獗也正是因為如此。
如果你們所謂的「理論」的用途是阻止我對各種黑幕的揭露,如果所謂的IT媒體的作用是傳播謠言,顛倒是非,那麼好,我今天不惜以一己之力搖塌你們所謂的理論寶塔,給眾人揭露更多的黑幕。你們永遠有能力掩蓋一篇《殺軟黑幕》,但你們永遠也無法擊敗一個緊握真理的活生生的網路英雄,因為他注定見證這個時代的無恥與黑暗。你們也無法否認他的存在,因為他就在這兒。
不談大話,大家不妨把本文看成一個講述惡性病毒木馬與殺軟對抗造成一個時代的悲劇的文章,還有對這悲劇製造者的論述。雖然我已被你們當中的無數人罵為槍手,我對此也只能默許,儘管我肯定要否認這個指控。你們可以看看,在這個時代無數的緊急求助面前,只有我木馬鬥士這個「槍手」才能提出解決這些問題的方法和這些問題的來龍去脈,而你們根本不能。你們只能一遍又一遍地罵我是槍手,卻找不到我理論上的問題,這在我眼中只能顯示出我的正確,雖然我還有槍手的嫌疑,我承認。
惡性病毒木馬的無數受害者都應該看完本文,這樣你們就會發現,木馬鬥士「這個KV槍手」會終結你們的痛苦與無奈,在這個時代也只有他能。那些破壞你們自由的安全界人士沒有權力再次在這裡矇騙你們這些真正的受害者,只有受害者--你們才有說話的權力。
(分三篇:殺軟黑幕,作者後記,錯亂時代)

開山之作:
殺毒軟體背後的黑幕(1月29日全新增補版)
木馬鬥士(trojanfighter)
翻開2004年第18期《大眾軟體》,那個殺毒軟體讀者調查排名讓我百感交集:毒霸38%,瑞星29%,Norton14%,KV11%……,不要以為這只是幾個簡單的數位,這後面有太多的故事,一時竟不知從何講起。這樣,我們先看看各個殺毒軟體的真實能力。(本文中評測部分若未經說明,那麼KV就指KV2004,毒霸指增強版,瑞星指2004版,AVP就是卡巴斯基Kaspersky。另外由於本人向來不用郵件收發工具,所以這裡不測郵件殺毒。除了修正錯誤,這個版本還將NAV個人版(簡稱NAV)與Symantec AntiVirus9(NAV企業版,簡稱SAV)分開評測,以求公正並解除大家對SAV認識上的誤區,還加入了對Mcafee Virusscan Enterprise 8.0i(簡稱Mcafee)的評測。)

一、病毒庫
這些年頭看過許多評測,有民間的也有媒體的,幾乎都是以病毒庫是否全面為依據。這是非常不科學的!暫且不說別的因素,我認為用殺毒軟體對一堆病毒木馬一通亂殺最後僅僅以檢出率論英雄,是一種對讀者不負責的數位遊戲。
舉兩個最簡單的例子,你有用過Norton去殺黑洞2004嗎?不說別的,就說最有影響力的0815版,Norton也是怎麼殺也殺不出。這完全不是什麼巧合,Norton如果殺n年前的傳統木馬冰河84,也還是殺得出來的,只是會在隔離區裡加上兩個字作註釋——罕見……
Norton是一個非常典型的例子,因為在殺國產木馬方面的問題Norton是最明顯的。(有網友怒斥為「木馬白癡」)不過其它的外國殺毒軟體也好不了多少,除了那個公認的昇級狂AVP,大家拿手上那幫大馬小馬自個兒試試吧,保證叫它們死得慘不忍睹。 (據說當年因為Pc-cillin殺不了CIH的某些國內變種,所以有人就……)當今有多少媒體在吹Norton這些玩意兒,真是啥都不懂!
就是不算木馬,各種國產蠕蟲變種也夠這幫老外受的,其中最典型的就是Lovgate系列了。有些用Norton的服務機構就算是天天更新,也總是不如它的變種來得快,甚至面對有些n年前的國產病毒,那幫老外也一聲不吭。AVP雖然檢出率很高,但它的病毒庫卻有個致命缺點:經常不能辨認出一個病毒產生的所有文件,或者說得明白一點兒,AVP對於一台已中了以上病毒的電腦毫無辦法,只能乾瞪眼!!!於是乎,Lovgate.w(KV認作Supkp.v)及Lovgate.z等「死而復生」,讓許多AVP跟風者無可奈何,也難怪人家一天有N次更新了,「處理」速度果然快。要知道,我手頭上才只有6個Lovgate變種而已!(號稱帶毒殺毒???法國佬瑞士佬還敢推薦???笑話!)所以說AVP實際上具有極大的安全隱患!如果是在遜一些的電腦上,那你就等著中病毒吧。看看現在有多少網友一口一聲AVP,真是崇洋媚外過了頭。(瑞星好像也有這種問題,但絕對沒有這麼嚴重)
上次我去修理一個學校的電腦,只帶了剛剛火起來的AVP,結果干了白干.後來帶上本人常用的KV,直接解決.那台電腦共有6種LOVGATE變種,AVP殺了一個中午只殺乾淨四個,殺AE變種還要重新啟動.後來又在另一個中六個變種的電腦上用KV,哈哈,六個變種一次直接解決,連重新啟動都不用.後來經比較,發現AVP沒殺乾淨的兩個變種有將近10個文件沒辨認出來!!
上網一查,此兩個變種當時至少有半年以上歷史,汗汗汗!(KV認作supkp.v,supkp.z,現在好像還有一個supkp.w.dll)
AVP的更新速度早就「威名遠播」,但本人到處打聽,並沒有聽說太多此方面AVP真正可以顯露出的優勢。AVP殺國外病毒木馬自然有優勢,但面對國局內網絡環境下的流行病毒木馬並不見得比任何一個非民間的國內殺毒軟體強。究其原因,我們可以從AVP的離線昇級包中的說明文件看出個大概:(說明文件中包含更新病毒的名稱等)
(a)AVP雖然昇級頻率快,但一周昇級的病毒總數相對於其它殺毒軟體並沒有特別多的優勢。(除了那個非法詞語NAV)
(b)AVP的相對較全的病毒庫使得它殺國產木馬時比其它任何一個國外殺毒軟體都好,但病毒庫中中國的流行木馬比重很低。一次更新並不見得會有一個國內能見到的木馬。有些網友吹的所謂AVP「強大的殺木馬能力由此而來」是沒有根據的。
綜上所述AVP實質上的更新效率與效果都最多與國產殺毒軟體打個平手。由此我們不難理解,不論是3小時更新還是號稱「全球最全」的病毒庫,都不能使AVP在國內的網路環境下給大家帶來比國產殺毒軟體更多的保護。它們這些東西頂多就給我們一些心理上的安慰,別無它物。同時,我本人對「3小時更新」的處理效率深表懷疑,我不認為這樣能徹底處理什麼病毒,Lovgate就是一個活生生的例子。本人還保留一個看法:每3小時更新的病毒並不一定是這3個小時接收到的,它們可以是6個小時,9個小時,甚至一天之前接收到的。也就是說,更新資料與處理接收是交錯進行的,AVP對一個病毒真正的反應速度並不見得快。至於馬虎,那是肯定的!
McAfee麼,至今也殺不出黑洞2004815,就是全世界的人都來吹它,我也不信。用了這麼多年,你們難道這都沒發現嗎?(註:直至2005年3月3日昇級時亦為如此,半年了呀,堪與NAV比廢!)
綜上所述,我們只能得到兩個結論:1、面對眾多國產病毒木馬,外國殺毒軟體只是一幫廢物;2、以檢出率論英雄是一個徹底的錯誤,因為一個1%可以包含很少的東西,也可以包含太多的東西,同樣的檢出率,一個可以殺灰鴿子,一個可以殺Beast或××國外二線木馬;一個殺不乾淨,一個殺得乾淨,你會選哪個?
雖然如此,但如果檢出率相差太大,那就是另一回事兒了。NAV與SAV的病毒庫是非常不全的,儘管在殺木馬時與其它國外殺毒軟體差不多,但在殺病毒時檢出率相差實在太大。在許多病毒庫比較齊全的評測中,(不包括公安部)NAV與SAV總是在最後幾名徘徊,遠遠落在其它老外後面,甚至在有次國外媒體評測時僅給了NAV6.8分,(滿分10分,,AVP9分)簡直是……NAV與SAV當然是它們當中最最最最廢的。
至於瑞星的病毒庫也不是非常好,當年經常在民間評測中與Norton一起墊底,惟有木馬庫齊全了許多,所以其殺毒能力可想而知……當然,瑞星現在已經基本解決此問題,不過還是有一些後遺症。於是有一次,我的一個用瑞星的同學在用Norton掃盤時掃出滿盤的病毒……順便說一句,當年瑞星2003時人家可是一週一次昇級!
在這個方面,一切國外殺毒軟體都不合格,它們實在差太遠了。
現在網上有很多槍手,到處以KV3000/KV2003等說事兒,說它們啥也殺不出。這是一派胡言。KV3000早在2004年2月就停止了昇級,KV2003則是5月15日!現在的KV是KV2004與KV2005!如果有人一定要比,那就拿毒霸V與2003及瑞星2003來比,那還差不多。
二、殺殼能力(若有誰不知加殼為何物,請買一本最初級的黑客入門書自己看看)
在我看過的評測中,基本上沒有哪個把殺殼能力放在眼裡的。事實上,沒有殺殼能力,一個殺毒軟體在面對木馬以及病毒變種時,基本上就成了廢物,有誰用馬不加殼?有誰改病毒不換殼?(比如Nimda就有超多僅僅換殼的變種)只要人家有意,你的殺毒軟體一瞬間就可以掛掉。經本人實驗,各大殺毒軟體殺殼能力如下:
McAfee:幾乎所有殼(恐怖!它大概是用的虛擬機技術脫殼的吧!)
瑞星:NeoLite,WWWPack
毒霸:無
Norton:無
AVP:大多數流行殼(除了一些應用程式保護殼)
KV:大多數流行殼(除了一些應用程式保護殼)
沒有一定殺殼能力的這些殺毒軟體會輕易地讓你死翹翹的,就好似特徵程式碼法殺變形病毒,屁用沒有。所以大家今後必須重視殺殼能力。這也是我對網上眾多民間殺毒軟體不屑一顧的主要原因。
三、一般清除能力
不得不說,任何一個殺毒軟體在清除Autorun.inf這類病毒產生的非法詞語文件時效果都不理想,不過由於在殺毒過後這些文件都成了死連接,所以隨便找一個清非法詞語文件的軟體就可以了。(KV已解決,但對註冊表項關注依然不夠)
其實關於一般清除能力,大多數的殺毒軟體都差不多,不過倒還是有幾個特例:
瑞星總是清不乾淨自我複製型病毒。在開既時監控且每天一次全盤掃瞄的情況下,殺folder.htt(新歡樂時光)病毒用了超過一周時間也殺不乾淨,最後只用搜尋並移除同名文件卻殺乾淨了!由於folder.htt病毒是單質病毒,所以跟AVP不同,明顯是漏殺現象。Norton及許多國外殺毒軟體則是一見染毒文件就刪,實在令人懷疑Symantec的人是否學過彙編。就算有時候不得不清除,像foxmail的box文件也是一清就壞!
四 、活病毒清除能力
當今殺毒軟體的活病毒清除能力問題極為恐怖,個人認為當今大多數殺毒軟體已經到了靠既時監控吃飯的地步。因為一旦中毒,你的殺軟往往就清不掉了。大家先燒柱香,祝願自己的防火牆及既時監控與Windows共生共死,然後看本人評級。
非法詞語級:
1毒霸:號稱「記憶體殺毒」,卻連行程關閉都做不到,冰河都常常殺不了。(上次看到《黑防》上有位弟兄看毒霸殺不了冰河,只是偶爾成功,連忙說冰河先進,狂笑)同時其檢查記憶體時只看exe行程。(所以才不用1秒的時間)可以說毒霸所謂記憶體殺毒是純粹的花架子,放屁。
2瑞星:查記憶體時只會看系統行程與dll,且速度慢還關不了。加上上面所說的漏殺,滾!
3NAV:關得了exe行程,但查不了記憶體。
4SAV:只能查殺exe行程,且速度極慢,其它的同NAV
5AVP5 Personal:不可記憶體查殺毒,加上非法詞語特徵庫,導致清毒不淨,滾!(現在最一般的AVP版本)。
6Mcafee:同SAV。
准非法詞語級:
AVP5Personal Pro:可記憶體查毒,但不可以殺。可產生可殺部分病毒的開機指令碼(需重新啟動),但非法詞語特徵庫依舊清毒不淨,滾!(本人現保留的惟一AVP版本)
一般級:
空缺
大師級:
KV:這可不是吹的。這年頭我修理病毒全靠它了。真正的記憶體殺毒,一招下去n多病毒也不怕。本文開頭介紹AVP非法詞語特徵庫時看到了吧?一招下去,6個Lovgate就掛掉了,其它絕大數殺毒軟連單挑都做不到。
KV雖說還準備了開機掃瞄等法寶備用,但我還真沒見過KV掃一次記憶體清不了的毒,特殊情況如行程關閉除外,雖說有時顯示「清除失敗」,但事實上其已被清出記憶體。個人認為在這個時代,KV幾乎是殺毒必備的。離了KV,你就不得不準備一手過硬的手工清毒本領。如果中了Lovgate,送你金玉良言兩個字:重裝!不是我危言聳聽,現在很多號稱高手行家的人,做法莫不如此,還抱著這些非法詞語不放,實在可笑。
順便教大家一招獨門絕技,專克行程關閉,是目前最簡單也是最有效的:
以前版本此文中本人為驗證AVP之廢,就舉出了一招清Lovgate六變種之事。有人不信,說人家可以行程關閉等等。
首先宣告,本人清該毒時並遇上這種情況。這是因為Lovgate系列各變種有許多許多的重名文件,這樣一來一些無行程關閉功能的變種可能就取代了有該功能的Lovgate病毒模組,導到其失效。這也說明了另一個問題,在這麼好的局勢下AVP竟然都有兩個殺不掉,而且它們還能再造病毒文件!恐怕AVP殺病毒不徹底方面的問題比任何人(包括我)想像中的都要嚴重得多。這就遠不止2個變種十個文件的事了!
話說回來,許多學校都有類似於我們學校的情況。在一些人的再三要求下,我還是把我的獨門絕技登出來,以為我國反病毒事業與教育事業做出貢獻云云。(史上最強的WINDOWS下的殺活毒法!!)
個人認為「我的電腦」中的「江民殺毒工作列」是KV2003的一個偉大發明。這玩意兒的功能可遠不止你們想的那麼簡單。用它亂選一個文件掃瞄,不用啟動KV行程,就把記憶體掃了個遍,全無敵!
只要KV引擎不被破壞,該方法成功率為100%,這招別的殺軟是學不來的,因為即便它們也有了殺毒欄,沒有強大記憶體殺毒,也是白搭,所以此法只能關於KV使用。
最後有兩點需大家注意:
1、該法只能用於掃瞄,若有人用KV2005,建議對既時監控加上密碼,這樣就更保險了。
2、最重要的一點:本法由木馬鬥士獨創,版權所有,轉載引用時請加上「木馬鬥士反行程關閉記憶體殺毒法」,萬萬不得以此法騙稿費!
另外對於在安全模式下的殺毒,本人認為並不可靠。
1即使到安全模式下沒有觸發病毒,但鑒於某些殺軟極其惡劣的表現,病毒依然無法殺絕,如瑞星、NAV、SAV等。其表現見章節三。
2現在的病毒有很多已可做到在安全模式下觸發,如Lovgate系列。更有甚者在此環境下依然可做到關鍵系統行程插入(Lovgate.w等)讓這些殺軟做夢去吧!
至於其它問題,呆會兒再討論。
五、既時監控
剛剛我說:「當今大多數殺毒軟體已經到了靠既時監控吃飯的地步」,此話只說對了一半:因為,現在的某些殺軟的既時監控不足以讓它們吃飯。
在本人的P4 2.8E上,當然一般來說監控也不會出問題。但是我們這裡主要看大量中低端機上的表現。
瑞星無疑是公認最差的,在中端機上都不免出現不報警病毒就直接進入記憶體的情況,大家有目共睹,有目共睹啊!
AVP在低端機上近乎失效,尤其是對於壓縮包。Xfocus上有人說不會這樣的,但這位網友畢竟用的是AVP3.5,在現在的電腦上,AVP3.5是很省的,但AVP4.5與AVP5不是。AVP與瑞星為什麼表現如此之差,這恐怕與耗資源離不開。畢竟「瑞星第一耗,AVP第二」這句話對於我是毫無疑問的。
但是再苦再累再耗再慢,你好歹也報個警呀!可是你不。這就不只是資源問題了,它們的引擎在高組態卻高負荷時也出現此問題,證實了本人的想法:它們如果既時監控完善的話,最多也就報警卻也及時攔截其進入記憶體,但它們不是這樣。瑞星啊,AVP啊,恐怕是不夠深入系統底層吧。
毒霸雖不會像瑞星那樣老失效的,但死一次機人家的托盤就掛一次,就算能正常運作也讓人心驚膽戰。這個就肯定是沒深入底層了。同時毒霸在開非法詞語的未知病毒檢測時,既時監控反應受到極大干擾,已經不足以擋住任何ZIP包中的病毒。
以上三者,都犯了一個共同的殺軟大忌,就是不重視後台的監控,只顧著前台作秀給人看。我都見過用它們的人從後台被已知病毒突破,如我們學校管大螢幕的電腦就是裝瑞星後被一堆區域網路中的Lovgate轟炸沒的:既時監控不停地報警,記憶體中竟也冒出一堆病毒行程!
KV深不深入就不用說了。江民小氣些,不過也不會像金山那樣無恥地撒謊。深入底層是肯定的,畢竟「記憶體殺毒」「殺毒欄」都是獨門武功。(應該說,自KV2003開始就有了,江民最近的宣傳有些過份)
KV在既時監控上自然是天下第一了。只要你電腦不算差,「動態濾毒」絕對讓人歎為觀止。即便是用Net transport這些不支持任何殺軟的軟體,下載帶毒壓縮包時一傳完就報警,下載exedll往往下載才開始就報警了。這種能力等同於防毒牆,非常恐怖。在伺服器上防ASP木馬為有效。這是把後台監控做到了極至。
NAV、McAfee既時監控中規中矩,不過穩定。
SAV在網上爭議就比較大。為什麼呢,有必要向大家解釋一下:SAV幾乎是徹底靠既時監控吃飯的。SAV在普通的掃瞄能力上同於NAV,也就是一樣的廢。但SAV在既時監控開啟時很多本來查不出的木馬就不能執行了。這種功能使很多人認為SAV強悍。是嗎?
1SAV這種功能同於調高警戒度調高誤報率的歪門邪道式啟髮式掃瞄。比如說吧,一個正常exe文件你加個殼試試,有時也是這樣。
這樣一來,許多正常文件就打不開了,大家看著辦。
2一旦病毒木馬進入了記憶體,看你乍辦。
3這樣並不能保證萬無一失,在Symantec沒有夠格特徵庫的現狀下看你乍辦。4SAV這招在你自己用木馬實驗時的確表現不錯,但若是別人呢?
當木馬通過網頁木馬,元件服務等真正的「正規」途徑進來時,大家可以看看其表現。上次我看到《電腦套用文摘》05年02期P47上有一張圖片,那可真是嚇人,用SAV的人在不能殺殼的金山瑞星的在線殺毒上竟都查出9個木馬……….
我想各位SAV fans就無需多言了吧!(現在的「光華」也有類似於這樣的功能 「置前殺毒」,真是照錯葫蘆畫錯瓢了)。
六、殺未知病毒能力
當今的殺毒軟體對這一點都「非常重視」;所謂「重視」就是大肆做相關的廣告;行為判斷、虛擬機法、智能跟蹤……如果這些都是實話,那麼面對一個歪殼壓的病毒,殺毒軟體們理應報警,但事實上沒有一個殺毒軟體做到這一點,這些謊言也就不攻自破了。當今的殺毒軟體的防未知病毒機制其實只有啟髮式掃瞄,即僅僅是掃瞄文件中的可疑程式碼。也就是說,如果解不了殼,再強的啟髮式掃瞄引擎也什麼用也沒有,由此,KV、AVP的表現大幅超過了其它的任何一款殺毒軟體。在加殼病毒橫行的今天,其它的殺毒軟體幾乎全是吃鴨蛋。
不論如何,毒霸、瑞星和AVP的誤報率都還算比較高,尤其是前兩者,幾乎只有誤報紀錄,毒霸的既時未知病毒檢測甚至會干擾到已知病毒檢測,而且早期的毒霸6會把OfficeXP的幾乎所有初始模版當作MicroWord.Generic及MicroExcel.Generic「病毒」,令人歎為觀止!NAV與SAV及KV到目前為止我也沒發現誤報,不過NAV的未知病毒檢測也不乍地,只是比毒霸、瑞星強了許多。其實NAV與SAV殺未知病毒的引擎蠻好的,絕對不比KV與AVP差,但實在是殺殼太差了。
不看誤報率,只有AVP與KV的能力令人滿意,AVP自然不用說,人家可是啟髮式掃瞄的鼻祖,具體能力大家也清楚。KV也是很強的,最傳統的例子就是當年的KV3000不昇級就可以掛掉衝擊波!不過據說KV未知病毒檢出率低於AVP,這也是為達到誤報率為0所必須犧牲的。
大家注意,哪怕是KV、AVP,它們殺未知木馬的能力也幾乎為0,雖然也有少許例外,如KV殺得出magiclink等。
七、速度
首先對毒霸的「閃電掃瞄」提出質疑:
1有誰願意為了一點點時間而僅僅去掃某些病毒呢?安全至上呀。
2病毒經常是相互附身一齊出現的,這可是常識呀。
3鬼知道它掃的是哪100個病毒?
「閃電掃瞄」頂多是一個花哨的噱頭,基本上沒有人用,大家不必理會它。大多數殺毒軟體速度都差不多,可以接受就行了,不必排先後。不過AVP由於支持殺殼,所以在開了殺殼後有些情況下速度慢了很多,不過沒什麼大礙。但瑞星令人實在受不了,慢得甚至出現了瑞星專殺工具速度跑不過其它許多完整殺毒軟體的奇特現象……。KV還是表現不錯,又支持殺殼,速度幾乎是最快。
AVP,NAV,SAV與McAfee都偏慢。
八、整合度
老外們在這兒不得不出局:不支持QQ?Game over!
KV的整合度肯定是最高的:有了動態濾毒,KV等於是支持了一切聊天軟體與下載軟體,同時效率最高。
毒霸及網鏢在一次當機後圖示全會消失不見,極不方便使用。瑞星用DLL行程守護解決了這個問題,不過同時也帶來了無盡的資源佔用與衝突問題……
其實除了AVP,像NAVSAVMcAfee這些殺軟都很深入底層,只是他們實在沒有好好利用,等於白搭。
九、壓縮格式查殺支持(出於實用,我們只看ZIP與RAR)
KV:普通ZIP、超真空ZIP、RAR
AVP:普通ZIP、超真空ZIP、RAR
McAfee:普通ZIP、超真空ZIP、RAR
毒霸瑞星:普通ZIP、RAR
其它大多數國外二流殺毒軟體:普通ZIP
大多數外國人都不用RAR,所以Norton與McAfee等都殺不了RAR。NAVSAV竟用特徵程式碼法殺Lovgate產生的RAR包,真是沒話說。如果有人研究一下supkp.z的機理,就會發現它們這些靠產生RAR自解包傳播的病毒簡直就是NAVSAV的剋星!
十、資源佔用與衝突:
KV資源佔用最小,最多4兆記憶體,獲得廣泛好評,AVP則存在爭議,我個人認為它還是比較耗的,在一台奔二上測試時尤其明顯,我認為僅次於瑞星。(KAV.EXE行程雖然只佔1兆多記憶體,但還有一個佔十多兆記憶體的KAVSVC.EXE行程,許多白癡評測機構都把它看漏了!!)Norton毒霸一般般,但開了QQ後Norton資源佔用暴升……瑞星這方面問題極嚴重,不僅是當之無愧的衝突王,也是萬「死」不辭的資源佔用王,有些組態稍遜的電腦在開了瑞星後,(只裝瑞星)彈出右鍵表單竟需3—5秒……另外好像有一個說法,就是裝了瑞星後裝其它殺毒軟體,基本上都會起衝突:裝瑞星後裝毒霸,不開既時監控系統也爆慢,網上有人把Norton這樣裝則是根本進不了系統。當然也有例外,就看你的造化了。
此外改正一些人單純用資源佔用率來衡量資源佔用的做法:你把它們裝在586上也是這個佔用率嗎?

總評:現在中國殺軟市場上三大熱門,全是廢物!讓我來清算一下:
瑞星:耗資湖易衝突,幾乎不殺殼,速度慢,既時監控易失效,清活病毒能力非法詞語級,漏殺!
金山毒霸:不殺殼,清活病毒能力非法詞語級,未知病毒啟髮式掃瞄天下第一爛,普通既時監控與啟髮式病毒,既時監控衝突嚴重。
NAV:殺國產木馬能力幾乎為0,清活病毒能力為非法詞語級中最差。速度慢,不殺殼,亂刪亂破壞文件。
三種殺軟中又以瑞星為非法詞語級之王,其漏殺之甚,天下有第一而沒有第二:天下沒有第二個漏殺的殺軟。衝突耗資源,那也沒話說。瑞星是我見過的最廢的殺毒軟體:毒庫不比KV毒霸全面,耗資源,易衝突,幾乎不殺殼,速度慢,最爛既時監控,跳殺!這年頭民間防病毒軟體非常多,大的有十幾兆,小的只有幾十KB,沒有一個有跳殺的問題,掃上7天對它們都算神話來的!毫不客氣地說,這一點可以讓我們確定,瑞星是全世界最廢的殺毒軟體,廢得天下無敵!——誰不知道跳殺意味著什麼?
毒霸也不用我多說了,有時連行程都關不掉,懂一點殺軟的都不理它,臭啊!
NAV等國外殺毒軟體都很廢,但許多崇洋媚外的線人都——自命不凡,不吃我的套套理論,我只好再細細道來一遍:
Symantec的任何殺軟不管是NAV還是SAV,在國內都是「木馬白癡」,其引擎自2001版始恐怕也無甚改變。Symantec入殺軟界雖不是很早但也算元老,首創軟體既時監控,但卻不思進取。在我眼裡,無論當今的NAV、SAV還是Norton Internet、Security中的一切元件與同行相比,淨是一堆廢品。
McAfee,被人稱「殺木馬後門厲害」。我眼中,這是極膚淺的偏見。那些人僅僅看到一面McAfee是殺殼王,卻也不想想要做到「殺木馬後門厲害」還需二項能力:本土化毒庫與活病毒清除能力。
結果呢?McAfee一認不得黑洞2004815,二像AVP一樣毒庫有問題查毒不徹底,三是活病毒清除能力屬非法詞語級,查記憶體連dll都不查還談何後門木馬?就算國內後門界乏人,隨便一個dll插入都殺不動,hacker』s door都不用說了,要殺hxdef就更是放屁了。(個人認為,目前對付hxdef最好的法子是KVDOS殺毒盤)。
一代天驕AVP,民間俗稱卡吧當機,雖混出個毒庫第一,大家也不看看一撞上活病毒,AVP就現出一臉頹相。既時監控在低端機上失效,是中高端也讓人夠嗆。不是因為病毒當機,卡吧也會讓你當機。
為什麼在本評測中出現了KV一邊倒的情形?我是槍手乎?
非也,本人大費口舌的原因就是一個觀點:
本評測以外的任何評測無論或所謂」權威」與否,全部不科學.
這些評測都是胡弄人,玩數位遊戲,比如吧,下面請看本人在Xfocus上罵離子翼安全實驗室2004殺軟評測的話:
「hehehe,離子翼訊息安全實驗室的評測錯誤比我的文章中的肯定還要多:比如吧,測殺殼時他們錯得一塌糊塗,真的是一塌糊塗。
還有清除率的問題:現在的殺毒軟體有時會把清除報為移除,移除報為清除;norton亂隔離叫"發現的病毒基本上可以安全的進行處理";殺毒軟體把文件式病毒弄得只剩幾字元叫"清除".多層ZIP包查殺中一定要拿人家本來就殺不出的病毒來測;已觸發的病毒根本不測:AVP的弊病你們看到了嗎,lovgate大混戰除了KV又有誰能解?金山毒霸不能殺RAR你們只看查(畢竟人家測的不是「增強版」),Norton殺不得黑洞你們不看,瑞星漏殺你們不看,24:44的瑞星檢測時間簡直是天方夜談(你們也不考慮系統資源)……
不說了,我才粗略的看了兩遍而已.其它評測的弊病,莫過於此.要跟我牛,離子翼訊息安全實驗室還差點兒.典型的數位遊戲。
本人文中這樣寫到:(最流行的舊版殺軟黑幕,十月初的改版)
1.一個評測如果只看重病毒庫,那麼只說明這幫白癡壓根兒就不知道木馬加殼術,不認可加殼後的無敵木馬的危險性,甚至連瑞星的跳殺問題都看不到!
2.一個殺毒軟體的能力是並非一個數位可以代表得了,正如水滸英雄的能力並非那些「水滸人物卡」上的有限的幾個數位可以代表的,另外國外殺毒軟體殺國產木馬的狼狽相和評測時得到的檢出率及分數完成不成比例,也能很好地說明這一點。一個真正合格的評測應該是把各個殺毒軟體的優點缺點都列出來,讓讀者自己去按自己的需要來判斷,最多分不同情況給它們簡單排排名。
3.一個評測如果只是泛泛而談,而不分出殺毒軟體的優劣高下,這只能說明這是一個廣告大串聯,而不是什麼評測。本評測中出現KV一邊倒的局面並不能說明本人的方法不科學,反倒說明其它的評測根本算不上評測。
4.如果一個檢出率測試測的不是已觸發的病毒,那麼誰能看出AVP是否有病毒文件查不盡清不完的問題呢???
應該有幾條可以對上吧.這種道貌岸然的評測見多了,看起來不錯,實質上是一派胡言.恥笑這種評測.
毫不愧疚地說,大家還不如看我的,雖然本人著重點不是評測。」
其實這些人評測的動機,一看就明白,很多這種機構搞這些評測,看來是幹好事,事實上主要目的還是提升自己的知名度.不管怎麼說,這一切的評測都缺少一種追求科學的精神,不想把評測逼近一切真相的邊緣,所以才導致許多人可能都對本人所提一些事情聞所未聞.
我大話也不多說了:這一切的具體表現之便是沒有任何一個評測測過活的病毒,沒有一個!只有我會對殺軟用不同的要求用不同的病毒實驗。所以嘛,線人們在按照這些評測選項殺軟時,全國各地,乃至世界各地到處都出現病毒殺不掉的情形,永世不得翻身的情形也就見怪不怪了.
我建議這些評測把名字改成殺毒軟體死病毒特徵程式碼掃瞄與清除大賽,這樣我就沒意見了.
殺軟與評測界期待一場革命,這場革命終將證明我所說的一切.現在這些評測正如應試教育一樣竟以為某些指標就說明能力.作為一個學生,我痛恨應試教育,我也痛恨這些無論中我四處皆有的混帳評測.
以前我寫《黑幕》一文時並未把評測部分看重,因為我覺得黑幕才是本文之重點。一在我也不這麼想了,因為評測界的天也白不到哪裡去,為此我全力加強了評測部分的力度,以顯本方面的問題並啟始今後的評測。
本人評測是屬於實驗性的,難免有缺漏。但在評測界的黑夜之中,希望能夠多少有點光明。
下面對於本文老讀者來說,又是舊話重提。本人幾乎沒怎麼改過下面的章節,因為有些黑幕黑到了不用反駁不用爭辨的地步………….
我認為,如果壓在KV頭上的是AVP,我們還好商量,但我們可以看到,排在KV之前的儘是些非法詞語:毒霸、瑞星和Norton。它們的流行與中國人隨波逐流、輕信廣告、做事不細究這些毛病都有關,這自然不用說,但我認為最重要的原因就是公安部的評測。我就因此深受其害,當年買了個毒霸回家。
(現在它自己的網站上已經沒有這個東西了,但以前有許多電腦報刊登過)公安部的評分是這樣的:毒霸95,瑞星95,KV90,Norton85,其它的殺毒軟體依次列在後面。所謂檢出率則是(把所謂「一般病毒庫」和「特殊格式病毒庫」一起算):毒霸100%,瑞星100%,KV100%,Norton9x%,依此類推。
實話實說,公安部的評測是我見過的最假的評測,也是最害人的,因為它影響力最大,隨便就可以扯出一大堆疑點:
1.KV那麼強的引擎,憑什麼排在毒霸、瑞星後面?如果說毒霸、瑞星恰好撞上比較「適合」自己的病毒庫,那還好說。但既然檢出率都是100%,其它效能KV則是全面超越毒霸、瑞星,憑什麼KV要比人家低5分?好歹人家是世界上一頂一的殺殼王,難道KV的清除能力有問題?就算他們通過某種「方法」得到這個結論,那麼這種「方法」如何會看不到瑞星的漏殺???
2.作為史上最廢的殺毒軟體,獨一無二的衝突王、資源王、跳殺王,瑞星憑什麼遙遙領先,並列第一?瑞星有95分,我死也不服!
3.作為國內市場中病毒庫最不全的殺毒軟體,作為一個在民間評測與國外媒體評測中屢次墊底的殺毒軟體,Norton憑什麼比McAfee、PC—cillin、Panda甚至國產的安全之星與行天這些傢伙的分數與檢出率高?大家記住Norton當年的分數:6.8分!(這幾年Norton除了界面還有變化麼?沒有!)退一萬步講,McAfee在國際上也是公認的比Norton強嘛。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2005-05-14, 11:55 AM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

4.憑什麼大名鼎鼎的AVP不參加評測?依我看,以他們的「方法」,AVP有什麼問題他們也看不出,說不定還給個95分呢,所以為了「國產軟體大業」嘛……
5.憑什麼公安部幾乎只看病毒庫?雖然民間評測有這樣的,但官方評測從來都不是這樣的。
7.憑什麼公安部全盤都在暗箱操作而不說明各個殺毒軟體的具體檢測結果?國外的殺毒軟體評測雖然也不太科學,但人家至少評分原因寫得一清二楚。公安部呢?
8.憑什麼會出現三個殺毒軟體同時得到100%檢出率的情況?全世界的殺毒軟體評測,根本就沒出現過這種情況。要麼就是公安部病毒太不全,要麼就是人家想搞「民族產業振興」。
9.就算按公安部自己的標準來,早期的毒霸6極高的誤報率在我這兒也是完全不合格的,怎麼會有一級品之稱?!?!?!
……
疑點多到了讓人幾乎可以窒息的程度。研究一下中國殺毒軟體的歷史,發現公安部評測實在害人。
眾所周知,KV是早期中國最著名的殺毒軟體,一度市場佔有率遙遙領先,今天卻落到了這個地步,難道是技術問題?KV的病毒庫一直是全國最全的幾個之一,未知病毒查殺在國內更是無可匹敵,而且早在KVW3000(2000年產品,一代傳統)時代就可以殺UPX、Aspack及WWWPack、PKLITE、LZEXE這些殼。雖然對Win2000支持不好,但當時又有多少人用Win2000呢?那時KV的UI的確很差,但有些人認為KV那時用的是KV300的引擎,則純粹是以貌取人,上面說得非常清楚。當然也不可否認,那時它用的是AVP3的引擎改良版,但這不是一個評測應該看的。然而公安部從那時起便不給KV好臉色看,KV於是便一落千丈,落得今天這個地步。(硬碟炸彈固然也是一個原因,但公安部做的可是評測,而不是歷史清算!)可是直到現在,毒霸、瑞星除了支持NT內核操作系統上的既時監控,幾乎什麼都比不上當年的KVW3000,足以證明公安部評測的胡鬧與破壞性。前面說了,KV的文件監控本來就可以達到QQ、UC、POPO等防毒功能,今天卻在KV2005中特意「加上」相關功能,不得不說是一種無奈。
KV的下場並非最慘的。有些人可能還記得當年有一個很著名的殺毒軟體——行天。行天雖沒有KV的強大引擎,但病毒之全實在是出類拔萃,幾乎一直是全國第一,而其它的任何方面也不遜於毒霸,跳殺的瑞星更是不用說。安全之星XP與VRV也一樣,至少人家當年比瑞星毒庫全,速度快,又沒跳殺問題嘛。可是就是這樣兩個殺毒軟體如今卻銷聲匿跡,公安部顯然脫不了干係。
在這樣一個節骨眼兒上,我不得不為KV說話——如果KV哪一天像行天VRV一樣被整垮,我們中國還有什麼可以拿得出手的殺毒軟體?我們如何面對微軟的進軍?我們如何面對今後出現的徹底本土化的國外殺毒軟體?線人們輕易相信廣告固然是個原因,但如果沒有公安部的評測,線人們會這樣嗎?
一切疑點表明,公安部評測甚至連亂測亂評都不是,它有非常非常強的傾向性,是明顯經過人工操縱的非常明顯的作弊行為!毫無疑問,這後面還有太多的故事、太多的後台、太多的黑幕、太多的權錢交易、太多的無恥。具體是誰在操縱,我也不知道,也沒辦法知道。我只知道,它讓三個非法詞語佔領了中國80%以上的殺毒軟體市場。如果說這是一場騙局,那就是一場幾十億幾百億的騙局!(公安部的評測標準: http://www.antivirus-china.org.cn/head/jianyanbzh.htm,先不說別的,看看道貌岸然的它有多麼不科學!大家不要上當!!!)
公安部固然要負主要責任,但虛假廣告照樣脫不了干係。
瑞星的瞎吹倒不多,但也不是沒有:「第五代國際領先可增強引擎」——作嘔!不過瑞星還算是比較「謙虛」的,比如防未知病毒能力就只敢加個「瑞星專利」作形容詞,「清除病毒」之前就不敢加個「徹底」,算有自知之明。
Norton倒沒做廣告,到底是怎麼流行的,除了OEM大家也清楚:謠言可畏啊!
最最最最無恥的就是金山了,實在是令人髮指!不信請看:
1、把你的金山毒霸包裝翻到背面,一條一條地看:(以下各條結合了毒霸V、6及增強版「安全組合裝」的包裝背面)
1「病毒處理速度>>病毒傳播速度」這顯然是瞎吹,AVP也做不到。
2「網頁防毒,有效攔截……」這年頭視窗炸彈寫法也就幾種,隨便一找就找到一個毒霸殺不出的,(KV與Norton都殺得出)至於廣告攔截更是效果幾乎為0。你敢用這玩意兒攔網頁木馬嗎?想想當年金山在IE上大做文章,什麼「藍色殺毒革命」呀,什麼「應用程式for IE」呀,T真生氣全是造謠,不就加了幾個按鈕幾個圖示嘛!!
3「閃電殺毒」前面也說了,花哨的非法詞語。
4「雙引擎殺毒」金山的說法是:國際引擎是AVP的。懂一點殺毒軟體的人都知道,雙重過濾分析是100%不可能實現的,否則毒霸耗的資源肯定不止那麼多,速度也不可能那麼快,再說AVP已經可以算是「極耗」的範疇了。隱含的國際殺毒引擎殺國際病毒效果好的說法更是有違常識。同時,不能殺殼,不能殺RAR(指所謂增強版之前),指令碼攔截與殺未知病毒極爛,這根本不是AVP的作風,去掉了它們,AVP根本不能稱之為AVP。再說AVP風頭正盛,哪會幹出這種賣引擎的傻事?(不管怎麼說,AVP還是有許多值得肯定的地方,這點比毒霸瑞星強多了。)
依我看,有三種可能:
(a)金山只買了一小部分引擎,不能殺殼不能殺RAR不能殺視窗炸彈不能殺未知病毒,等於沒買。
(b)金山只買了一個老版本的AVP引擎,不能殺殼不能殺RAR不能殺視窗炸彈不能殺未知病毒,等於沒買。AVP3.5已可殺RAR,足以見其老。這還是有可能的,因為毒霸老早就在吹它,時至今日,甚至懶得用一個「全新」作修飾。如果真是這樣,我倒想給金山提個建議:買一個KV300的引擎,然後就可以號稱整合了KV的引擎了……
(c)金山僅僅買了個名號,不能殺殼不能殺RAR不能殺視窗炸彈不能殺未知病毒(廢話),這就是真的沒買了。
這三條說到底就是沒買嘛。
現在有人在網上說金山毒霸的國外引擎是Dr.Web的,其實這也沒錯。事實上毒霸2003號稱整合AVP引擎,2002版及之前又號稱是Dr.Web的,可見其所謂「國內引擎」是Dr.Web,金山並無其自己的引擎。「國內引擎」亦為胡扯。
5壓縮格式查殺:別的格式我沒追究,反正金山號稱可以殺RAR很久了,但直到推出增強版時才兌現,實在無恥。這個不用多說,大家一試便知。
6記憶體殺毒:前面的評測裡講得很清楚,不用多說,反正很多人都有毒霸報警卻發現狂點也清不了毒的經歷。不能記憶體殺毒也罷,金山竟敢再加一句「帶毒殺毒技術,無需啟動到DOS狀態,直接在Windows環境下清除病毒」,真是厚顏無恥。每當我向金山售後服務問起這個問題,人家都拋下一句話:「你到DOS下面去吧」。可你要知道,毒霸DOS版殺不了NTFS呀!
7硬碟修復:修復CIH與Opasoft造成的破壞我倒沒話說,雖然我沒試過,但號稱修復Hdbreaker造成的破壞就肯定是胡扯了,實在是不自量力,我甚至懷疑這幫蠢貨有沒有見過Hdbreaker的威力。如果大家嫌自己的電腦裡全是非法詞語,也可以試試,反正我是很想在金山的每台電腦裡都放上一個Aspack加殼的Hdbreaker,效果決不亞於當年的硬碟炸彈!!!
順便罵罵網鏢:
1作為一個規則過濾式防火牆,規則設定選項是它的靈魂。網鏢的規則設定選項直到今天也是最少最不全的,連設定繁瑣的瑞星防火牆都比不上,還敢叫「個人專業防火牆」?我寧可用Windows原有的的防火牆。
3很多人都知道,新網鏢有一個「功能」,可以自動攔截木馬並報警。這功能看來似乎有用,但實際上是屁用沒有。試想一下,網鏢可以準確地報出木馬名稱,這肯定是人家動用了毒霸的引擎殺出的已知木馬。要殺便殺,金山卻多此一舉,實在無聊至極,是明顯的作秀行為。(大家注意,當年網鏢是可以單獨買的,但你現在則只能買「安全組合裝」,明白我的意思了嗎?)
4金山網鏢幾乎是一周昇級一次,但相信沒有人發現過其中有什麼變化,肯定是假昇級。惟一的例外就是某次昇級後,網鏢會對衝擊波報警,可我等早就打了修正檔,要它作甚?可是這個「內建規則」哪裡都沒法把它關掉,只好讓它產生一堆非法詞語日誌。
大家如果要用規則過濾式防火牆,那就用天網,試用版也行。如果你不嫌麻煩,那就用BlackICE。不論如何,就是不要用網鏢,又花錢又受罪。
3.有了以上幾條,金山也仍然不能在眾多騙子公司中「出類拔萃」,不過這一條可以改變這一點。
眾所周知,毒霸6增強版加強了殺木馬能力,號稱可以增加查殺15000種木馬。可是大家是否想過,這多出來的15000種木馬是從哪兒來的?是從地裡冒出來的還是從天上掉下來的?顯然都不是,金山獲得木馬的途徑只可能是來自上報。這也意味著金山扣押了大量的上報木馬,以便進行這樣一次市場炒作。本人這個說法絕非口說無憑,因為我與我的許多朋友都有相關的體會:(其實根本就不用說這麼多,金山自己的廣告就夠了,自己仔細看吧)
1半年多以前,自己在電腦裡抓了好幾個木馬,毒霸殺不出,便去上報。結果金山回E—mail說已有人上報,要我等。我留了個心眼,過了幾周便把它們拿出來殺殺,可是毒霸一直不報警。這幾個文件我已經弄丟了,但我希望那些給金山上報過木馬的人把上報的木馬用未升到增強版的毒霸殺殺看,相信結果很多都是一樣的。
2我有幾個用毒霸的同學,在升到增強版後的那幾分鍾,電腦竟不約而同地報警說發現木馬。由於各種條件的限制,我只能搞到一個樣本,不過相信這種情況一定為數不少。大家千萬不能上金山的當,像我那幾個同學一樣,還以為增強版的能力很強呢。
不管怎麼說,毒霸的木馬專殺本來就非法詞語。木馬專殺僅僅可以檢查EXE關聯與win.ini,winstart.bat以及system.ini,比民間的「木馬分析專家」差了幾千倍,不能殺殼更是讓木馬專殺成為了廢物,加上扣押的15000種木馬後,病毒庫齊全度才達到KV瑞星的水準。
「木馬專殺」肯定是一個蓄謀已久的陰謀:全球每天才誕生200種病毒木馬,就算它們全是木馬,就算它們全部被金山收集到,那金山收集15000種木馬也需要2個半月……而現在金山更是把15000改為了20000,所以……當然,金山不會傻到把冰河灰鴿子這些木馬扣押的,否則就露餡兒了。
如此毒霸,名為「毒霸」,實為毒王,萬毒之首!!!
不得不承認,金山公司在國人心中的地位的確很高,但那僅僅是因為人家最早出現,而這並不能說明人家的產品好、信譽好,那只是國人的想當然。在雷軍上台的這幾年,金山廣告的確做得很熱門,但軟體的技術幾乎沒有長進。這就不止網鏢毒霸了:金山詞霸2005僅僅是2003與2002版換了個界面與發音庫,詞條中的錯誤卻幾乎一個也沒改;金山快譯雖號稱智能引擎,但翻譯效果卻一直未超過Office2003,而且是差很遠,幾乎只相當於把一堆詞拼揍起來,據網友說,金山快譯2005會把「Counter—strike」譯成「電腦罷工」——媽呀,人家就是翻譯成「櫃台罷工」,我都不會介意的,可是「Counter」怎麼跟電腦扯上關聯了?(人家是這麼說的,但我得到的卻不一樣,奇怪。不過「櫃台罷工」也讓人夠嗆的)至於WPS,我認為也沒什麼好說的:WPS花哨的功能越來越多,可是時至今日,WPS仍未實現電子錶格中資料同步變換的功能,(即改一個資料,相關資料自動完成更改,這個功能是必備的)仍然需要大家自己一個個手動更改。而此功能在Office裡面早已實現,這很是說明問題。(最近科技部作辦公軟體評測,WPS更是遠遠落在永中Office的後面)
上面的這幾個說法並非本人首創,它們全都是網上已有的說法。(殺毒軟體以外的我都沒那麼懂)綜合起來,大家便可輕易看出金山的底細。依我看,金山唯一拿得出手的恐怕只有金山遊俠了。
當今騙子公司雖多,但也沒有任何一個有金山這樣明目張膽地坑人的,尤其是「木馬專殺」一事,炒作瘋狂,全國媒體一齊盡獻媚詞,其設局構思更是偉大到了史無前例的地步,那個大名鼎鼎的網E拍又算哪根蔥?知道有人會想說當年江民的硬碟炸彈事件,那的確也是一個非常惡劣的行為,欠扁!但那畢竟只是針對盜版用戶的行為,(我沒說這是合理的)而金山則是拿眾多信任金山的正版用戶開刀,論動機金山顯然更加無恥。硬碟炸彈事件早已被公佈於世,金山的「木馬專殺」等一系列事件更應被公開在光天化日之下!!!這叫什麼?叫商業詐騙,叫犯罪!!!
但是,大家不要忘了,以上一切的一切,如果沒有IT媒體的撐腰,都是不會發生的。大家不要把當今的媒體看得多神聖,多有光彩。人家不是搞輿論監督的,搞輿論監督的也不懂電腦。當今的IT媒體在面對謊言時,從來都沒有打過頭陣,從來都只是論壇的跟風者:3721、網E拍,它們全都是在網上論壇被罵得一塌糊塗的情況下才有媒體出來說話,很多媒體更是直等到3721推出新版上網助手才出場,趁此機會做「評測」說3721根本沒卸載方面的問題。(鬼知道這年頭他們收了多少金山瑞星的廣告費?)甚至聽一些老線人說,當年有媒體對江民硬碟炸彈一類的重大事件提都不提……「多說好話,少說壞話」,這無形中已成為了國內IT媒體的做事準則。
當金山瑞星「論戰」之時,他們幾乎是一言不發。不要以為這是什麼「清高」或是「公正」,在金山瑞星無數漏洞百出,毫無水準的「論詞」面前,真正丟臉的應該是他們,這種無作為對於一個真正的媒體來說就是同流合污。這些年頭,他們犯了多少低級弱智錯誤,又不分青紅皂白地給了毒霸瑞星AVP及Norton等多少虛名妄詞,多少沾著讀者血汗錢的「編輯選項獎」。試問天下誰是真槍手?他們才是!
上文中有許多發現其實並不是我的原創,像瑞星漏殺問題在有些論壇上早已有人提出,可是時至今日,仍沒有媒體敢提上半個字,足以證明他們的懦弱與「敬業」。本文中可能有許多東西你聞所未聞,也正是出於他們的「消息封鎖」。比如說吧,當那些黑客雜誌與論壇整天在興高采烈地介紹與討論各種加殼技術之時,他們也興高采烈地作著幾乎只看病毒庫的「評測」……真不害臊!
看看他們幹了些什麼吧,整天僅僅是唱唱瑞星給它們的那首老歌:「半個月以來,病毒A和病毒B這兩個病毒值得注意。病毒A試圖/會/除了會××××。病毒B(則)試圖/會/除了會××××。可以上網的用戶推薦採用在線殺毒方式,快速查殺這些病毒,也可以使用單機殺毒軟體2004版,區域網路用戶最好能使用瑞星殺毒軟體網路版來徹底清除這些病毒。《瑞星在線殺毒》無需昇級、《瑞星殺毒軟體2004版》和《瑞星殺毒軟體2004下載版》每工作日一般昇級,遇緊急病毒第一時間提供解決方案,每週昇級的新病毒總數不少於400個!截止到×月底瑞星殺毒軟體將昇級至××.××版本,望廣大用戶及時昇級。如遇病毒,請撥打反病毒急救電話:010—82678800或使用瑞星在線殺毒:http://online.rising.com.cn」這堆破玩意兒對我們有何用?
毒霸瑞星的地位並不是真刀真槍地幹出來的,它們靠的是無盡的謊言:媒體的謊言,公安部(本人只指搞「評測」的某些吃裡扒外的賣國賊)的謊言,它們自己的謊言……這早已超出了正常的市場運作的範疇,頗有中國傳統的「官官相護」之形。依靠這些謊言,昔日的小混混今天卻成了龍頭老大。這正是看似簡單的殺毒軟體背後不可告人的黑幕。殺毒軟體誰強誰弱本是件小事兒,但這些卻是中國永世的恥辱!!!!!!!
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2005-05-14, 11:56 AM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

作者後記:《黑幕》背後的故事
幾次想寫這個東西,但都不稱意。最近才有了些感覺。
我也不賣關子了。本人今年14歲。2004年9月底本人寫成殺軟黑幕第一稿時我只有13歲。
本來呢我早就注意到了金山毒霸V與6背面的那些謊言以及瑞星的衝突與漏殺等。但本人一開始還不太在意。但是金山的「木馬專殺」對我震動極大,於是自8月中旬始,本人開始收集資料。
本來一開始我還不打算馬上寫下來,畢竟這一兩萬字的文章極耗精力。同時我想先用E-mail先測試一個IT媒體的反應。
應該說,結果極令人失望:一切我測試到的IT媒體均無回應。它們沒有回任何E-mail,也沒有在其報刊上提出任何相關內容。但有一個知名媒體例外《大眾軟體》在04年18期大軟的榜評所謂「簡單有效才是真」中,我看見他們突兀地插入了這樣一段話:
「生物學家告訴我們,人是群居動物,天然地希望別人承認,希望彼此接近。心理學家提醒我們,人有盲從的從眾心理,經常人云亦云。在我看來,由於彼此的程度不同,選項必定會有差異。當這種差異必須要統一的時候,強勢人群的選項也就成了標準。這種強勢也許是技術,也許是金錢,也許僅僅是數量。這期軟體榜上,「金山五秀」(毒霸影霸詞霸快譯遊俠)穩佔了四分之一,可見金山強大的受眾人氣。殺毒防火牆一族也佔了四分之一,剩下的是些網路套用與最佳化。造成這種情況的原因,正應了黑格爾的一句話—--「存在即合理」。(汗,這不是薩特說的嗎?!)
金山公司是國內最好的軟體公司之一,他們有著瞭解消費者心理這一強大優勢,軟體受歡迎也在情理之中......」
而這一期的封面上赫然寫著七個大字:「大眾軟體九週年」!
我不知道如何形容我當時的心情,或許只有這兩個字比較貼切:盛怒。我終於下決心寫下《黑幕》一文。我覺得,現在菜鳥很多,支持金山、瑞星啥的也可以理解,但是,我絕不能容忍這樣的無良知的人渣媒體,決不能容忍他們的放任不管!!
在我的任何一篇《黑幕》裡,本人都對媒體算比較客氣,相對其它作品而言,本人十分給面子,對這些媒體然而我最擔心的事還是發生了。
怎麼說呢?媒體說話是一種力量,不說話更是在他們一字不吐的嚴酷封鎖下,木馬鬥士和他的《黑幕》很可能今後將成為一段不為人知的歷史!
當年我痛恨公安部,後來我痛恨金山。今天我最痛恨IT媒體,不論它們是大眾軟體還是電腦報。在茫茫的黑夜之中,金山,瑞星,評測,公安部它們只是一堆或大或小的拌腳的掩蓋石,而媒體才是一團團遮住了陽光的烏雲,是它們使一塊塊石頭成為了拌腳石,它們才是真正的始作俑者!。
這些媒體的所謂興論監督,T真生氣全是胡扯。記我們回顧一下3721吧!
大約在2003年的時候,網上有人發現3721會自動破壞比如百度這些插件,同時無法卸載。後來人們發現,3721竟用了驅動技術,瘋狂地自我保護,全世界沒有任可一個殺軟或反間諜軟體能清除它。
雖說很多菜鳥線人都不知此事,但此事在網上的確很有影響力,痛罵3721的線人不計其數。可是大家看看,媒體一直在保持沉默。
對我們來說沉默可能是金`。但對一個媒體,尤其是IT媒體為說,這種刻意的沉默是整個行業最無恥的行徑,最敗壞的品德。你們有沉默的資本嗎?這一切3721與殺軟等黑幕莫非有違於國家安全?莫非我國的審查機關會把這些東西審查掉?
作為一個媒體,你們沒有沉默的權力!
當然3721還是被提到了,它們就登在《大眾軟》2004年07期與《電腦套用文摘》6月上。不要高興,不要樂觀。《大軟》雖講的還算詳盡,但口氣賊「大軟」。不是說「大軟」了就不行了,但是如果像這樣寫文章,那就失去了最後的一點批判精神。而對於3721這種無恥的東西若失去了批判精神,那麼無論你把自己標榜得如何如何,也談不上正義。這正如同面對一個殺人犯,你要是面對他還敢說什麼「客觀分析」,那是胡扯!
《電腦套用文摘》口氣稍硬些,但也就一個小豆腐塊,不講前因後果,讓菜鳥朋友看得雲裡霧裡,似懂非懂。
不用高興,不用樂觀。在論壇上的3721風暴如今在此只剩下啥?不要看人家把自己說得如何如何,就算你登了這些東西,你也只是想樹立一下自己的「形象」。若你們早說,問題哪裡會有如此嚴重?你們是與3721齊名的黑手之一!
同時有些媒體為3721「處理」該問題的方式也讓我不齒。
《大眾軟體》對3721所謂後續報導其實就是在新上網助手去抻sys驅動保護後為3721說話。但他們哪裡看到問題的實質?(呆會兒我會說明白)
電腦報這次就更混了。正如我前文所說,它直等到3721推出新版上網助手才出場,趁此機會做評測說3721根本沒卸載方面的問題!!………彫蟲小技,沒什麼好說的。
當然,更多的媒體依然在沉默。就這樣你們把3721這幫混蛋保住了。大家別以為3721改邪歸正了。3721的新上網助手及最新的上網助手2005依然惡習不改,只是換了個方式罷了。
它們並非因為衝突而是刻意地把百度等工具條遮閉掉。(可以用SPYBOT攔截這些破壞操作,此時可以正常使用!)在卸載之後,3721依然會留下大量註冊表項與文件。不要以為這只是簡單的非法詞語,這些文件可是會用dll插入駐停留記憶體的!
最讓人感到恐懼的是3721在卸載後剩下(未卸載時也有)的有些註冊表項與文件採用了類似於世界頂尖終級後門hxdef的文件與註冊表項隱藏技術:用執行緒系統管理工具可看到的dll執行緒,在其目錄下如何都看不到文件,用spybot s&D等工具查到的註冊表項永遠找不到,定位不了,刪不掉!不是它們亂報,不裝3721這一切都不會有!
無論是老上網助手,新上網助手還是上網助手2005,今為止,我都沒見過有任何一個反間諜工具可以單獨清乾淨它們,實在沒話說。
同時大家也可以想想,3721處心積慮在上網助手上加上世界級頂尖後門技術是為何?難道是為了當木馬?後門?間諜?
任何一個都讓人膽寒。
話說回來,你們媒體又去哪兒了?像本人所提的殺軟黑幕,本來就是你們的職責,可你們不聞不問,最後卻變成了我的事,你們還要用沉默來置我於死地!我可以看到3721風暴平息,可能即將成為不羈的木馬鬥士的下場!
我想不用討論職責的問題了,我只想問你們,你們有沒有良心?你們沒有。你們當中任何一個有實權的人都沒有良心。
不要以為在中國你們就可這樣。看看吧!同是媒體,中國其它的媒體行業再差也多少能辨一點是非,哪怕有時要面對一些敏感問題。你們是IT媒體,你們無需面對敏感問題,你們最悠閒自在,但結果你們幹了些什麼,你們讓IT媒體成為了中國媒體最黑暗的一角!
如果說,一些地方媒體之所以不仗義執言,是因為地方強權的壓制,那麼我們多多少少還能給予一些理解。那麼你們呢?
3721金山等他們向你們的只有大筆的廣告費,他們哪裡有半點行政能力?所以問題出在你們這兒。
你們為金山、瑞星等當了多少次隱性槍手,我不想清點,你們自己心知肚明。至於沉默,這是大家有目共睹的:在這樣一個黑暗的年代裡,這就是無恥的掩飾!!!
不過我心裡很複雜,畢竟你們是媒體,你們掌握了一切生殺大權。你們知道,以你們之力,甚至還有金山等,詆毀一個14歲孩子聲譽是何等的簡單,管他是木馬鬥士還是鐵馬鬥士。你們只要使出你們的老招術:屁股一坐,保持沉默,萬事大吉。
我或許只能這麼說:我奢望你們能儘快改邪歸正,我奢望。你們一天不改,就有多一天的罪孽。
改邪歸正不是一句話,一句道歉,一個口號就能做到的。改邪歸正要的是人的良心。人的良心不是一句話,一句道歉,一個口號,代表人的良心的是做有良心的事情,告訴所有人一切的真相。
如果他們依然執迷不悟,那麼我希望,每一個有良心的本文讀者,都給予他們最嚴厲的恥笑與咒罵,正如對於3721。更何況他們也是一切的始作俑者,他們是真正擋住陽光的烏雲。這個希望,或許是面對媒體的沉默我所惟一能做的。
你們這些媒體要知道,我不是逼你們,我不是害你們,我是在救你們,同時你們也要為過去的事情負責。以前我沒那麼狠,但我現在知道了,若不下以猛藥,都難以治標,更何況治本。
對於線人,我也有話要講,過去幾個月中,你們有些人的表現讓我極為失望,另外我不想拷問某些線人有沒有良心,那還談不土我只是想問,作為一個成年人,你們看問題為什麼那麼膚淺,說話為何那麼不負責?
當然,你們很多人也是中IT媒體的毒太深,我也就不追究了。只是希望你們以後能認真思考一下某些問題,不要信口開河,不要再為他們辯護:「他們只是為了錢,不然也不會這樣,你說是嗎?」(摘自黑鷹基地論壇)
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2005-05-14, 11:58 AM   #4 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

錯亂時代
我個人認為當今安全界已進入的殺毒的錯亂時代:文化錯亂,意識錯亂。
我知道我也曾與大家講過:本人今年14歲,自然偵錯編程的功夫最多也只算三腳貓,但這不是讓我住口的理由。
前一陣子在xfocus上看到有人說:「用什麼殺軟不重要,重要的是意識」不禁讓我笑出聲。讓我們看看,當今安全界的防殺毒意識是什麼?

防毒:
許多人心中的意識就是防毒:打修正檔設密碼。沒錯,這一點上這樣做比較有效。
我這裡只是想說說當今的一些「高手「的一個派別「不開既時監控派」。
這些人在論壇與雜誌上偶有出現,自以為意識超群,無須開既時監控來影響工作效率。試問一下,打修正檔設密碼萬能乎?當今網上最大的安全威脅中就有兩個可打破他們的牛皮氣,來不及出修正檔防護的蠕蟲和網頁木馬。不開既時監控,這些人自然就被它們100%地命中,隨後的故事見殺毒一節。
大軟2004022期上的榜評使大軟的萊烏們浮出水面,除了一大幫用毒霸與NAV「武裝「自己的大菜鳥外,還有兩個「高手」一個號稱是「不開既時監控派」一員,還有一個不用殺軟。
若後面這位老兄不是整天在上班時間自己寫殺軟的話,我們一般習慣稱之為「眼不見為淨派」或者出於懲罰的目的,老編拔了他的網線……也難怪大軟有興致專門研究USB碟的抗破壞能力了。
同時在11月份,大軟突然有興致亮出了好些用毒霸的工作人員,實為隱性宣傳。顯然大軟與金山在背後多少有些聯係。這是後話。

殺毒:
今日安全界在殺毒方面的認識,簡直不足以殺今日之毒。今日占主導的殺毒方法如下:
第一步:殺軟直接殺毒
用KV的話,自然是直接解決,但我想模擬一下今日老腐朽的方法。活病毒清除能力我改《黑幕》時加入過,即:除AVP5PRO為準非法詞語級外,KV以外殺軟淨為非法詞語級。原因說得非常詳細精準,因為本人認為此能力重要至極。如果你認為分一堆非法詞語級仍不明細的話,我可以展示一下一種更明細分級表現方法:
查活病毒能力
等級1:不能查記憶體,代表為NAV、AVP5 personal
等級2:可查exe行程,不能查dll,有McAfee金山毒霸SAV
等級3:可查記憶體中與MCAfee、exe與dll有KV、AVP5pro、瑞星
其中又由於AVP系列及McAfee無法認出許多活病毒產生的關鍵病毒行程文件,將AVP5 personal與AVP5 pro McAfee懲罰退後半個等級。
McAfee與SAV僅僅查幾個exe的行程,速度也極慢,懲罰退後半級。
由於McAfee已懲罰半級且上面的問題並不如AVP嚴重,所以累計扣半級。
瑞星只查關鍵系統行程執行緒,扣半級。
查活病毒能力只作為殺活病毒能力指標的補充而非並列。

殺活病毒能力
等級1:無法關閉exe、dll有金山毒霸
等級2:可清除exe行程有SAV、McAfee、瑞星、NAV
等級3:可清除簡單的dll木馬:無
等級4:可殺行程守護,dll連環:KV
AVP5系列比較特殊,可殺exe行程,殺dll可用開機指令碼清除,但有好些病毒的一些文件開機指令碼是無法清除的,這樣一來可以算2.5級。又由於無法無識出許多活病毒產生的關鍵病毒行程文件,甚至干擾到清exe行程,有必要累計再次因此扣分,再退後半級,最後的成績為2級。
瑞星漏殺罪大惡極,嚴疊影響殺毒直接懲罰退後1級!
KV有殺毒工作列完美解決行程關閉問題,獎勵繼續一級。
最後,各殺軟分級如下:
瑞星 金山毒霸 AVP5PRO AVP5Personal McAfee NAV SAV KV
查 2.5 2 2.5 0.5 1.5 1 1.5 3
殺 1 1 2 2 2 2 2 5
權衡利弊,我才得出眾想懸殊的分級,大家難道就能因為我把KV寫得一枝獨秀而罵我槍手嗎?
心中有桿秤,這樣的資料就算不寫下來我心中也有數,我做評測難道就不及他人科學?
話說回來,KV外的殺軟全部都在殺活病毒方面未超過2級,實際上注定了不肯用KV的人的命運,除了在正常Windows下殺殺黑洞共享版,你們不用忙了,新一代的病毒木馬只要掌握dll插入,搞定。
所以我是極端卑視不開既時監控派的「高手」們的,不管他們口頭上有多牛。不管你的殺軟多爛,既時監控都是最重要的防線之一,你把它們關了,以當今殺軟不為活病毒設計這種現狀,不開既時監控派肯定沒少中毒,而且還殺不掉,因為他們僅僅用這些殺軟的最最最最最爛的能力來妄圖抗衡病毒。(大軟有人也承認自個兒電腦上有好些毒、金山毒霸根本殺不了)因此他們也只能算是「眼不見為淨」中的一個菜鳥門派了。
那麼大家呢?我作對的人恐怕至少有95%也是「眼不見不淨派」的吧!
當然,也有些高手不願如此,由是引出下一步。
第二步:安全模式殺毒
這個方法比較「傳統」,是「高手」們在菜鳥面前恥高氣昂,也是大軟電腦報們答讀者問的慣用手法,已可以算是一種文化了。只可惜時至今日,它只可算是一種錯亂文化了。
很多毒在安全模式下根本就是殺不掉的,一百遍也不行,前提當然是你不用KV。這種情況你也肯定沒有用KV,不然你就不用下安全模式了。
1月29日版本的《黑幕》已在「活病毒清除能力」一節中「抗行程關閉記憶體殺毒法」後提到這些東西,在此要補充與警告大家的是,那些在安全模式下仍能啟動的病毒等以在Windows病毒總數中的比例而言,可能不算多,但這種等同於大行於世的非法詞語評測的看法無任何實際意義與務實性。我請大家看看當今最流行的病毒有哪些?難道不是Lovgate、Netsky它們?就連我痛罵的金山瑞星也不得不承認這一點。
然而Lovgate與Netsky等也正是這樣的病毒,換句話說,在安全模式無法清除的病毒是現在最流行的病毒,今後新一代的病毒也將成為它們一員,再算上它們普遍採用的行程關閉,行程守護,dll插入三大法寶,還要加上瑞星漏殺AVP漏查等等,安全模式下殺毒的老法子理應廢止,大軟電腦報等可不必在我面前丟人現眼了。
什麼?我在亂說?那些病毒不流行?
這樣罵我的任何一個從來都未分清過活病毒與死病毒的概念,差水多是殺軟問題上的大菜鳥。
活病毒是已觸發的病毒,電腦執行過它,不管以什麼方式。死病毒無論再精妙,也只能看作一段程式碼,幹掉它們無需什麼技術,只算是體力活。(不過瑞星幹不好,也就是沒技術)如果你拷幾個文件到別的電腦上,中間帶毒,那算不算中毒?不算中毒觸發它們,使之成為活病毒,否則我們可以推出:到網上下一人裝毒的ZIP包也算中毒。
中毒即觸發,觸發即中毒,這是無懈可擊的。由此我相信,那些罵我的人大都不但沒中過毒,還不懂中毒的概念,把既時監控的幾次報警當作了中毒與殺軟能力的體現。活病毒才是威脅,死病毒最多也就是有潛在威脅的一段程式碼,狹義地來甚至可以說它算一種病毒媒體,不算病毒本體,潘多拉的盒子開啟便會帶來災難,但潘多拉的盒子不算災難中的一種。
這樣說,只要有既時監控清除死病毒,我們就不會中毒了?
錯,防得住就不用殺了,這只是你的一廂情願。
只要Windows還有漏洞,只要微軟的漏洞不是與修正檔一起發怖,只要微軟繼續不願提供某些修正檔,只要殺軟公司的更新病毒庫不與病毒同步推出,只要世界上還有區域網路,只要天下還有那麼多像你們一樣的菜鳥,只要慧星還沒有撞地球,只要人不是沒有缺點的,任何一個人中毒不但不是沒有可能的,而且是很有可能的。
再說殺軟既時監控失效也絕不是不可能的而是「正常」現象:如我當年用毒霸時整天開既時監控也中過老病毒Windods與新歡樂時光。
據公安部統計,中國中過毒的電腦占60%以上,你們吹吧。
一台電腦上出現死病毒的次數肯定比中毒次數多,這是必然的,但這兩者是不能比較的,更不能說明中活毒的電腦少。防毒當然勝於殺毒,但它永遠不能替代殺毒,這是兩碼事。而只要你中一個毒殺不掉,掛了。
但願冥頑不化的菜鳥們能聽懂我在說什麼。
安全模式殺毒無論是在理論上還是在實際上都破產了,媒體們的念念不忘,只能再次證明了他們的玩忽職守,下一步。
第三步:DOS殺毒
有三大殺軟有DOS殺毒:金山毒霸、瑞星、KV。毒霸DOS版無殺NTFS格式功能無甚價值。其它的區別就瑞星殺不了什麼殼了。
DOS殺毒慢,但也是最有效的殺後門hxdef的方法。不過現在實在沒什麼人用,大概是不瞭解。DOS環境下不會觸發任何windows病毒,這是一個大好處。不過瑞星DOS版是否沒有像windows版那樣的漏殺問題,我不敢保證。如果用KVDOS,若非殺hxdef,那還不如用KV的windows版記憶體殺毒,反正我發明了「工作列殺毒法」反行程關閉,怕啥?
DOS殺毒本是成功率高的,但一是慢,二是麻煩(總不能既時監控玩忽職守一次就讓菜鳥們下一次「無顯示地獄」)三是路子少,僅兩個可行的殺軟,所以又是下一步。
第四步:重裝
大家記住:殺毒式重裝是要格式化硬碟的!!
我已見過無數這樣的案例了,大家恐怕也不能否認它們之多,除非你見識實在是少,或是槍手什麼的。
事實上,(尤指惡性病毒)走上這條路以當今的殺毒理論,幾乎是必然的下場,我不得不為那些人感到惋惜,本不應如此啊。
除了以上四步,有些「高手」還在苦練手工清毒,方法說到底一般就兩種:DOS下刪文件或開機指令碼wininit.ini刪文件,此來對付行程守護等病毒「三大法寶」。
開機指令碼編寫可以手工,也可以用Delete Doctor,Killbox等工具來寫,AVP殺頑固病毒亦用此法。但是有些病毒文件是無法用此法刪的,像Delete Doctor甚至會告訴你無法以此法移除。隨著Lovgate與Netsky等的益加流行,此法終將走向滅亡。
DOS下刪文件我就不說了,吐。
現在應該還有一種:
直接行程關閉:
有些用毒霸NAV等稱不上角色的非法詞語殺軟者推崇此法,極流行。
原因:某些殺軟太爛無法行程關閉!
用此法者蠢啊!
事實上在大家心目中,最能代表手工清毒的正是此法,但我不認為這是什麼殺毒方法!我奇怪,這乍能登大雅之堂,可大家就是這樣!
用單純的行程關閉只能關掉夠不上等級的非法詞語老病毒,可是大家卻在殺不了它們的更非法詞語的殺軟啊?
以此法之流行足以證明殺軟中非法詞語之多,這是又一個好證據。
當然了,還有很多類似的方法,如殺毒助手行程關閉法(滅不了dll插入系統行程)等。它們有一個共同的問題,關閉移除哪些文件?當然你可能還用啥專殺工具,只可惜當今專殺工具還不都是非法詞語殺軟原來的公司寫的,所以清除能力雖比原來好點兒,但還是不夠格。面對猛毒惟一的出路似乎是以殺軟或專殺查出的檔案名單手工清毒……但是
老兄你煩不煩?累不累?莫非我們回到了80年代?DOS時代自殺軟出現以後,手工清毒早已被判了死刑,但在WINDOWS時代,你們這幫白癡又把它從棺材裡挖了出來......應該說,一切手工清毒方法都是這個可笑的時代最典型的笑料!
還好,「高手」們手工清毒往往也沒有我這種鑽研精神,你們行程關不了,就判斷為「不治之症」,直接重裝。故事一遍又一遍地重演著……重演著……
中毒→直接殺→安全模式下殺(→DOS殺毒)( →手工清毒) →重裝→中毒→直接殺→……….
多麼觸目驚心的死循環啊!但是死循環一遍又一遍地循環著……循環著……
這個循環便是當今主流的殺毒理論的模型。菜鳥們,中毒者們,學校電腦老師們,還有「高手」們,好好研究研究。
以傳統的方法,也有人跳出了該循環——成為「眼不見為淨派」
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2005-05-14, 12:00 PM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

作為安全理論的基礎,中國乃至全世界的防殺毒理論已經在務虛的大坑裡越爬越深,而且還在繼續下陷,安全理論寶塔的根基早已被蛀空,被缺乏系統研究與不負責任的謊言及「安全人士」們的不務正業蛀空。其上的任何理論,無論看起來多高明與精闢,都如同空中樓閣。基本問題不解決,如此務虛的安全界,又可能有什麼進展呢?無非是幾個漏洞向種害人程式碼原理與寫法了。這樣一來攻的理論一再完善,守的基本理論卻是花架子不堪一擊,也難怪現在網路安全一壞再壞了。這不止是難免的,也是必然的。
為了更清楚地揭示這一切,我們不妨以字典詞條的形式列出:
安全界黑幕小詞典
一 安全界:
本文中大多數「安全界」指一些與我們身邊緊密相關的與訊息安全相關的事物比如雜誌上的殺軟答疑與病毒播報等,或者指狹義的安全界,即那此專業與業餘安全士作者的世界。

二 病毒播報:主要有金山與瑞星兩種。
瑞星的播報我以前談過,分析了其傳統廣譜特徵程式碼以作為笑談。《電腦套用文摘》每期必登,這個東西只能作廣告來看,作為病毒分析它是整個業界之迂腐的傳統象徵。
金山的播報主要登在《大眾軟體》上。其特點為:是毒是馬都要標出突發日期。如果是CIH—類的老前輩,好說。但蠕蟲、木馬它們,一個是由不可抗力來傳播的。一個是由人為意志來撒播的,你有資格有能力預測它們何時突發嗎?
如果金山哪一次把蠕蟲木馬預測准了,還精確到天,我只好遺憾地告訴大家,那個東西是金山自個兒寫的。
2005年大軟上該播報及金山毒霸的廣告已消失,而本人那時尚未寫本文。唯一的解釋是:在殺軟黑幕中我對金山的虛假廣告分析極其精闢,迫使其有所收斂。
另外提一提AVP播報資料的一個問題,很簡單:不本土化。

三 金山:
中國IT史上最無恥的公司,對自己的正版用戶都撒謊非法詞語,無惡不作。以WPS辦公軟體起家,其創始人求伯君早已退休,當今總裁是雷軍,其一切罪惡的責任人。若不是雷軍,金山完全可以不如此。
金山快譯、詞霸、毒霸在專門研究過它們的人眼中早已臭不可聞。WPS雖是開山始祖,但其某些能力近乎弱智。在國家訊息產業部評測中,WPS在國產產品中頂多排中間,與office更是無可比較。毒霸不用說,畢竟本人對其是當之無愧的專家。詞霸功能就那些不論金山號稱是幾代引擎幾個詞典,第一代的bug都夠金山出好幾個SP。至於有關快譯,笑話就多了,寫那篇相關文章的人說:「張樹忠」office2003譯為英文「zhangshuzhong」,快譯譯為「A tree忠」,大寫小中文英文詞組單字都有(笑)。譯句子更不用說,比原文都難懂,進一個句子出一個笑話,所以又叫「金山笑譯」。金山快譯的語法判斷極有有問題,所以其作廣告的圖片都是以雅虎中文這一類的四處都是關鍵詞的網站作例子,句子碰都不敢碰。
二線產品如金山影霸就有點無人問津了。金山遊俠雖有實用價值,但也無非是把一些與遊戲相關的基礎功能從winhex那些大佬中提出,技術含量不值一提。(有些鍵值遊俠根本不能改,FPE卻能)
為什麼有人買金山產品?無非是雷軍打著求伯君的金山旗號大賣非法詞語罷了。大家心知肚明。
不談產品,金山還有「木馬專殺事件」、「毒霸6不殺RAR」、「硬碟修復敢修Hdbreaker」、「胡吹記憶體殺毒」、「胡吹雙引擎殺毒」等一系列事跡(見殺軟黑幕),近日我還確證了一些網友反映的金山病毒上報的問題:任何人向金山上報病毒木馬、金山都會說該病毒已上報,請等待昇級云云。有位網友試著自己寫了一個病毒來上報,人家也這麼說!也就是說,金山從未兌現過獎勵上報者一套「安全組合裝」的承諾,至少現在還沒!
金山有信譽嗎?沒有!金山無恥嗎?無恥!這個自問自答是任何人都沒有資格反駁的。只可惜以金山的影響力,若他們賣的是阜陽奶粉,九千萬中國線人是要毒死半億人的!

四 漏殺:
現在的媒體一看到病毒殺不掉,就去「稱讚」該病毒厲害。可能從勢利眼的角度來說,不招惹任何一個公司是實用之舉,但在技術上來說,這是愚味,在道德上來說,這是無恥。
漏殺在我眼中幾乎已成為瑞星的代名詞。當年2004年4月木馬剋星有一個版本漏殺,於次日修正,此外我就再也沒有見過瑞星以外的漏殺了。
瑞星漏殺歷史悠久。以「反覆查殺」為特徵程式碼,我可以在書中查到2002版的該現象。有意見嗎?2002年前一代是有標準版/千禧版之分的一代,千禧版是有瑞星第一個既時監控的產品。夠老吧?
新歡樂時光是漏殺的完美驗證者,作為資料夾指令碼病毒,其極易被觸發,複製能力強,又恰恰不佔記憶體,卻在不開資料夾情況下也無法在幾遍掃瞄之內再無報警,再加上不能開資料夾的講究,又體現了其既時監控之玩忽職守。
鐵的事實,無可改變。

五 瑞星2005:
在《黑幕》的晴空霹靂之下,瑞星2005在某些頑固「高手」的保衛中踉蹌出世。讓我們看看它:
瑞星2005與2004相比幾乎無變化:
記憶體佔用顯示減少,速度還是那麼慢,只是啟動主程序時好一點兒,這是什麼改進?這是瑞星在原有基礎上變本加厲地貫徹dll插入與行程守護來掩蓋它的恐怖佔用!!!大軟說是改進,電腦套用文摘說是改進,改進個屁!!
Dll插入雖由病毒首創,但並非游手好閒的媒體所說,是「病毒技術」,像木馬剋星的密碼保護及KV的動態濾毒就靠它。但是瑞星那樣大量無謂的dll插入的確可以算病毒技術,行程守護就更當之無愧了。《電腦愛好者》上瑞星某經理還敢罵別人如此如此,無恥。
Dll插入做到病毒的份上的只有瑞星!
瑞星號稱加強了未知病毒查殺,但從其總誤認監聽工具來看,瑞星與KV及AVP相比,水準差遠了。只能說與早期毒霸6相比強一些。至於殺殼能力,那是KVW3000/AVP3.5他孫子。
除了界面外,瑞星2005只剩下了大軟一句不負責任的評論「下載防毒的取消,可能說明了瑞星對自己的文件監控有信心」
這種極不負責任的白癡低級錯誤不怪瑞星,只怪大軟在《黑幕》壓力下一夜之間對殺軟只想揀好的說,一會兒說所謂的「記憶體佔用」減少,一會兒又說速度影響大(《黑幕》中再三重申瑞星最耗的壓力),對關鍵殺毒能力閉口不提。
大家可以看看,下載軟體的防毒不是在嵌入防毒裡嗎?大軟的評測水準,心態,取向,由此可見。

六 金山毒霸2005
3月真是一個好月份,中國最臭的軟體公司金山又來給我獻醜了:毒王2005來了,又一次帶來了一堆毒汁----
「主動既時昇級」是抄襲光華的Online。在本身引擎不行的前提下,這是徹頭徹尾的作秀。金山的處理速度與效果也值得懷疑。
「漏洞修復」和「木馬防火牆」還是原來的作秀廢渣。可笑的是,在200507期的《電腦套用文摘》上,一邊廣告說它是「傳統功能」,一邊卻說是「NEW」,吐。
「跟蹤式反間諜」就是BLACKICE上的一個小小的功能,人家早就實現了,這還值得吹上幾百字?
「可疑文件掃瞄」之廢,不用多說。用木馬剋星吧!
臭名遠揚的「木馬專殺」還是不殺殼的廢渣,倒帶來了「行程啟動項管理」和「系統環境修復」。別人可不屑於做這些事情,為什麼?這是網上任何一個相關小工具就能做得更好的功能,技術含量不值一提。又是「多功能式」作秀!
「搶先式防毒系統」聽來是好東西,但我說了,金山不可能有好東西:
1 金山的所謂「記憶體殺毒」,地球人都知道是廢渣。(今天的2005總算有些改善,但也只是能關EXE行程罷了,2級)當年廣告裡號稱「帶毒殺毒技術,無需啟動到DOS狀態,直接在Windows環境下清除病毒」,今天在廣告裡卻要「避免帶毒殺毒的危險」,暈倒!
2 「不等系統完全啟動」是什麼概念呢?懂行的都知道,只要不是微軟自己寫殺軟,那就只有一種可能:服務。
「當您看到 WINDOWS 彈出登入框讓您輸入帳號密碼,「RUN」和「開始」裡的程序都還沒有執行時,金山毒霸 2005 已經開始全方位保護您的電腦了。」這就是證據!
可是一切殺軟不也都是這樣的嗎?金山毒霸原來不也是這樣的嗎?Lovgate不也是服務啟動嗎?那就只有一種可能:扯蛋!
3 說的是防毒系統,它就算先於一切病毒啟動,又如何能殺活毒呢?「文件既時防毒啟動後,駐停留記憶體,自動執行於後台,在任一應用程式對文件進行操作;在接收電子郵件、從網路下載或 QQ、MSN傳送文件、開啟光碟時進行病毒監控,徹底防止病毒入侵。」「防毒勝於殺毒......」
這些刻意迴避「殺毒」字眼的廣告詞足以證明,「搶先式防毒系統」的「殺毒能力」完全是靠模糊的偷換概念得到的。金山只不過是在殺毒服務啟動時加上了幾個金山圖示做一下秀罷了。
而這就是咱們的「搶先式防毒系統」。

金山毒王2005是換湯不換藥的當之無愧的又一代廢品,它告訴我們:撒謊作秀狂金山不是一日之寒!!!

七 殼:
殺不殺大量的殼,早已成為了殺未知病毒與木馬能力的分水嶺,只是菜鳥們不懂罷了,但殼的概念已到了非普及不可的地步了。
殼是一種類似於自解包的東西。但是,殼有兩點不同於自解包。
1 殼一般只適用於exe、dll、ocx,加殼成功後文件可直接執行,使用。
2 加殼文件執行時不解壓到硬碟上,而是直接入記憶體。這樣既時監控就不能像對付自解包一樣對它們了。電腦報「黑客營」的所謂既時監控能對付它們的說法簡直就是造謠!!
這樣一來不殺殼的殺軟殺加了殼的病毒木馬時就查不到原有的特徵碼了,效果就等於甚至超出改特徵碼,因為幾乎所有的程式碼都改變了,不像只改部分程式碼只針對部分殺軟,未知病毒啟髮式反描的時常失效也正是因為它錯亂的程式碼無可分辨。舉個例子,一個木馬的程式碼是ABCD,我用加殼軟體加殼後程式碼變成:請把E換成A,把F換成B,G換成C,H換成D,程式碼是EFGH。此時如果殺軟以AB為特徵程式碼,它殺不出,如果在未知病毒掃瞄中它以CD為破壞性程式碼的標誌,它也認不出,但電腦執行時程序就解密成了ABCD,木馬再將自己拷貝到系統目錄,設定自啟動,你的電腦就這樣中了抗防殺木馬!
這樣一來黑客們哪怕不學無術也可以改出抗殺病毒木馬,只要看過相關方法每個菜鳥都可以學會,因為這只不過是點幾下滑鼠罷了。每一台裝有不殺殼殺軟的電腦都可以這樣圓你的黑客夢,每一個知名木馬被你胡點幾下便可抗殺!
大多數的蠕蟲都有幾乎是僅僅加殼換殼的變種,不殺殼的殺軟只好讓你們不其煩地盯著未知病毒掃瞄的失效與媒體要你們天天昇級的警告。現在的新一代病毒幾乎都加了殼,它們也說幾乎都失效了。
木馬更是離譜。所有的木馬都是人為放的,而乎所有放木馬的人都懂加殼,所以幾乎所有的木馬都被加殼、換殼流傳於世。(不加殼的木馬才叫罕見!)如果不能殺殼,殺軟公司對付加殼木馬完全錯亂的程式碼就完全等於殺一個新木馬。事實上,除了原版木馬加的殼(包括某些網站向大家「直接提供」的網頁木馬)以外這些殺軟公司從不再加新加殼木馬的特徵程式碼。
所以除了殺一部分網頁木馬外,這些殺軟幾乎沒有殺木馬的能力。再說現在的IP黑客攻擊寶刀未老,成功率依然很高,還有大量的元件服務木馬,我們可以認為,它們幾乎沒有殺木馬的資格!那是癡心妄想!!天下有多少殼?無數!那麼它們要面對的等同於無數新木馬!就算,天下殼已盡我也成功地試過在黑洞20040815上加20遍Aspack!這回數位至少是無限的!
我重申,當今殺軟殺殼能力可分為三大等級:
等級3:幾乎可殺所有殼:McAfee
等級2:可殺大多數殼:AVP、KV
等級1:幾乎不殺殼或根本不殺殼:毒霸、瑞星(汗,不殺殼也罷,人家殺兩個殼!)NAV、SAV等幾乎一切其它殺軟。
不過,一味迷信殺殼能力也是不對的,殺殼只是一環,斷了殺殼這一環是堅決不行的,別的環斷了也不行。我這是在說McAfee。
McAfee殺殼應該說叫極強我同意。但是一是其未知病毒查殺根本就不行,二是殺不得黑洞2004815這種國產傳統木馬,三是記憶體查殺能力較差,這樣一來其殺毒殺馬殺活殺死的能力環近乎全斷。這樣的殺毒軟體的殺殼就只有技術意義與研究意義而非實用意義。當然,沒有實用意義的殺軟遠不止MCAfee.
最後按照慣例,我們再來看看媒體:幾乎所有的媒體都對殼這個名詞遮遮掩掩,最多一筆帶過,更不敢提各個殺軟的殺殼能力。幾乎沒有菜鳥知道這個東西。
作為一個曾經的「黑道中人」,我可以明確的告訴大家,絕大多數的黑客都是靠加殼木馬吃飯,就是高手,也是優先使用簡單有效的這一招,我的所有同行也會支持這個說法,他們也會告訴你,他們正是因此造就了這個木馬時代。殼,是這個木馬時代最血腥的一個詞!
如果媒體對「殼」不迴避的話,大家就可以想像一下:當所有的人都發現幾乎不殺殼或根本不殺殼的毒霸、瑞星NAV、SAV等幾乎一切其它殺軟殺不了殼時,也就是發現「它們幾乎沒有殺木馬的資格」時,他們還用吃飯嗎?!為了保護自己的廣告費來源,他們也就做了這種沒良心的事!!!
警醒吧,這個詞「殼」上沾了多少人的痛苦與損失,我無可統計,我自己當年也是這樣的,我要復仇,我要報復那些造就整整一代無知線人的人。
黑客同胞們,你們應該知道殼的危害。如果媒體不肯負上他們應有的責任,那麼你們這些明白人應該在無數次作惡之後,用自己尚未泯滅的良知告訴每個菜鳥,告訴他們什麼是殼!這是你們對社會的責任!!

八 KV3000:傳統笑話,許多「高手」卻聽不出來,還借題發揮,更是笑話!
KV3000是KV2005的上上上一代產品,於2002年發怖,2004年2月停止昇級。用它來殺當今的毒和馬,還罵人,你們是白癡啊?
至於KV用AVP引擎的說法,那至少是KVW3000以前的事了。由此推出:這個說法至少是2001年的事兒了。那是什麼年代的事兒啊?
在理念上,AVP和KV早就分道揚鑣了。再說,江民還敢像金山那樣抱個老AVP不放嗎?好好想一想。

這種時代性的惡疾,你們安全界竟能容忍,我不罵人就太不像話了!

註:出人意料的是,媒體也犯這種KV3000式錯誤,甚至有200505期大軟,你們是殺軟盲還是槍手?!
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2005-05-14, 12:01 PM   #6 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

九 「游擊式」槍手:
網上「游擊式」槍手瘋狂「宣傳」KV3000的「光榮歷史」我想就不用多說了,(有時我指出這一點時他們還不聽呢)今天讓我們來看看他們的新花招:
在著名的「槍手基地」百度帖吧上登一張KV2004的抓圖顯示KV2004殺XX「清除失敗」,然後說KV如何如何廢云云……
一看那個文件的路徑我就毛了:系統還原資料夾!如果KV「先進」到了能殺掉這個文件的地步,系統還原就崩潰了!
如果你是菜鳥或是「高手」,請不要與這些人一起信口開河。這就是最最傳統的「游擊式」槍手的謊言!

十 國外殺毒軟體:
時常看到有網站自豪地宣稱本站使用SAV9/SAV8.1防毒,我只能暗地裡為這些無知國人苦笑。
中文網路世界是極其封閉的,這是這一切的根源。幾乎沒有中國線人有閒心上英文網站,反之亦然。由此一來,國內外的蠕蟲傳播都大受影響,木馬則是極為缺乏交流,幾乎沒有幾個中國黑客能報出5個國外通用木馬,國外黑客能報出2個就不錯了。
所以,除了AVP,幾乎沒有任何國外殺毒軟體認得國產木馬黑洞2004815,也就是根本達不到基本的要求。這是可以理解的,但它們既然要到中國來,那麼他們便是無可原諒的,什麼VB100%,什麼PC MAGAZINE推薦都跟地攤上的假洋文憑一樣,廢品。
崇洋媚外的人無需再為自己的無知搖旗吶喊了。什麼樣的理念造就什麼樣的殺軟,國內的理念有多落後,國外也差不多。我反映的是一個國際性問題,只不過大多數證據在國內取的罷了。中國有大軟為金山、瑞星搖旗吶喊,人家有PC Magazine為Symantec這種在技術上不思進取的懶蟲擊鼓助威,國內外還有無數庸碌無能之輩大喊「AVP,賣咖啡(McAfee)」。唯一值得致以敬意的是病毒木馬的作者們,他們警告了我和各位:「時代在繼續,跟不上者重裝!
落後,就要挨打!

十一 眼不見為淨:這種人分為兩派
1中毒「太深」愛莫能助,或是偶中小毒,卻也無計可施
大家認為,那麼多人罵我,我就該罵嗎?
不談我的特殊目的導致的濃縮筆風,回貼者多只能證明游手好閒不負責的線人在網上為數不少,因為只有他們才能發如此多的這種貼,知道我為什麼這和有底氣?
別的不說,你們知道這一派眼不見為淨派有多少嗎?包括大多數的運氣達不到極好的菜鳥,遍佈大江南北:學校、網咖、服務機構、辦公室,淨是他們的天下。殺軟,他們用毒霸瑞星NAV,還有好事者給他們裝上AVP賣咖啡,當然,一開始,既時監控當然起了作用,然而正如我預言的,防線終將因各種原因被突然襲擊破,而對於這些殺軟,突破往往只需一次Lovgate、Netsky的恩惠,隨後整個區域網路都籠罩在陰影之下……….或是不算AVP,國產加殼木馬在電腦中日積月累,一年下來都不知道中多少馬……..或是好事「高手」為他們亡羊補牢,然後「高深地」歎了口氣,說「病毒已入系統檔案」咱們重裝吧。這個片段可是摘自《電腦套用文摘》上的「瑞星有獎徵文」的。至於這篇有獎徵文的後續故事就更有意思了:重裝後又安了NIS(!!),開啟製作制作備份的資料夾時又中毒(lovgate.h),結果又重裝!
再舉一例:咱們學校機房的兩個分部:
我們這邊一度Lovgate昌盛至極,辦公室台式電腦染毒率至少為30%,充飯卡與二極管螢幕顯示的電腦用的是瑞星,後者被Lovgate等成功突破,曾停止正常工作。咱們學校電腦老師崇尚Symantec,整了套SAV8.1,無效。後來大概是那裡的老師自己整了套KV一殺,好了。從此咱學校該螢幕上不時出現江民的那只青蛙。(螢幕保護程式殺毒)
後來電腦老師們給學校每台未中Lovgate的辦公室台式與筆記型電腦事先裝上了SAV,好歹也不似瑞星,防得住,畢竟瑞星既時監控是時常失效的,並且也不完善,比如根本防不得新歡樂時光。不過他們不知道,那台中了六種Lovgate加一個QQ盜號木馬的奔二是我用KV清的,除了我裝過AVP,還有幾個老師在上面裝過瑞星毒霸,六個不死的LOVGATE就是它的下場!
我們初二時上電腦課的教室,排除閒置的電腦,保守估計中毒率超過80%,全為四種病毒連環感染:新歡樂時光,winfile,還有兩種病毒寄和在winfile上。在同學們拷貝文件作業之餘,它們陸續地散入了千家萬戶……
另一個分部我沒有這麼瞭解,但據估計,辦公室多媒體教室裡的電腦大都個個染上了1—3個Lovgate而它們全都裝上了瑞星!新歡樂時光、winfile等更是不計其數。電腦室裡有些老電腦承受不了其記憶體佔用,直接被棄…….
我上到20CN這個號稱21世紀青年的基地,看到了遍地哀鴻:
「如何記憶體殺毒?」「如何殺supkp.v?」(即lovgate.w)「如何…….」被舊時代的破爛理論所害的人們無奈地問。
「用瑞星試試吧」「金山好像有記憶體殺毒」。第一個無非是擾既時監控右鍵掃瞄的防當成殺,第二個無非是把作秀當成殺。但是他們也無非是在白癡理論中找到了一點點養分在與人分享。不過他們沒看到這些理論怎麼來的。?
它們是一些殺軟公司賴以生存的假面具!多少年來,它們不停向我們灌輸「天天昇級開啟既時監控就可以防毒」不正是此嗎?這不是迂腐,這是無恥!這是害人!最可笑的是,他們竟造就了一個理論:「中了病毒殺軟殺不了,是自己的意識問題,與殺軟公司無關,你們要到安全模式下殺(沒用),或是重裝。」
以本人的理論:「工作列記憶體殺毒」,這樣的問題莫不是一眨眼的功夫就沒了?但他們莫不是如臨大敵,神經兮兮,卻又是鋪天蓋地,一個個緊急求助讓人回不過神來。「高手」們媒體們卻在一日復一日地正襟危坐,亂推薦殺軟卻也缺證據缺理由,更沒求實的精神。對於一個較為完善的系統理論,他們竟妄以支離破碎的流言蜚語打破。你們有系統理論嗎?沒有。你們無非是說「McAfee殺殼比KV強,所以還要強些。」或是告訴大家哪裡有個病毒包,「AVP檢出率比KV高,所以我是槍手,AVP比KV強」,或聽離子翼或是某評測或是號稱自己有多年經驗,說毒霸、瑞星只比KV差一點或是強很多,大家不要信他這個槍手。甚至還有人編了個小馬過河的故事來罵我。
我承認我會犯一些錯誤,甚至有些嚴重。但是層層的黑幕不是一個槍手能揭露的,至少一個正常人也有評價是非的標準。金山的戲已唱下去了,你們還幫腔。這還有什麼好說的呢?就算「高手」們能用機器碼寫程序,我也要恥笑。
後來我在20CN的論壇登上了《黑幕》。一周以後回來,發現帳號和文章不見了。我只看到一個「義正辭嚴」的宣告:本論壇不准討論「技術」以外的「無關」話題!
就這樣,20CN的悲慘故事仍在繼續……
無德無能無真理更無技術,這正是當代安全界在受害者身上映證的。如果你們還硬要代他們說話,那就沒良心了。

2、我覺得XXX也不錯呀,版主乍那麼喜歡KV?我可用XXX也沒中過毒。
這一派中的確有人運氣極好,這必須承認。但妄圖以自己代表全部,40%代表100%,這只能說明你們的愚蠢。剩下的智商就更有問題了。
現在的病毒尤其是木馬越來越隱蔽,越來越不佔資源了,有時單憑感覺無法察覺。
所以你們用自己的XXX殺軟(尤指NAV、SAV等)去查,查不出。但是,你們本來就用它防護,又用它去查,查不出又說我胡說,你們腦子……?汗
至於大軟的倆「高手」也該歸入此類。而且他們問題更嚴重,一個不開既時監控一個不用殺軟,建議學學《天下無賊》中的范偉到列車上搶一些IQ來,保證有效。

十二 公安部、光華:公安部評測無疑是作弊,這不用再說。這回光華廣告一登出,又鬧出了問題。
光華號稱有「12萬病毒庫」,「15年潛心研究」。它們能來自哪裡?看看劉傑的地位和身份還有這些數位之龐大就知道——都來自公安部。但公安部是什麼東西?它不是公司企業,它是國家機關!
劉傑若還算公安部一員,那是他假公濟私。若他已結束,那是他盜取國家公共財產,同時公安部有內應,罪加一等!
還有,光華廣告號稱可在多台電腦上使用,但其實只有一台能昇級,這不是虛假廣告誤導消費者嗎?既然是這樣,188元的光華買來作甚?還不如198元兩個序列號的KV2005。
看看劉傑的事跡:為遺臭萬年的公安部評測寫評測標準,怪不得與金山手法如出一撤。金山雷軍後繼有人了!
至於光華我沒用過,但看看其廣告,除了能殺一些殼以外, 應是個老理念整出的廢品吧。當然了,比瑞星毒霸強。


十三 媒體:
媒體們大致可以這麼分類:
沉默是金派:大部分IT媒體
暗渡陳倉派:大軟、電腦愛好者。
前者不用多說,大軟則是更加無恥。一會兒道貌岸然,對沒有後台或大牌的網E拍又喊又叫,不亦樂乎,一會兒又為金山瑞星暗地裡幫腔,悄悄助3721平定風暴。 是當之無愧的隱性槍手。至於電腦愛好者,呆會兒你就知道了。
我對IT媒體的一切仇恨,都是由大軟而起的,大家在《後記》看得出來。
金山派:大軟(大軟是媒體中的金山)
瑞星派:電腦套用文摘、電腦愛好者等
崇拜媚外派:電腦迷等
媒體們在《後記》中已被罵得差不多了。現在該我說為何要寫最早的《黑幕》了:
事實上,它只算一個半成品。為什麼?我先放它的風聲,大家看看,大軟的反應被錄入本文以作證據。
這個時代。,媒體們鑄造了一詞:隱性槍手。由我在《後記》中的推論,足以作為證據。媒體們,永遠不要太得意, 因為舞台下面始終有一雙眼在盯著你們。
同時,我要說:媒體登虛假廣告是要負法律責任的,而不只是金山的「擾亂市場秩序罪」。
要記住,媒體是遮住一切的烏雲,而如果沒有這烏雲,這一切也不會有。雖然你們掌握輿論工具,但你們終將明白:作為媒體如果對某些事情沉默,那麼你們終將一起負上責任。媒體應不再是某些人撥弄是非的工具。若你們再胡來,罪加一等。
如果大軟們有興致做一個罵我的專題,請把上面這段作為我的自白和回應。

十四 「殺」出來的病毒:
除了大軟的榜評,這個便是媒體作槍手最傳統的教材:
2004年22期《電腦愛好者》P11文章《「殺」出來的病毒》。大家在看完之後請看我的評述:
AVP之耗眾所周知,但行程管理器中僅有1460K的KAV.exe行程,由是引出了「病毒技術」dll插入的問題…….慢著,插圖裡那個11048K的KAVSVC.EXE行程是幹啥的?AVP4.5的真正服務行程!KAV.exe只是外殼程序!
再者耗歸耗,一個殺軟有dll插入有何不正常?沒dll插入調整連接阜,KV怎樣動態濾毒?我說了,只有瑞星才算「病毒」!同時《電腦愛好者》還給菜鳥們事先吃下定心丸:「卡巴斯基軟體的吸引人之處就是極低的資源佔用率,大概只有1000KB左右。」手法與炮製「KV3000是最新KV版本」然後再加以打壓的媒體與槍手如出一轍。AVP fans,你們能同意嗎?
下面《電腦愛好者》的牛皮氣們竟不顧眾多執行緒檢視軟體,直接下結論說AVP的「dll插入」罪大惡極云云,然後嘛:

「國內知名反病毒軟體商瑞星公司客戶服務部經理王建鋒接受記者採訪時說:「其實很多反病毒軟體把自己的行程插入其他程序行程中,甚至系統行程,達到隱瞞自己,實際資源佔用情況目的。這樣一來,再精明的用戶也不會懷疑是這樣一款『傑出的』軟體在吞噬著你的資源。」
「什麼?『插入其他系統行程』,這不是病毒破壞系統的勾當嗎?對了,某些反病毒軟體的廠商恰恰是利用這些病毒的伎倆來提高自己的美譽度的。這就像情侶逛街一樣,女的總是興高采烈地走在前面,男的多數是大包小包地扛著,又怎麼可能身輕如燕呢?
「到現在你該明白網路上的評選不能全信,也不能完全否定,關鍵在於是否真正適合你。」

看到這裡,大家應會想到一句話:狼子野心,昭然若揭。不是AVP的「dll插入」昭然若揭,而是《電腦愛好者》等媒體的槍手真面目昭然若揭。以上三段是我一字不漏地摘抄的該文章最後三段!
依我看,這樣做原因有三:
1瑞星近來在本人的全世界最傷人的評測中被指為「最廢殺軟」重要原因之一就是其瘋狂dll插入。本文則似乎想扭轉這一點,賊喊捉賊般地誣陷AVP,似乎想說:別人也一樣。
2AVP比KV再爛也比瑞星這種廢渣強百倍。作為瑞星的重大禍患,當然是不擇手段除之為後快。
3最後一段話似乎想指責網上評測不可信,但這又有何玄機呢?我們可以看到,幾乎所有的民間評測都極不歡迎令人生厭的瑞星…….這段話弦外之音便是:「只有瑞星適合你。
看多了金山的「游擊式」槍手和「大軟榜評式」槍手,瑞星的「電腦愛好者式」槍手著實讓我耳目一新,這種種做法似乎也更高明。不過槍手歸槍手,真應該圍毆一下。《電腦愛好者》當然還有類似事例,這裡就不一一清點了。
大家記住,我所說的一切黑幕,IT媒體永遠都是最重要的一環,明白了這個,這一切就並不顯得駭人聽聞了。但是容忍是不對的。作為媒體,我對它們是加倍地反感。

十五 評測:我承認我的評測看來不太美觀,也談不上完美。但支持我的是求實的精神與現實的理念。
求實是什麼?AVP漏查、瑞星漏殺、毒霸的各種不完善及各殺軟殺活毒能力極差等,只要有關殺軟效能能力的材料,我都要用。當今評測的不知道他們嗎?肯定多少知道些。但他們一是怕招惹人家,二是理念落後,連活病毒都不測,三是造假現象時有發生,尤其是2004年的離子翼評測,資料大量造假,比如殺殼能力才測的與現實差距極大,說不是造假我還不信呢!(有人說是AVP槍手)至於公安部就更不用說了。
胡亂列出一大堆數位的評測,尤其是只測檢出率的,在本人眼中不值一提。《黑幕》中也說過:,除了我以上的AVP漏查等論據外,「木馬白癡」NAV、SAV也可體現單純的數位根本無法稱得上科學: 冰河黑洞也算1個,非洲土著寫的木馬病毒也算一個,但它們等價嗎?
這說明,你們對殺軟本土化的概念一竅不通,又有什麼資格作評測呢?這是應當從檢出率提出的最基本的東西,你們不但測不出,也讓人看不出,最後還是我木馬鬥士率先提出。你們這兩年是不是淨忙著造假去了!
  有了求實精神,現實理念,惟一缺少的就是較為科學系統的方法。我當然可以以理論完全地肯定KV>AVP>McAfee>~~~~的不等式,我也相信我在心中權衡利弊的想法至少可以比其它國內外的老腐朽評測得出的結論正確。但它與其說是評測,不如說是殺軟論述。我承認:長久地這樣是不行的。
為此,我要為大家留下我心目中真正理想的評測方法與大綱。只可惜我已是無心無力去徹底實踐它了;
這種方法,我稱之為子無結 合法,或叫能力鏈法。
一個殺毒軟體真正的能力在於什麼?技術指標?不,MCAFEE、AVP的事例啟發了我:
AVP毒庫很全,但它殺毒好嗎?不好,漏查等導致清活毒能力極差。
MCAFEE殺殼很強,那它殺木馬好嗎?不好,毒庫不本土化,清查活毒能力不好。
兩者的各一項指標幾乎是做不到了天下無敵。但因為配合它的其它指標達不到要求,一項能力就能達不到要求了,這是我的傳統理論。
由此我突發奇想,畫出下面一個圖形,
殺毒能力要求
死病毒庫,等級X
活毒一般掃瞄,等級X(將AVP漏查瑞星漏殺劃入本類)
記憶體殺毒,等級4(即要求可殺連環DLL守護,與前文中分級類似)
抗行程關閉能力,等級2( 下文會講)
參考指標:記憶體查毒 查殺速度
「指標的有機結合形成能力」!我徹悟到。
註:需指出的是「殺毒」實指殺活毒,殺死毒實質上是防毒範疇。
此處我們代入AVP驗算:
死病毒庫,perfect!(將漏查問題換至下一項)
一般掃瞄,爛!
記憶體殺毒,達不到要求。
無抗行程關閉能力
參考:記憶體查毒,等級3,查殺速度慢
我們正需要這個東西。
不過我要補充這一點,關鍵的非參考指標構成的是一條鏈,一環斷即全鏈斷,所謂能力就達不到要求了。沒有這個想法,我的方法就又成了花架子。
於是我又列出了一些「能力鏈」
防毒能力要求 防馬能力
死病毒庫 等級X 死木馬庫 XXX
既時監控 XXX 既時監控XXX
參考指標:記憶體佔用 殺殼能力 等級3 (McAfee—級)
參考指標:記憶體佔用
殺馬能力要求 查殺未知病毒能力要求
死木馬庫 XXX 未加殼未知病毒查殺 XXX
活馬一般掃瞄 XXX 殺殼能力 等級2
記憶體殺毒 等級3 誤殺率 XXX
抗行程關閉 等級2
:參考:記憶體查毒 速度
這樣一來,一條能力鏈的短裂才真正地說明一整項能力的喪失,這就是殺軟上的木桶理論。惟有不同的是,我們有必要指出幾個木桶。
除了這個大致的方法,還有一些大綱是值得注意的:
1、檢出率當然是一定要測的,但木馬、病毒一定要分開測,因為它們本質不同,這樣做有百害而無一利!
死病毒庫要求較為細緻地依病毒種類分類測,同時不允許再測根本沒有實用價值的DOS病毒!病毒樣本一定要多,這樣才能較為科學地反映問題,像離子翼的一萬樣本還是不夠的。
木馬採集不必刻意追求國產木馬,但要堅持本土採集,以追求與現實環境相似。
後門應歸入木馬類。除了隱蔽性與易用性上的一點差別,它們幾乎是一樣的。可以預言,兩者未來終將融為一體。
無論是毒是馬,都要用跟VB100%差不多的方法。分出關鍵的流行病毒木馬。一旦有一個查不出,比如查不出黑洞2004815,必須大幅度扣分。
2、採用分級制
原因:一級一級的標準更明確,不易於干擾人的主觀判斷,比打分制好。
3、重視殺殼
4、一般掃瞄的定義是專討論漏殺漏查一類的問題,哪怕AVP的漏查是由病毒庫引起的。
這樣做似乎不太科學,但事實上有助於公正。
5、抗行程關閉能力是殺馬殺毒能力中一個必備項,因為新一代毒馬都普遍做到了關閉殺軟的功能。
等級1、無該能力或無法有效實現
等級2、有效實現該功能
瑞星的行程守護華而無實,不去理Ravmond.exe 而去管RAV.EXE就行了。實用的恐怕只剩下KV的工作列殺毒了。工作列殺毒不是作秀,這才是它的真正用途,菜鳥們就算看不懂我的文章,學會這招也就夠了。
6、一定要有我所說的求實精神現實理念。偏聽偏信的評測不叫評測,叫造謠。而有了它們,我的《黑幕》中的論述也等於是用到了他人所用的2倍以上的論據。
7、要樹立新的防殺觀念:殺是殺活毒殺記憶體等,防是既時監控。在KV與NAV、SAV等監控較為穩定完善的殺軟的發展下,右鍵掃瞄的必要性已經很小了。
只有那些還在使用那些有非法詞語監控的殺軟的人,才有必要一遍遍重複那一點老掉牙的意識。其他情況下,也只是用於評測罷了。
8、木馬病毒解壓縮出的文件等,至少也要做到抽樣檢測,結果歸入一般掃瞄類。這是為看來指明出AVP的漏查相似的問題。但若有與「安裝程序」相同的文件就去掉。
同一個病毒產生的文件並不是當作一個個單個的文件測,而是歸為一組。有一個必要的文件查不出,一組就不通過。VB100%的類似方法也要用到。
像McAfee查得出一個木馬的釋出文件卻查不出「安裝程序」的現象,應歸於「死病毒庫」。
9、不允許造假,有些項目還要反覆測。不允許害怕觸怒任何人。
以上就是現在我所能想到的要求。應該說,比較完美了。我的理論在其中得到了很好的體現。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2005-05-14, 12:03 PM   #7 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

十六 防火牆:
防火牆我並沒有那麼懂,但我可以直截了當地告訴菜鳥們:
你們津津樂道的天網、瑞星、網鏢等防火牆,是防火牆中的非法詞語。這種老式的規則過濾式被動式防火牆要敢出國,一定會在人家主被動結合的防火牆面前被打得慘敗。NIS算一個那樣的防火牆,但在國外,技術水準也算非法詞語。
防火牆我推崇國外的,(但不是NIS)因為其不像殺軟那樣有本土化限制。我現在用的就是著名的Blackice。
國內的做防火牆的公司都在幹嗎呢?
金山在給網鏢加上毒霸引擎作秀,天網在給「防火牆」加上殺木馬功能(跟3721的一樣,不殺殼的廢渣)瑞星倒好點兒,但它們都還未準備開發真正的主動防火牆,防火牆技術跟兩三年以前差不了多少。
大家記住,做不出主動防火牆,就無法真正地擋住黑客入侵。

十七 江民:這個公司的功過比較複雜。所以有必要理清點兒。
一、硬碟炸彈,在我之前,這恐怕是安全界惟一的黑幕。我雖沒那麼懂,但我明白,受害者雖是盜版用戶,但他們有控訴的權利,正如同我控訴金山瑞星媒體的權利。
沒有人有權利對我們加以干涉。
二、主頁被黑。
任何一個懂指令碼政擊的黑客都明白,當一種新的指令碼攻擊方法被發明時,尤其是像Unicode這種攻擊,此時任何網站都防不住這種攻擊。
如果換幾個網站的話,那麼成功率我相信也是100%。這不是一個公司的問題,而是整個業界的問題。
再說,黑客拿江民練手是會在黑客中引起轟動的。但如果為了展示自己的技術而去攻擊金山這種公司,那只能引起笑話。
對此事煽風點火之人,應該都是不懂指令碼攻擊的吧。
我最早的《黑幕》是9月寫的,既然有人把兩件事扯一塊兒,那就有必要澄清一下。
三、急功近利的KV2005
KV2005的推出不像江民平常的作風,可能是江民打算加強商業運作。
商業運作也罷,但急功近利是不行的。
有一位smallfrogs仁兄寫了一篇「KV2005,你還可以用嗎?」建議大家去看一看。雖然他有許多觀點我不同意,但KV2005未被完善地偵錯,這是不容置疑的。雖然問題大都在升到9.00.504引擎後下載一次不改引擎版本的增量昇級包時得到完善解決,但以我的一貫作風,這一筆是要記在歷史上,以示對江民的警告。
同時,最近我還發現一個問題是smallfrogs仁兄沒有注意到的。
我這兒有一套一個序列號的「KV2004防盜先鋒」,一套有兩個序列號的「KV2004國際版」,並成功升到KV2005。但我在KV2005中檢視使用權訊息時發現:國際版的兩個序列號是精確的一年使用權,防盜先鋒是2年。
這當然不可能是有意所為,但恐怕也與蒼促的KV2005逃不脫干係。所幸國際版推出較晚,目前尚未有受害者。在此提出公開批評,望江民儘快改正。
四、封殺序列號
毫無疑問,推出KV2005的重要目的之一便是封殺盜版。以江民的作風,封殺正版幾乎是沒有可能的。網上真正的罵江民之聲幾乎都是盜版用戶沖之一點來的。從言辭很容易看出:他們大都有四處亂抄KV序列號的習慣。這樣一來,江民對「KV2005不能用」的「反饋」的不理不睬也是有原因的。
像smallfrogs大罵王江民是個勢利老農民這種行為,我不敢苟同。作為一個有知識產權的公司,人家這樣做完全合情合理,真正理虧的是盜版用戶。
不過即使作為一個江民正版用戶,我還是要勸誡王江民先生:在中國限制序列號流量已經太嚴格了,再進去一步進行打擊不但不會帶來收益,反而會渙散人心。
正版用戶一定是有的,盜版用戶圖的是撈一點是一點,撈不到就用別的。逼他們也不會帶來收益。那種反盜版行為在中國顯得太書生氣了,有百害而無一利。
這可以看作是營銷原則上的失敗,而非成功。勸誡王江民:二十年內,這種做法都不會有好結果,萬萬不能沉迷於單純的打擊盜版的理想。想想硬碟炸彈的教訓吧!
由上我們可看出:二和四這兩條並不算過。大家要像我這樣客觀理智地分析。至於一和三,大家要罵我就不反對了。KV的死硬FANS也不應否認他們啊!

功:江民是個技術上求實的殺軟公司,它在技術和理念上的成就值得每一個人思考。
DOS時代,KV是公認的國內最強音。像KV200就能殺的3544幽靈變形病毒、到現在都有許多殺軟查不出殺不了,瑞星好像就是這樣。
進入win95時代,KV乍還在開發DOS版呢?有人認為江民不行了,錯!這裡我以瑞星作為反面教材。
瑞星很早推出了windows版,其它有好些殺軟也是這樣。但它們一開始都沒有既時監控。這導致了什麼呢?
防毒?沒有既時監控甚至右鍵掃瞄,你防個鬼?殺毒?毒一進記憶體你就殺不了!
如果windows版的清毒能力不到家,那你至少搞個既時監控防毒還有些意義。如果這都做不到,那就幾乎沒什麼用了。
時過境遷,現在我們應對KV的實用主義路線給予應的的讚揚,在那個時代,不到DOS不是殺不了活毒的。現在麼,面對新一代病毒基本上也是如此。
那麼它們的既時監控又怎樣了呢?2000年瑞星推了千禧版,它有瑞星的第一個既時監控。但在此之前,江民早就推出了KVW300,第一代windows版本。雖說是第一代,但已有了既時監控!
還有人說「至少當年瑞星比KV強嗎」?瑞星在技術上算是白忙活了。
當然正如一些人所說,KVW300+或KVW3000應該是用了AVP的引擎,估計版本是3.0(3.5支持2000/XP既時監控,與這兩者表現不符)。不過那是很老的事了,與現在的事扯不上關係。(早期WINDOWS版KV誤殺率很高也正是因為AVP引擎)
到了2002年的KV3000,江民又開始走自己的路,初步的記憶體殺毒與殺未知病毒衝擊波的能力說明江民離開AVP的枴杖後已經走穩了,但是,只能說是國內最強。
2003年,江民推出了KV2003,在技術理念上堪稱偉大。我個人認為,KV2003終將被標誌為殺軟史上的里程碑:完善的記憶體殺毒、動態濾毒、工作列殺毒,加上原有的良好殺殼與殺未知病毒能力, 奠定了今日KV殺軟霸主的地位。
這時其它殺軟在幹什麼?幾乎是在睡覺。2003年那次評測中KV2003奪魁,也是難免的事兒了。江民也是整個殺軟界幾乎唯一一個在最佳化引擎精簡性的公司,查殺得雖更細緻,但用時往往是其它殺軟的三分之一甚至三分之一以下。像人家AVP那不叫細緻,叫臃腫。
KV2004、KV2005就沒那麼多新技術了。它們只是繼續提高加強了殺殼,殺未知病毒能力並修正一些BUG,同時KV2005還改進了界面與易用性。至於「系統級殺毒」我認為那倒真的是作秀。
不論如何,KV2003防有動態濾毒,殺有工作列記憶體殺毒,這都足以在2年後的今天傲視群雄。這不但是瑞星毒霸不能比的,也是AVP與McAfee不能比的。這難道是因為其它殺軟都在吃白飯嗎?
我說不,至少還有兩個沒在吃白飯。
AVP:最全死毒庫,最強啟髮式掃瞄
MCAFEE:最強殺殼。
它們有的這些優勢可是天下第一,但它們都比不上KV,為什麼?我的理念就不用再重複了。我們可以將其能力代入「評測」詞條中的能力鏈法中:
KV亮了三條:防毒、殺毒、殺未知病毒全亮。殺毒王果然是當之無愧,與毒相關的都通過了。如果加強殺殼能力那KV就是第一個五項全能了。
AVP亮了一條:殺未知病毒過關。若對其不穩定的既時監控加以寬恕,那麼防毒一鏈也可過關。
MCAfee只殼了一條防毒。殺的能力差與木馬庫差自然不用說,其未知病毒查殺表現也差到無與復加的地步,查殺我產生的VBS病毒成功率近乎為0,甚至比不上國產殺軟。除了殺殼和穩定既時監控,幾乎是一無是處!(汗,還有「高手」吹,你們懂不懂全面和整合的概念?)
這告訴我們技術先進不是力量,先進技術的成功整合才構成一股讓人生畏的力量。成功的發展路線是技術轉化為能力的先決條件,這就是江民在技術民展上成功的關鍵。整合的力量,可以讓MCAfee的無敵殺殼這種當今殺軟最頂尖的技術無地自容。
這也告訴我們:為技術而技術帶來的是失敗整合的花架子,為病毒而技術才有真正成功的殺軟。
不論你接不接受,反正這就是江民的故事告訴我的。
若要我客觀地評價江民,我會說:
技術和理念上尖端的先鋒,反盜版上無惡不作的惡霸。
雖說:「我用正版我怕誰」,不過我還是要向盜版用戶提個醒,天下沒有免費的午餐,但若你一定要吃,請繼續用KV2004。從目前來說KV2005只是多了更好看易用的界面和殺殼殺未知病毒能力的後續昇級。
同時我請求王江民至少在一年之內不要停止KV2004的病毒庫昇級。若您不接受我之前的勸誡,至少也要答應我這個請求。若要增加正版用戶,雖然KV比同價或更高價的其它任何殺毒軟體好得多,也請您將價格降至150元2個2年序列號以下。為了長遠的發展,您何必像現在這樣呢?

江民技術理念上有功,反盜版上有過。功不能抵過,過不能抵功,至於更看重哪個,這完全是個人的喜好。有人極端地恐懼江民,可以理解,不可干涉;極端地支持江民,可以理解,但的確不可取。但如果一定要把個人取向強加給別人,只要不是有關正義的原則性問題,那就大可不必。我支持的是江民的技術,而非硬碟炸彈,就事論事嘛。

十八 AVP(卡巴斯基):
不看該殺軟龐大臃腫的軀體背後眾多的瑕庇,它的理念與技術在傳統的觀念下的確可以算全球第一。對於我提出的反對AVP的理據大家愛理不理也就見怪不怪了。
首先,AVP5personal這個套用最廣泛的AVP版本,我近乎是看作NAV的病毒庫與殺殼的能力加強版,眾多削弱的功能尤其是失去記憶體查毒,讓我認為其殺毒能力結構徹底被破壞。如果這麼膚淺的殺軟都能博得眾人的支持,我只能嘲笑無知的媒體與安全界。
我本人現在用的是AVP版本是AVP5 personal pro。我認這個版本的價值遠勝Personal版,雖然非常重要的殺活毒能力差與既時監控不夠穩定這兩點依然不變。(KV2005+AVP5pro+MCAfee8.0i的組合夠狠吧?我還裝了個木馬剋星。衝突嗎?適當地停止服務就可避免)所以我要說:請AVPfans換個版本。
二,臃腫就是廢話了。如果你說這是細緻的表現的話,那是你愛屋及烏。
第三,我建議大家看看我在新《殺軟黑幕》中對「更新頻率快」的分析。現在AVP還要一小時更新,我只能說,這不是效率,這是作秀作瘋了。
就算一年AVP將十萬毒庫整整更新一遍,二年8760次更新也只用一次十二個毒。不難想像,一次更新一個毒的情況在AVP的更新中肯定是家常便飯。如此一來,這樣頻繁的更新又有什麼意義呢?
第四,不可否認AVP在掃瞄死毒時的檢出率,但在一月底意識到六Lovgate重複文件的問題後,我重新進行了活病毒識別實驗。
結果非常戲劇性——鴨蛋。(排除行程關閉)
看著AVP不斷膨脹的十萬毒庫,這是一個有力的嘲諷。在病毒自我保護方法不斷翻新的年代,AVP還有MCAfee它們終將在自欺欺人的宣傳下,在一場與windows病毒革命的殊死博鬥中走向滅亡。這種可笑失衡的病毒庫終將成為一個可笑時代的象徵。可是當迂腐可笑卻又號稱天下第一的俄國佬們意識到這一點時,十萬這個數位也將注定他們的徒勞與滅亡,因為馬虎毒庫的補救極為困難。(快速反應的報應)
假設有一天,AVP等殺軟一起走向了KV2003的轉型道路,那麼,這種病毒庫只會使AVP的清除能力比毒霸還差!這是一個可怕的預言!!可惜啊,俄國佬……怎麼說呢,多年努力付之東流,太可惜了,「比毒霸還差」,比起金山的混帳,AVP實在是太可憐了。

在這樣一個時代,雖然卡巴有各種瑕疵,可是卡巴的確可以算是一流殺軟,但我認為關於AVP與KV的能力比較,實在是有一點無謂。
除去國內外各種媒體和線人的大肆宣傳,就算不用我的能力鏈法,一切也是非常明晰的:死病毒檢出率?據我所知,在國內環境下卡吧對網頁木馬的檢出率甚至低於國產殺軟,而對於其他的國內毒馬基本是持平的,只要是在國內的真實環境下,卡吧的實際檢出效用對於毒霸江民略處下風。卡吧在所謂的「評測」中的檢出率優勢靠的是歐美「外援」,心理上則靠的是毫無意義的「一小時更新」作秀。這麼淺顯的道理,你們就看不出?
殺殼是平手。未知病毒檢測各有千秋:卡吧作為鼻祖強是強,誤報率是有一點(害得早期KV狂亂報),KV也牛(KV3000殺衝擊波,我都找到了兩個事例),而且誤報率幾乎沒有,以至於KV2003始就沒有了關閉啟髮式掃瞄的選項。
至於剩下的,無論是速度,記憶體佔用,記憶體殺毒,抗行程關閉,還是既時監控,AVP都全面處於下風,這不但是KV整合的力量,還是技術的全面領先。
在AVP3.5的全盛時期,AVP肯定是天下第一,但人家自那時起就幾乎沒什麼革新,以至於現在還有很多人用更省資源的3.5,自然比不過江民KV2003以來的革新派殺軟,這也許終將意味著一個時代的終結。
這是明擺的事,XFOCUS的弟兄們罵我一千句槍手也沒法駁倒,因為這只是未被承認的事實。

十九、windows病毒「三大法寶」
前面已經對此提過幾遍,但我認為有必要再次強調。三大法寶分別是dll插入、行程守護、行程關閉。
Dll插入:除了KV能有效殺除外,只有AVP能對部分毒馬的這一招有效(開機指令碼)。除了AVP的特例外,剩下的幾乎所有殺軟都活毒清除能力未達到3級,也就是無效。若是廣外男生木馬,有時手工刪掉exe源文件也罷了。但若是本人至愛的pc share一類(雖然我討厭20cn),你就會發現這些殺軟連木馬都殺不動!(對於PCSHARE只有KV和AVP才殺得掉,只有!!)
行程守護:雖然機理同上面這個不同,但效能還是「除KV能有效殺除外,只有AVP能對部分毒馬的這一招有效」。惟有不同的是:它要求清活毒4級能力。本招在木馬中比前者少見,但在病毒中它的套用似乎更多。
行程關閉:中國的黑洞木馬首創,影響深遠。
這是什麼呢?菜鳥朋友們?一啟動殺軟,不管它記憶體殺毒如何,病毒把殺軟關掉就是了。至於瑞星麼,先不看其記憶體殺毒,關ravmond以外的一堆瑞星行程,它就掛了。
本法套用廣泛而簡單,這幾年幾乎所有的木馬病毒都用了本招。所以我要改正一點:不能防本招,清活毒能力測試就不用了。
還好KV絕處逢生,「工作列記憶體殺毒」已成了本人的殺毒必殺技。至於我在剛剛是如何「測」AVP清lovgate麼?為了躲本招,我用的是把被KV記憶體殺毒殺掉的lorgate從隔離庫中提出的,至於真實情況麼………早想到我就不測了。
這三大法寶的誕生每一個都是一場革命,我稱之為windows病毒已經完成的三大革命,也是當今殺軟背上的三座大山,每一座都可以把它們滅個精光,更何況三座。Lovgate(愛情後門)等便是其集大成者,一旦突破防線,它們就讓殺軟聞風喪膽,不用我發言。移除程式碼=殺毒,那是DOS時代的理念,今天windows病毒的技術已經到了相當高的水準與理念,而我們的殺軟除了既時監控外基本上全是DOS理念基礎上的東西,而殺軟公司的工作已經幾乎是天天收集特徵程式碼,等同於提升一下既時監控使之跟上windows時代罷了。什麼panda呀,毒霸瑞星呀等等,皆或明或暗地叫囂殺軟進入「防毒時代」(它們的既時監控又有多少改進?)防吧防吧,因為在三座大山面前你只能防,殺不得!
windows病毒的三大法寶的革命早已完成,可幾乎所有的殺軟只有既時監控能進行一點單薄的抗爭,躲得過初一躲不過十五。我再次借用一遍馬克思的那句形容大清帝國的話,在一場殊死的博鬥中,他們終將走向滅亡。
請大家自己警惕,當徹底完成windows「三寶」革命的病毒「帝國主義」在四處耀武揚威之時,你們腦後是否正掛著一條可笑的大辮子呢?如果大家再執迷不悟,恐怕只有病毒「帝國主義」才能救大家了。你們應該知道,在這個時代有多少病毒組織在嘲笑殺軟公司。你們可能不明白他們的底氣,但我卻很清楚。殺軟公司對它們的忽視是愚昧的。
感謝他們的鞭策。

二十 CIH:感謝陳盈豪先生提供的傳統材料。
多年以來眾人對CIH的教訓只有一個認識,殺軟要搞出既時監控。這個結論是對的,但遠遠不夠。
1、PC-cillin當年殺不出某些國內CIH變種,這體現了本土毒庫的理念。但事隔八年才有我木馬鬥士提出。
2、雖然那時已有既時監控,但仍有人中毒並發作,這又體現了監控之不可靠與單薄。
3、CIH大量地感染文件,並以Ring0權限的VxD形態駐停留記憶體,這明擺著教你們先我8年研究活病毒嘛!不過那時DOS殺軟很好弄到,你們費上半小時一殺,避開了又一次可能的殺軟革新。但你們至少現在還應知道,今天的80G硬碟你拿DOS殺軟掃一掃啊!
CIH的絕跡倒並非因為殺軟,而是win95與98時代的遠去。我倒還真希望有人寫一個CIH二代,這樣殺軟公司就只能盼望Longhorn的到來了。大家可以想一想,除了KV,當今的殺軟對付三寶類毒馬都沒辦法,回到win98對付VxD權限的CIH成功率不可能高於0%………

二十一 DOS後遺症:我經常想,為啥大家總看眼於檢出率這些東西。現在也倒明白了。
想當年我用KV200時,把軟碟插入電腦,然後電腦從軟碟啟動(!),此時硬碟上的病毒無法觸發,面對它們正如面對一大堆死毒程式碼,便無所謂記憶體殺毒,檢出來一殺便是殺軟的工作。再者那時病毒傳播靠的幾乎都是插入文件等你拷貝,方式單一,根本沒有今天的某種病毒特流行的現象,因為今天病毒可能的傳播方式太多了。由此可知,那時給每種病毒在檢出率測試中給予同樣的價值也算是合理的。
而面對這種殺軟殺毒方式,病毒們只有一個方法自保:自己給自己加密變形,於是DOS時代的最強音便是變形病毒。一些「專家」特重視所謂識別變形病毒的想法也算是有了源頭。這樣一些DOS時代的理論,翻看一下王江民先生早期的作品也可看到。
不可否認,在DOS時代,這一切都是合情合理的,但在進入windows時代10年之際,這一些舊俗竟基本未變,檢出率依然幾乎是惟一的殺軟標準!可是今天是windows時代,殺殼,既時監控,記憶體殺毒,反行程關閉和本土化加權式檢出率測試及能力鏈法才應是我們的主旨,在這個時代,殺軟是與病毒在WINDOWS下同台競技。但腐朽的安全界人士根本不顧它們,好像紮著辮子的清朝官員們說:「祖宗之法不可變」。
我之所以堅定地悍衛KV,不是因為我是槍手,我為的是KV2003以來已經實現的一種價值觀,在windows時代,這理念是你們從未瞭解的真理,是這個殺毒理論的錯亂時代我所能看到的惟一殺軟界的曙光。雖然江民有硬碟炸彈的「光輝歷史」,但KV的理念是整個殺軟界必須學習的榜樣。硬碟炸彈,每一個有良心的人都必須指責,但如果僅僅為此為放棄了真理使安全界停滯不前,「DOS後遺症」不得到根治,那麼,這便是愧對全世界線人的罪過。
其實,任何一個殺軟都不值得任何一個人去悍衛,真正值得悍衛的是真理。為了眾人走出安全界錯亂時代的怪圈,我只好拿KV來做示範,告訴你:「看,我說的這些理論完全可以做到!」
在這個時代為已有硬碟炸彈前科的江民說話,我知道絕對是不明智之舉,即使他們的確敬業,即使他們徹底改用了正規的方法反盜版。「歷史不能忘記」這也是我的原話。但我作出如此選項也實在是出於無奈,這些日子,我不但要以一人之力清點研究各種各樣的黑幕與可笑理論,還要替許多人自己的無知白白背黑鍋。這種辛酸我想大家多少能理解一點兒吧。
問題上升到DOS後遺症,一切癥結似乎也就明晰了。這種完美地對號入座的理論,我想足以讓人重視了吧。不論它們來自何方,讓些舊時代的餘孽給那個古老的DOS時代陪葬吧!

談了這麼多,大家也該知道我為什麼說「錯亂意識、錯亂文化、錯亂時代」了吧。這一切早在DOS向win95轉型時就已注定,在瑞星推出最早的windows版時就已得到體現,在媒體和殺軟公司的不停重複中得到「共識」,在安全界的度日如年不務正業下得到預設,在我們的所有人身上,這一切竟成為了現實。這簡直就是一場十年浩劫!!
誰要負責任?一切信口開河的「高手」一切IT媒體,一切不思進取不務正業的殺軟公司。
謊言重複一百遍便可成為真理,更何況你們繼續以訛傳訛,重複上千萬遍也不去好好想想,最後還要我來徹底打理一遍安全界。但至於是在激憤中突發,還是在謊言沉默中消亡墮落,這不是我能替你們選項的。
不管世人如何評價,我都只能在勞作半年之後為了中考悲劇性地封筆了。不論我的所作所為在這個錯亂時代得不得到承認,我只希望多年以後當這一切都明瞭之時,還有人記得在我14歲那年我在這裡留下這樣一句話:
舉世皆濁我獨清,眾人皆醉我獨醒。
然而這又多麼可笑與難以置信啊。這一切竟需一個14歲孩子的理論來拯救。這戲劇性的一幕無人可能想到,但終將成為事實。
這個時代何止是錯亂,而是可笑的顛狂!
但,這並不好笑。
2月28日
第二次修訂於3月29日
木馬鬥士

最後的個人感想

我的第一稿時是這麼結尾的:
「我從來都認為,造就一個時代的不是一個人,一群人,而是一代人。連我這名90人都差點被你們毒害。而這一切,在你們對《殺軟黑幕》的圍攻之時尤為明顯。我為你們這一代人的麻木不仁感到悲哀。
你們唯一的不同便是分工,有人負責發帖,有人負責當媒體槍手。這正如同中國另一場十年浩劫中,有人是紅衛兵,有人是四人幫。當然,十年的迷夢不可能一日化解,對於前者,我從不責怪,只是想警醒你們,你們要反思。在這樣一個玩忽職守的年代,任何一個人仍然沒有理由同流合污。在這個無恥得需要理由的年代,只有所謂的「英雄」的那點恪盡職守不需要理由。
而相對於文革中挺直腰桿站著死的豪傑們,我最大的悲哀是:我是獨一無二的木馬鬥士,我只能叫the One—叫救世主,或者叫唯一。
我不禁想起1976年4月5日喧嚷的天安門廣場:他們素不相識,他們可能將面對死亡,但他們可以共生死,可以與那個萬惡的時代同歸於盡,可是我不能,在半年無數痛苦的纏綿之間,在我被燒盡了純真的灰黑青春盡頭,我甚至找不到一個志同道合的知音,我甚至沒有死的勇氣----如果我一死就能完成我的宿命,那麼我干。可是事實上,這樣做我只能成為市井小民的笑談。在那個熱血沸騰的年代,死亡帶著夢幻的光環,在這個死氣沉沉的年代,死神甚至都不肯把我接納。
我只能在光榮的天安門廣場千里之外的一個空寂的校園裡胡亂地走動,默吟那首昔日的戰歌:
欲悲聞鬼叫,我哭豺狼笑。
灑淚祭雄傑,揚眉劍出鞘。
但願我所說的一切,並不只是為了見證。
中考之後,我還會回來的。
2005年3月30日
永遠的木馬鬥士」

我太樂觀了,以為我幾乎無懈可擊的理論可以博得許多人的支持。幾乎無懈可擊,這是Xfocus上的人以實際行動論證了的,因為他們始終無法說我的理論有什麼錯誤,甚至還有人肯定我的理念,至少我比你們那些荒謬的理論正確。如果不是在Xfocus,而是在一個充斥著受害者的論壇,他們甚至在罵我一句槍手的同時還會多少給予些支持。比起04年9月的殺軟黑幕,這對於我是一個飛躍,從一個對殺軟有獨特見解的人到自封的「理論專家」。不過有一點我始料不及:你們無法否認我幾乎無懈可擊的理論,但也是一批一批地罵我是槍手。這似乎只能證明:作為「槍手」,我比你們更正確。在一個技術論壇上,這是我的一個有些可笑的勝利。
我,作為一個強力支持KV的技術的人,同意你們有懷疑我是槍手的權力,特別是我號稱14歲這一點看來不見得可信,但是在沒有證據的情況下,你們無權力斷然否定木馬鬥士故事的真實性。至於懷疑,我是能理解而不是一味的否定的,這個時代實在太需要懷疑了。
在網上,沒有人知道你是一條狗,也沒有人知道你不是一條狗。只要是在網上,一切都值得懷疑,我甚至希望你們在別處也保持這種精神。反正在網上,我是無法證明我的清白的,我也不需要。只是你們要看到,如果我不對「技術典範」KV給予應有的支持,天知道我的理論就是不被認為是槍手作品,也只是一堆消遣你們的廢渣,反正罵我的人已經沒人能否認KV的價值,等於是認同了我這個「槍手」的觀點。你們要是願意,就把AVP送下學校吧!
如果不出大事的話,我的黑幕講得已經差不多了。只是作為一個旁觀式的見證人,我無法介紹一下江民炸彈,因為我沒有親歷。讓我憤怒的是,媒體的消息封鎖太混帳了,以至於我只能在論壇上找到隻言片語,根本找不到官方性的記載,歷史已將事件遺忘!!!!!而我正是要制止這種事!!!!!!
作為木馬鬥士,我有不可推辭的義務在肯定KV技術能力的同時講一講硬碟炸彈,這是我不應避開的殺軟黑幕,這是我的使命!!明白嗎?這同樣是一段被遺忘的歷史!!!我承諾,在中考後,我會盡我所能的寫《江民炸彈祭》,還有《3721陰魂不散》,(可能還會講一講木馬剋星)這是我下半年的計劃。只是年代久遠,你們要諒解我現在不能寫,我還有中考。

你們無法理解我的使命感,只覺得我是槍手。那麼,我也請你們寫一篇《江民炸彈祭》,既然你們還有足以反對槍手的良知。我不會反對,反正我是一個即將成為英雄的人,用不著下三爛地作槍手,我只講「荒謬的實話」,不講「可信的謠言」

我最後一個願望,那就是上電視。不可否認這似乎有個人的私利,但若不如此,我永遠無法證明我不是槍手,而是14歲的英雄,更永遠無法拯救這個時代,我只能拯救一部分人的那一點點自由。大家不妨看作這是一個荒謬的神話,但也不必一口咬定我是槍手,這只要你懷疑,哪怕是你把它寫出來。反正我可以保證,有一天,木馬鬥士的「槍手神話」將被證明是真是假。我只要你繼續懷疑。大家不妨耐心一點,絕頂的好戲才剛剛開始。

最後,我要解答一下某些人提出的一些對本文的疑問:
我14歲,不可能寫如此長的文章;前後文風不同……
我不是一個像你們那樣整天罵人槍手的游手好閒的人,我寫了半年,前後文章自然不同,半年的努力也自然會有5萬多字和對許多殺軟的評價。這種事情太好解答,因為,這一切都是發生過的真事,自然無法辯駁。

但是,有些人的話我無法解答,我覺得這比罵我一千句槍手還難受:

「沒什麼感覺呀。」

想必沒有幾個人能有耐心一口氣讀完這篇文章,

但是出於對作者的尊重,我還是完整的轉貼了原作者為:木馬鬥士,
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2005-05-14, 10:41 PM   #8 (permalink)
註冊會員
榮譽勳章
UID - 22269
在線等級: 級別:6 | 在線時長:74小時 | 升級還需:3小時
註冊日期: 2003-01-05
VIP期限: 2008-04
文章: 304
精華: 0
現金: 6245 金幣
資產: 6245 金幣
預設

感覺有點自賣自誇,不過據說在大陸kv似乎真的不錯
pinga 目前離線  
送花文章: 266, 收花文章: 3 篇, 收花: 3 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 02:18 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1