杀毒软件背后的黑幕
翻开2004年第18期《大众软件》,那个杀毒软件市场占有率排名让我百感交集:毒霸38%,瑞星29%,诺顿14%,江民11%……,不要以为这只是几个简单的数字,这后面有太多的故事,一时竟不知从何讲起。这样,我们先看看各个杀毒软件的真实能力。(本文中若未经说明,那么江民就指江民2004,毒霸指增强版,瑞星指2004版,卡巴斯基就是卡巴斯基。另外由于本人向来不用邮件收发工具,所以这里不测邮件杀毒)
一、病毒库
这些年头看过许多评测,有民间的也有媒体的,几乎都是以病毒库是否全面为依据。这是非常不科学的!暂且不说别的因素,我认为用杀毒软件对一堆病毒木马一通乱杀最后仅仅以检出率论英雄,是一种对读者不负责的数字游戏。
举两个最简单的例子,你有用过诺顿去杀黑洞2004吗?不说别的,就说最有影响力的0815版,诺顿也是怎么杀也杀不出。这完全不是什么巧合,诺顿如果杀n年前的经典木马冰河84,也还是杀得出来的,只是会在隔离区里加上两个字作注释——罕见……
诺顿是一个非常典型的例子,因为在杀国产木马方面的问题诺顿是最明显的。(有网友怒斥为“木马白痴”)不过其它的外国杀毒软件也好不了多少,除了那个公认的升级狂卡巴斯基,大家拿手上那帮大马小马自个儿试试吧,保证叫它们死得惨不忍睹。(据说当年因为Pc-cillin杀不了CIH的某些国内变种,所以有人就……)当今有多少媒体在吹诺顿这些玩意儿,真是啥都不懂!
就是不算木马,各种国产蠕虫变种也够这帮老外受的,其中最典型的就是Lovgate系列了。有些用诺顿的单位就算是天天更新,也总是不如它的变种来得快,甚至面对有些n年前的国产病毒,那帮老外也一声不吭。卡巴斯基虽然检出率很高,但它的病毒库却有个致命缺点:经常不能辨认出一个病毒产生的所有文件,或者说得明白一点儿,卡巴斯基对于一台已中了以上病毒的电脑毫无办法,只能干瞪眼!!!于是乎,Lovgate.w(江民认作Supkp.v)及Lovgate.z等“死而复生”,让许多卡巴斯基跟风者无可奈何,也难怪人家一天有N次更新了,“处理”速度果然快。要知道,我手头上才只有6个Lovgate变种而已!(号称带毒杀毒???法国佬瑞士佬还敢推荐???笑话!)“配合”卡巴斯基极其恶劣的实时监控,卡巴斯基实际上具有极大的安全隐患!!!看看现在有多少网友一口一声卡巴斯基,真是崇洋媚外过了头。(瑞星好象也有这种问题,但绝对没有这么严重)
卡巴斯基的更新速度早就“威名远播”,但本人到处打听,并没有听说太多此方面卡巴斯基真正可以显露出的优势。卡巴斯基杀国外病毒木马自然有优势,但面对国内网络环境下的流行病毒木马并不见得比任何一个非民间的国内杀毒软件强。究其原因,我们可以从卡巴斯基的离线升级包中的说明文件看出个大概:(说明文件中包含更新病毒的名称等)
(a)卡巴斯基虽然升级频率快,但一周升级的病毒总数相对于其它杀毒软件并没有特别多的优势。(除了那个垃圾诺顿)
(b)卡巴斯基的相对较全的病毒库使得它杀国产木马时比其它任何一个国外杀毒软件都好,但病毒库中中国的流行木马比重很低。一次更新并不见得会有一个国内能见到的木马。有些网友吹的所谓卡巴斯基“强大的杀木马能力由此而来”是没有根据的。
综上所述卡巴斯基实质上的更新效率与效果都最多与国产杀毒软件打个平手。由此我们不难理解,不论是3小时更新还是号称“全球最全”的病毒库,都不能使卡巴斯基在国内的网络环境下给大家带来比国产杀毒软件更多的保护。它们这些东西顶多就给我们一些心理上的安慰,别无它物。同时,我本人对“3小时更新”的处理效率深表怀疑,我不认为这样能彻底处理什么病毒。本人还保留一个看法:每3小时更新的病毒并不一定是这3个小时接收到的,它们可以是6个小时,9个小时,甚至一天之前接收到的。也就是说,更新数据与处理接收是交错进行的,卡巴斯基对一个病毒真正的反应速度并不见得快。
综上所述,我们只能得到两个结论:1、面对众多国产病毒木马,外国杀毒软件只是一帮废物;2、以检出率论英雄是一个彻底的错误,因为一个1%可以包含很少的东西,也可以包含太多的东西,同样的检出率,一个可以杀灰鸽子,一个可以杀Beast或××国外二线木马;一个杀不干净,一个杀得干净,你会选哪个?
虽然如此,但如果检出率相差太大,那就是另一回事儿了。诺顿的病毒库是非常不全的,尽管在杀木马时与其它国外杀毒软件差不多,但在杀病毒时检出率相差实在太大。在许多病毒库比较齐全的评测中,(不包括公安部)诺顿总是在最后几名徘徊,远远落在其它老外后面,甚至在有次国外媒体评测时仅给了诺顿6.8分,(满分10分,,卡巴斯基9分)简直是……
至于瑞星的病毒库也不是非常好,当年经常在民间评测中与诺顿一起垫底,惟有木马库齐全了许多,所以其杀毒能力可想而知……当然,瑞星现在已经基本解决此问题,不过还是有一些后遗症。于是有一次,我的一个用瑞星的同学在用诺顿扫盘时扫出满盘的病毒……顺便说一句,当年瑞星2003时人家可是一周一次升级!
在这个方面,一切国外杀毒软件都不合格,它们实在差太远了。
二、杀壳能力(若有谁不知加壳为何物,请买一本最初级的黑客入门书自己看看)
在我看过的评测中,基本上没有哪个把杀壳能力放在眼里的。事实上,没有杀壳能力,一个杀毒软件在面对木马以及病毒变种时,基本上就成了废物,有谁用马不加壳?有谁改病毒不换壳?(比如Nimda就有超多仅仅换壳的变种)只要人家有意,你的杀毒软件一瞬间就可以挂掉。经本人实验,各大杀毒软件杀壳能力如下:
McAfee及大多数国外二流杀毒软件:UPX等少数壳
瑞星:NeoLite,WWWPack
毒霸:无
诺顿:无
卡巴斯基:大多数流行壳(除了一些应用程序保护壳)
江民:大多数流行壳(除了一些应用程序保护壳)
没有一定杀壳能力的这些杀毒软件会轻易地让你死翘翘的,所以大家今后必须重视杀壳能力。这也是我对网上众多民间杀毒软件不屑一顾的主要原因。
三、一般清除能力
不得不说,任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不理想,不过由于在杀毒过后这些文件都成了死链接,所以随便找一个清垃圾文件的软件就可以了。(江民已解决,但对注册表项关注依然不够)
其实关于一般清除能力,大多数的杀毒软件都差不多,不过倒还是有几个特例:
瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下,杀Lovgate(非ae等进程守护的变种)用了2天以上,杀folder.htt病毒用了超过一周时间也杀不干净,最后只用搜索并删除同名文件却杀干净了!由于folder.htt病毒是单质病毒,所以跟卡巴斯基不同,明显是跳杀现象。
诺顿及许多国外杀毒软件则是一见染毒文件就删,实在令人怀疑Symantec的人是否学过汇编。另外诺顿在撞上一个病毒在内存中的进程时,竟经常不会自动关闭,需要你手动关闭,而其它任何杀毒软件大都有此规则。
四、内存杀毒及DOS杀毒
当今国外杀毒软件基本没有再提供DOS杀毒的了,所以面对dll进程守护式的病毒木马一般就只能到安全模式下碰运气了,不然你就永世不得翻身了。(卡巴斯基例外,它支持基本的内存扫毒且有写清除病毒的开机脚本的能力,但对lovgate.w及其它某些先于开机脚本启动的病毒无效)相比之下,毒霸、瑞星、江民都有DOS杀毒能力,只是毒霸杀不了NTFS,江民可以杀壳。
国产杀毒软件都号称可以内存杀毒,但大都只是实时监控加普通进程关闭的换汤不换药,杀不了dll进程守护,甚至有毒霸不去检查调用的dll文件,等于一个功能没加,只有江民一个一个dll地检查,并有查到毒后反复内存清毒及必要时自动开机检查的功能,dll进程守护的病毒木马基本上都可以挂掉,比如在正常windows下,只要江民本身不被破坏,不被“及时”干掉进程,那么无须重起便可干掉全系列lovgate。(有时会提示“删除失败”,但事实上扫完后这个文件一般都已被赶出内存)而且以上两种情况本人都有在windows下的克制办法。退一步讲,江民的DOS杀毒也是天下第一。我认为,在全世界的所有杀毒软件中只有江民的可以算有内存杀毒功能,其它的都是吹牛,不信你就捉个经典的Lovgate的ae及z,w变种试试:卡巴斯基可用开机脚本清掉ae变种,此外就算是到安全模式下江民以外的一切杀毒软件也全是吃鸭蛋,若无DOS杀毒盘,那么你只能到DOS下“自己动手,丰衣足食”,呵呵:)
五、实时监控
当今的杀毒软件几乎都要吹一吹自己的实时监控,但实话说,没什么稀奇的:一是对进入内存的程序进行扫描,二是预读。(解压时查毒属于第一项)第一项没啥子稀奇,至于第二项,国产杀毒软件的速度大幅超过了老外,的确可喜可贺。另外卡巴斯基的在很多情况下实时监控效率都比较低,尤其是面对压缩包时:打开一个带毒的小压缩包后经常可以一顿饭的时间都不报警,甚至对我故意触发的压缩包中的病毒文件都不报警!!!呕吐呕吐,在我试过的众多杀毒软件中,卡巴斯基的实时监控是倒数第一,第一项的成绩甚至根本比不上一些早期杀毒软件的实时监控!!!由此我们可以看出,通过压缩包与自解包传播的爱情后门可以说是专克卡巴斯基,尤其是w,z变种,卡巴斯基根本就没有招架之功。
如果你认为这无关紧要,那你就大错特错了。下面让我来教你一招自虐大法:到hackbase.com去down一个包含3558个病毒的zip包,然后在打开实时监控的情况下一个个打开这些文件(为了模拟真实情况,请不要用扫描,网上很多人都有此习惯)
事实证明,若不是因为诺顿不全的病毒库导致一些病毒扫不出外,卡巴斯基以外的杀毒软件全部都有效地挡住了病毒进入内存,但卡巴斯基在同样的情况下却就是不报警。于是乎,我在试了两个病毒之后马上抱出江民救急……唯一值得庆幸的是,这些病毒大都是DOS病毒,在windows下就算进了内存也无法破坏。但我们已经可以想象,如果它们都是windows病毒,卡巴斯基是什么下场……
如果有哪位大爷不服,那就请他一个一个试下去,一个一个试下去,试到服了为止。如果试完后还不服,那我就服了,你的电脑也糊了……
这个实验可以充分增加你对杀毒软件的感性认识,以及爱国热情,因为你必须靠江民的内存杀毒或其它国产杀毒软件的DOS杀毒来救急。顺便交给那些无畏的卡巴斯基献身者一个光荣的任务:测一测卡巴斯基到底有多少个病毒会象本文开头所说的那样杀不干净。
相信经此一折腾,你的电脑安全技术会大有长进。《葵花宝典》说得好:武林称雄,挥刀自宫……
与之相对的是江民的实时监控技术(即“动态比特滤毒”技术)的强大。为什么我一直在用NetTransport呢?因为在打开江民文件监控的时候,江民会自动对进入电脑的文件进行扫描,而不仅仅是内存。如果是带毒的压缩包,江民会在下载结束的一瞬间报警,如果是EXE或DLL等,那么有时才下载到一半就会报警。另外如果你用Windows搜索时开江民文件监控,江民会顺带地扫出很多东西,(前提是你硬盘上有)上次我就是忘了这一点,结果把自己的黑软库一大半倒进了隔离区。