在此纠正我的一些错误.比如AVP的病毒库问题:
正如网友所说,AVP杀国内病毒木马没有任何问题.在此向大家道歉.只是最近在实验Lovgate的时候发现AVP的一个真正严重的问题.已加入本文的"最新更新",希望大家以后转载这篇:
1月14日作者修正版我已写好,请转载者登此篇:
小时侯听说过一个成语:“窃钩者诛,窃国者侯”今日我才真正明白它的含义,于是写了这篇“万言书”。我不希望有人直截了当地把我当作“枪手”或者作“广告”的甚至是什么“攻击国家机关”,毕竟这是一个严重的社会问题。我不怕任何人质疑我的观点与证据的真实性,尽管我可能会犯一点小毛病:以下材料均来自本人亲手实验,或本人及朋友的亲身经历。只要你按我的说法一个个实验过,你就会知道到底谁是对的。
本文中可能有一些术语许多人听不懂,恕我不作注释,有劳各位自己去查。
杀毒软件背后的黑幕(1月14日作者修正版)
木马斗士(trojanfighter)
翻开2004年第18期《大众软件》,那个杀毒软件读者调查排名让我百感交集:毒霸38%,瑞星29%,Norton14%,KV11%……,不要以为这只是几个简单的数字,这后面有太多的故事,一时竟不知从何讲起。这样,我们先看看各个杀毒软件的真实能力。(本文中评测部分若未经说明,那么KV就指KV2004,毒霸指增强版,瑞星指2004版,AVP就是卡巴斯基Kaspersky。另外由于本人向来不用邮件收发工具,所以这里不测邮件杀毒)
一、病毒库
这些年头看过许多评测,有民间的也有媒体的,几乎都是以病毒库是否全面为依据。这是非常不科学的!暂且不说别的因素,我认为用杀毒软件对一堆病毒木马一通乱杀最后仅仅以检出率论英雄,是一种对读者不负责的数字游戏。
举两个最简单的例子,你有用过Norton去杀黑洞2004吗?不说别的,就说最有影响力的0815版,Norton也是怎么杀也杀不出。这完全不是什么巧合,Norton如果杀n年前的经典木马冰河84,也还是杀得出来的,只是会在隔离区里加上两个字作注释——罕见……
Norton是一个非常典型的例子,因为在杀国产木马方面的问题Norton是最明显的。(有网友怒斥为“木马白痴”)不过其它的外国杀毒软件也好不了多少,除了那个公认的升级狂AVP,大家拿手上那帮大马小马自个儿试试吧,保证叫它们死得惨不忍睹。 (据说当年因为Pc-cillin杀不了CIH的某些国内变种,所以有人就……)当今有多少媒体在吹Norton这些玩意儿,真是啥都不懂!
就是不算木马,各种国产蠕虫变种也够这帮老外受的,其中最典型的就是Lovgate系列了。有些用Norton的单位就算是天天更新,也总是不如它的变种来得快,甚至面对有些n年前的国产病毒,那帮老外也一声不吭。AVP虽然检出率很高,但它的病毒库却有个致命缺点:经常不能辨认出一个病毒产生的所有文件,或者说得明白一点儿,AVP对于一台已中了以上病毒的电脑毫无办法,只能干瞪眼!!!于是乎,Lovgate.w(KV认作Supkp.v)及Lovgate.z等“死而复生”,让许多AVP跟风者无可奈何,也难怪人家一天有N次更新了,“处理”速度果然快。要知道,我手头上才只有6个Lovgate变种而已!(号称带毒杀毒???法国佬瑞士佬还敢推荐???笑话!)所以说AVP实际上具有极大的安全隐患!如果是在逊一些的电脑上,那你就等着中病毒吧。看看现在有多少网友一口一声AVP,真是崇洋媚外过了头。(瑞星好象也有这种问题,但绝对没有这么严重)
上次我去修理一个学校的电脑,只带了刚刚火起来的AVP,结果干了白干.后来带上本人常用的KV,直接解决.那台电脑共有6种LOVGATE变种,AVP杀了一个中午只杀干净四个,杀AE变种还要重起.后来又在另一个中六个变种的电脑上用KV,呵呵,六个变种一次直接解决,连重起都不用.后来经比较,发现AVP没杀干净的两个变种有将近10个文件没辨认出来!!
上网一查,此两个变种当时至少有半年以上历史,汗汗汗!(KV认作supkp.v,supkp.z,现在好象还有一个supkp.w.dll)
AVP的更新速度早就“威名远播”,但本人到处打听,并没有听说太多此方面AVP真正可以显露出的优势。AVP杀国外病毒木马自然有优势,但面对国内网络环境下的流行病毒木马并不见得比任何一个非民间的国内杀毒软件强。究其原因,我们可以从AVP的离线升级包中的说明文件看出个大概:(说明文件中包含更新病毒的名称等)
(a)AVP虽然升级频率快,但一周升级的病毒总数相对于其它杀毒软件并没有特别多的优势。(除了那个垃圾Norton)
(b)AVP的相对较全的病毒库使得它杀国产木马时比其它任何一个国外杀毒软件都好,但病毒库中中国的流行木马比重很低。一次更新并不见得会有一个国内能见到的木马。有些网友吹的所谓AVP“强大的杀木马能力由此而来”是没有根据的。
综上所述AVP实质上的更新效率与效果都最多与国产杀毒软件打个平手。由此我们不难理解,不论是3小时更新还是号称“全球最全”的病毒库,都不能使AVP在国内的网络环境下给大家带来比国产杀毒软件更多的保护。它们这些东西顶多就给我们一些心理上的安慰,别无它物。同时,我本人对“3小时更新”的处理效率深表怀疑,我不认为这样能彻底处理什么病毒,Lovgate就是一个活生生的例子。本人还保留一个看法:每3小时更新的病毒并不一定是这3个小时接收到的,它们可以是6个小时,9个小时,甚至一天之前接收到的。也就是说,更新数据与处理接收是交错进行的,AVP对一个病毒真正的反应速度并不见得快。
综上所述,我们只能得到两个结论:1、面对众多国产病毒木马,外国杀毒软件只是一帮废物;2、以检出率论英雄是一个彻底的错误,因为一个1%可以包含很少的东西,也可以包含太多的东西,同样的检出率,一个可以杀灰鸽子,一个可以杀Beast或××国外二线木马;一个杀不干净,一个杀得干净,你会选哪个?
虽然如此,但如果检出率相差太大,那就是另一回事儿了。Norton的病毒库是非常不全的,尽管在杀木马时与其它国外杀毒软件差不多,但在杀病毒时检出率相差实在太大。在许多病毒库比较齐全的评测中,(不包括公安部)Norton总是在最后几名徘徊,远远落在其它老外后面,甚至在有次国外媒体评测时仅给了Norton6.8分,(满分10分,,AVP9分)简直是……
至于瑞星的病毒库也不是非常好,当年经常在民间评测中与Norton一起垫底,惟有木马库齐全了许多,所以其杀毒能力可想而知……当然,瑞星现在已经基本解决此问题,不过还是有一些后遗症。于是有一次,我的一个用瑞星的同学在用Norton扫盘时扫出满盘的病毒……顺便说一句,当年瑞星2003时人家可是一周一次升级!
在这个方面,一切国外杀毒软件都不合格,它们实在差太远了。
现在网上有很多枪手,到处以KV3000/KV2003等说事儿,说它们啥也杀不出。这是一派胡言。KV3000早在2004年2月就停止了升级,KV2003则是5月15日!现在的KV是KV2004与KV2005!如果有人一定要比,那就拿毒霸V与2003及瑞星2003来比,那还差不多。
为什么没有人说KV而没有人说金山瑞星?毫无疑问,金山与瑞星有大量的枪手在网上活动,其中又以金山为甚。金山向来有枪手的“光荣传统”,不信大家可以去“百度帖吧”看看。
二、杀壳能力(若有谁不知加壳为何物,请买一本最初级的黑客入门书自己看看)
在我看过的评测中,基本上没有哪个把杀壳能力放在眼里的。事实上,没有杀壳能力,一个杀毒软件在面对木马以及病毒变种时,基本上就成了废物,有谁用马不加壳?有谁改病毒不换壳?(比如Nimda就有超多仅仅换壳的变种)只要人家有意,你的杀毒软件一瞬间就可以挂掉。经本人实验,各大杀毒软件杀壳能力如下:
McAfee及大多数国外二流杀毒软件:UPX等少数壳
瑞星:NeoLite,WWWPack
毒霸:无
Norton:无
AVP:大多数流行壳(除了一些应用程序保护壳)
KV:大多数流行壳(除了一些应用程序保护壳)
没有一定杀壳能力的这些杀毒软件会轻易地让你死翘翘的,就好似特征代码法杀变形病毒,屁用没有。所以大家今后必须重视杀壳能力。这也是我对网上众多民间杀毒软件不屑一顾的主要原因。
三、一般清除能力
不得不说,任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不理想,不过由于在杀毒过后这些文件都成了死链接,所以随便找一个清垃圾文件的软件就可以了。(KV已解决,但对注册表项关注依然不够)
其实关于一般清除能力,大多数的杀毒软件都差不多,不过倒还是有几个特例:
瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下,杀Lovgate(非ae等进程守护的变种)用了2天以上,杀folder.htt(新欢乐时光)病毒用了超过一周时间也杀不干净,最后只用搜索并删除同名文件却杀干净了!由于folder.htt病毒是单质病毒,所以跟AVP不同,明显是跳杀现象。
Norton及许多国外杀毒软件则是一见染毒文件就删,实在令人怀疑Symantec的人是否学过汇编。另外Norton在撞上一个病毒在内存中的进程时,竟经常不会自动关闭,需要你手动关闭,而其它任何杀毒软件大都有此规则。
四、内存杀毒及DOS杀毒
当今国外杀毒软件基本没有再提供DOS杀毒的了,所以面对dll进程守护式的病毒木马一般就只能到安全模式下碰运气了,不然你就永世不得翻身了。(AVP例外,它支持基本的内存扫毒且有写清除病毒的开机脚本的能力,但对lovgate.w及其它某些先于开机脚本启动的病毒无效)相比之下,毒霸、瑞星、KV都有DOS杀毒能力,只是毒霸杀不了NTFS,KV可以杀壳。
国产杀毒软件都号称可以内存杀毒,但大都只是实时监控加普通进程关闭的换汤不换药,杀不了dll进程守护,甚至有毒霸不去检查调用的dll文件,等于一个功能没加,只有KV一个一个dll地检查,并有查到毒后反复内存清毒及必要时自动开机检查的功能,dll进程守护的病毒木马基本上都可以挂掉,比如在正常windows下,只要KV本身不被破坏,不被“及时”干掉进程,那么无须重起便可干掉全系列lovgate。(有时会提示“删除失败”,但事实上扫完后这个文件一般都已被赶出内存)而且以上两种情况本人都有在windows下的克制办法。退一步讲,KV的DOS杀毒也是天下第一。我认为,在全世界的所有杀毒软件中只有KV的可以算有内存杀毒功能,其它的都是吹牛,不信你就捉个经典的Lovgate的ae及z,w变种试试:AVP可用开机脚本清掉ae变种,此外就算是到安全模式下KV以外的一切杀毒软件也全是吃鸭蛋,若无DOS杀毒盘,那么你只能到DOS下“自己动手,丰衣足食”,呵呵:)
五、实时监控
当今的杀毒软件几乎都要吹一吹自己的实时监控,但实话说,没什么稀奇的:一是对进入内存的程序进行扫描,二是预读。(解压时查毒属于第一项)第一项没啥子稀奇,至于第二项,国产杀毒软件的速度大幅超过了老外,的确可喜可贺。另外AVP的在很多情况下实时监控效率极低,尤其是面对压缩包时:打开一个带毒的小压缩包后经常可以一顿饭的时间都不报警,甚至在有些比较慢的电脑上对我故意触发的压缩包中的病毒文件都不报警!!!由此我们可以看出,通过压缩包与自解包传播的爱情后门可以说是专克AVP,尤其是w,z变种,AVP根本就没有还手之力。
KV的实时监控技术(即“动态比特滤毒”技术)就很强了。为什么我一直在用Net Transport呢?因为在打开KV文件监控的时候,KV会自动对进入电脑的文件进行扫描,而不仅仅是内存。如果是带毒的压缩包,KV会在下载结束的一瞬间报警,如果是EXE或DLL等,那么有时才下载到一半就会报警。
六、杀未知病毒能力
当今的杀毒软件对这一点都“非常重视”;所谓“重视”就是大肆做相关的广告;行为判断、虚拟机法、智能跟踪……如果这些都是实话,那么面对一个歪壳压的病毒,杀毒软件们理应报警,但事实上没有一个杀毒软件做到这一点,这些谎言也就不攻自破了。当今的杀毒软件的防未知病毒机制其实只有启发式扫描,即仅仅是扫描文件中的可疑代码。也就是说,如果解不了壳,再强的启发式扫描引擎也什么用也没有,由此,KV、AVP的表现大幅超过了其它的任何一款杀毒软件。在加壳病毒横行的今天,其它的杀毒软件几乎全是吃鸭蛋。
不论如何,毒霸、瑞星和AVP的误报率都还算比较高,尤其是前两者,几乎只有误报纪录,毒霸的实时未知病毒检测甚至会干扰到已知病毒检测,而且早期的毒霸6会把OfficeXP的几乎所有初始模版当作MicroWord.Generic及MicroExcel.Generic“病毒”,令人叹为观止!Norton与KV到目前为止我也没发现误报,不过Norton的未知病毒检测也不乍地,只是比毒霸、瑞星强了许多。
不看误报率,只有AVP与KV的能力令人满意,AVP自然不用说,人家可是启发式扫描的鼻祖,具体能力大家也清楚。KV也是很强的,最经典的例子就是当年的KV3000不升级就可以挂掉冲击波!不过据说KV未知病毒检出率低于AVP,这也是为达到误报率为0所必须牺牲的。
大家注意,哪怕是KV、AVP,它们杀未知木马的能力也为0,也许它们一向都只是在研究病毒。
七、速度
首先对毒霸的“闪电扫描”提出质疑:
①有谁愿意为了一点点时间而仅仅去扫某些病毒呢?安全至上呀。
②病毒经常是相互附身一齐出现的,这可是常识呀。
③鬼知道它扫的是哪100个病毒?
“闪电扫描”顶多是一个花哨的噱头,基本上没有人用,大家不必理会它。大多数杀毒软件速度都差不多,可以接受就行了,不必排先后。不过AVP由于支持杀壳,所以在开了杀壳后有些情况下速度慢了很多,不过没什么大碍。但瑞星令人实在受不了,慢得甚至出现了瑞星专杀工具速度跑不过其它许多完整杀毒软件的奇特现象……。KV还是表现不错,又支持杀壳,速度仍然很快,不能杀壳的毒霸扫再快也无法动摇这一点。
八、集成度
老外们在这儿不得不出局:不支持QQ?Game over!
KV的集成度肯定是最高的:有了动态滤毒,KV等于是支持了一切聊天软件与下载软件,同时效率最高。
毒霸及网镖在一次死机后图标全会消失不见,极不方便使用。瑞星用DLL进程守护解决了这个问题,不过同时也带来了无尽的资源占用与冲突问题……
九、压缩格式查杀支持(出于实用,我们只看ZIP与RAR)
KV:普通ZIP、超真空ZIP、RAR
AVP:普通ZIP、超真空ZIP、RAR
毒霸瑞星:普通ZIP、RAR
其它大多数国外二流杀毒软件:普通ZIP
大多数外国人都不用RAR,所以Norton与McAfee等都杀不了RAR。Norton竟用特征代码法杀Lovgate产生的RAR包,真是没话说。