晶体测评小组

让我想到这点的其实是因为在 IKAKA和别人一次有关防火墙的争论引起的。


我想从入侵的角度来说说防火墙，我想一般的侵入都是从扫描器开始的流光和NMAP等，由使用者确定目标特征后开始扫面一个IP段。之后软件就会列出该IP段上可用目标，然后使用者就会侵入，提升权限，注入，运行，清理等等一系列动作。而且某些扫面器基本上会没有人为干预下自动完成。而软件防火墙此时只要可以抵御扫描软件即可。

我们再假设一个“攻击者”不借助任何工具软件全部手动进行攻击，那它面对是什么一切都是未知的他要面对各种情况，仅从软件防火墙来将他就要面对不同品牌进行针对的穿透，这需要攻击者要由多少知识储备要有多高的技术。而且就算它是侵入的速度完全取决自己敲击键盘的速度，那这种对目标不明确的攻击仅仅只是没有意义的简单的机械劳动，这对攻击者不是对任何人来说完全都是在浪费时间。

我再以ASP,反弹木马来说首先来说的这种木马要能突破被攻击自身安装的安全软件/杀毒软件的监视，即使是攻击者对木马进行修改封包甚至是使用了全新的木马，我暂且不说由多少人由这样的技术，就是这样的木马由多少是通过防火墙直接注入目标机器的呢？而多数木马基本还是通过网页下载进入目标机器之中的吧！

再这里我特别提醒大家注意我前面说的这句话“是通过网页也就是浏览器”因为这样无论的速度还是效果以及难度上都要远远好前者。这样的攻击和防火墙由什么关系呢？

我再说说防火墙关于蠕虫病毒的攻击，首先目前各个杀毒软件病毒库最大增长比例是木马不是病毒，而且恶性蠕虫病毒出现的条件是微软必须由可以利用的漏洞，并且相关代码泄露出来，并且编写病毒的作者再微软推出相关补丁前的一段时间内把病毒写好测试完再发布出去 ..... 如果不满足以上条件都不可能意为这样事件的发生，我当然不会天真认为以后不会有这样的事情的发生，但是问题的关键是用户的软件防火墙再其使用期间出现的概率是多少。

有关ARP攻击我仍然认为通过软件防火墙的引擎和规则包不可能完全有效抵御ARP攻击，即使是JeticoV2这样的墙也仅仅只是跟其它软件墙相比出色一些而已。因为面对大量的饱和攻击即使的引擎和规则再优秀那软件也回逐渐消耗系统资源直至没有响应。而且有多少用户会面对这样的攻击？非固定IP的用户可以即使面对这样的攻击转换IP后就可以解决为什么要把没有意义的寄托全放到软件防火墙上？以上对普通用户有意义吗？不要说用户不可能遇到这样的攻击，即使是遇到防火墙抵御主了并提示用户。那对于用户来说除了增加用户思想负担，“呀！有人攻击我”之外有什么意义？



而且真正成功的穿透防火墙是没有提示的，就象平常一样...没有危险的时候警惕，有危险的时候......对外防御上不是要一款一切全能的软件防火墙也没有这样的墙，其实我们要是只是一款够用的墙。用户关于防火墙有什么测试标准？看国外测试结果，自己去安全网站测试，用安全软件测试？看机构测试排名，没有一家是一样的因为方法不同针对也不同。自己去测试我想只要不是太垃圾墙都没有问题过吧 。

用安全软件测试用很简单但是你结果是什么。从专业的安全公司的报告来看目前所有我们知道的软件防火墙几乎再最关键安全构架都有问题，但是为什么我们还能看到那些溢美之词呢？因为有些东西对我们来说是没有意义的，就想过分的安全要求。最后说说测试你用过CPILSuite，LeakTest测试过自己的防火墙吗？结果怎么样？很多时候即使你安全COMODO这样一款我极力推荐的内部防火墙时，信息还是泄露了。因为防火墙提示有对外连接请求时你 放行，防火墙已经进到自己的职责了，但是我们自己放行了。



之所以说COMODO好是因为他可以较好的抵御内部信息的泄露，而且再有对外连接请求的时候，他会有较详细的提示说明该请求的危害性。如果这最关键的提示你不看的话那COMODO就是垃圾，不是说他对外防御不好，而是说他最关键的对内防御也不用或者说不会用！因为内防火墙的防止信息泄露对每个用户都用关键的意义。谁也不敢保证自己杀毒软件不会漏杀，但是漏杀的病毒再面对内防火墙时内防火墙就是你机器最后的防线，这因该关系每一个用户切身的隐私和经济利益了吧？

我也承认内防火墙可能不会面对更新型的渗透但是这需要木马编写者是一个天才因为他要有足够的能力去戏耍全世界的安全公司......而面对外部攻击那飘忽的无数个不确定，那个更有分量，而且我早就说了 火墙没有内外之分只是侧重不同，内外都是我自己冠名进行区分，更重要的是没有任何报告和证据说明内防火墙的对防御就是差！请你打开你的防火墙看看设置中的那些对外连接请求，看看你能确定绝对安全的有几个？就像我一直说的：



在别人嘴里在垃圾的防火墙你会用就是最好的墙，在别人眼里在好的墙你不会用就是垃圾！




前面我已经在防火墙中提示大家注意浏览器，因为他是很多防火墙无法解决问题的根源。而这些问题在杀毒软件中也是无法解决。而且目前任何一款安全产品基本都是在系统已经感染的情况下进行处置的，而这些矛头又集中到浏览器上。我以前已经发了有关浏览器防御的帖子，真的希望大家看看。因为关于个人桌面安全我们真的走错了。要是这样走下去我们用户要成为系统安全专家，杀毒软件专家，防火墙专家.....一个全方位的安全专家这样现时吗？我们假象用户会面对任何安全威胁，但是我们用户的实际面对情况呢？就算可以我们的产品有能力解决任何问题，但是用户会使用吗？个人安全我们真的走错了路！

这里涉及太多，首先生成木马对启发的查杀效果。其次防火墙功能越来越多体积也在不断增大。最关键我们涉及甚多“高难度”的东西但是最关键是操作性。普通用户操作性！在面对黑客的战斗中被攻击者永远都是处在下风，问题的是我们给用户一个什么样安全环境。用户会怎么用......我们拿都是理论上的数据，实际上有什么数据呢？我做个人安全领域已经6年分析的防火墙数据是什么样的，系统日记是什么样。一次实际的测试。结果呢？当安全复杂到用户不会使用的地步就没有安全了，防火墙的意义其实仅仅只是控制和管理。这万变不离其宗的。数据流，加密挟持等等都是无解决的，但是我们不能把什么一切弱项和强项请进比较只是不现实的。

下面附上一段文字

马尔科斯是世界知名的安全专家，被公认为是代理防火墙的发明人，是第一个商业防火墙和早期的入侵检测系统的实现者，获得互联网安全大会（TISC）的 CLUE大奖和ISSA终身成绩奖等多项奖项。马尔科斯从事安全工作已有16年之久，比商业互联网的历史还长六七年，网民多称他为“防火墙之父”。这位搞安全的老人，最近说自己在“浪费时间”。研究一下他的安全观，对我们或许有帮助。

　　他认为，现在人们把安全搞得很难、很复杂、很神秘、很玄、很时髦，也很前卫。人们对待网络安全就像对待火箭科学，甚至是像对待犯罪现场取证的学问一样，但事实是，计算机和网络安全真的是一件相当简单的事情。

　　安全不是做多复杂多聪明的事情，而是不要做些蠢事。我们想安全地做一些危险而又蠢的事情，付出的代价必然很高。现实中，这条规则是如此清楚地影响到我们的生活，吃野生动物是危险的，有带来SARS的危险；如果非要吃，付出的代价将是巨大的。

　　这条规则也反映在人的健康问题上，一个人吃得太多了，就会长胖，身体的健康程度就不会太好。想保持自己的健康，控制饮食可能是好办法，而不是减肥，减肥不是健康的好办法。同样的道理，要保持计算机和网络的安全，少干一些不必要的应用如聊天、游戏等，可能是最好的办法。不要指望，干很多危险的事情，将自己处于危险之中，然后再想办法来免遭威胁和保证安全。

　　马尔科斯说自己在“浪费时间”，原因是他从事的是“减肥”安全。等他发现了这个问题才恍然大悟，于是提出了一个有趣的理论，“低碳安全（low-carb security）”，即低碳水化合物，就像素食一样。说到素食，它肯定有效，但实际上是一个很难的选择。难就难在让人们都去吃素食，都不吃大鱼大肉。另外一个简单、经济、有效的选择是，少吃点，多锻炼。

　　在网络安全问题上，人们往往不是安全地去运行少数必要的网络服务，而是开放很多的不安全、不必要的服务，甚至是一些特别不安全，如隧道的应用，然后耗费大量的时间和金钱，企图把这些不安全的应用变成安全的。就像胖子一样，先痛快地大吃，变成了胖子，然后，再花钱来减肥，企图保证自己的健康。马尔科斯本身在这种模式下努力了16年，也没有看希望。最近一个网络上的帖子询问，为什么安全这东西这么难？有没有什么简单有效的办法指南？他才突然地意识到这个道理。他把这套安全理论总结为“少吃点，多锻炼”。

　　马尔科斯基于这套理论，对网络安全开出了安全药方。其基本的内容是：

　　所有缺省的安全策略是拒绝所有（Deny All），然后只准许哪些是必须的服务。尽可能少地提供服务，记录这些服务的使用日志，对应用的错误进行检测，当然你也可以进行入侵检测。了解网络上在跑些什么，如果管理员不知道网络上在跑什么东西，怎么保安全？内部尽可能隔离。隔离往往是最好的办法。不安全格式的内容尽可能不要流入内部，除非它是从可靠渠道来的。了解防火墙上流出的流量是什么，如果你了解了，你就不需要什么高级东西来判断木马、间谍软件、病毒、非授权访问等。最好全部七层都进行控制，而不只是一层，深层防御不是只在一层。不要浪费时间天天打补丁，如果你天天在大补丁，你已经被误导。移动办公隔离到一个独立的区，移动办公很好，可是不安全。防病毒软件很好，但不要指望天天升级。最好了解内部网络上使用的都是些什么软件。不要指望用户理解你的安全策略是什么，简单地说明该怎么做。安全外包是一个坏办法，除非你可以接受你的安全可以交给别人把握。

　　马尔科斯相信这是一个简单而强大的主意。假如你采取了这些措施，你可能永远不会被黑。

　　“少吃点，多锻炼，相信我，它非常有效”。

思路确实会有一些问题，因为都是一些自己的凌乱的思绪组成的文字。但是这帖子的核心都是在攻击的者调度考虑防火墙及个人桌面安全的问题。

有关防火墙的问题，大家几乎还是没有明白他的理念和作用，面对浏览器漏洞以及下载包的木马防火墙是没有办法防御的，因为这已经超出防火墙的职责范围。而黑客注入攻击是防火墙要面对的，但是这种情况就像我说的那样机率很少

关于断网更换IP的问题，实际情况扫描器基本不会在一个IP断上进行反复的重复扫描.所以理上上是不可理解的问题，在显示确用最简单的方法就可以解决！

对我帖子有意见的朋友我 都虚心都听取，但是大家基本都是在理论上针对我的想法，问题是这些现时操作性呢？我的思路都是用可以在普通用户付出实现的，而且最主要的思路还是大家基本都是理论对理论，但是请贴近显现因为我的理论基础都是出自现时，大家可以分析一下自己朋友，同事，家人现时的网络情况安全，到底是什么！而且一个对普通用户可以实施解决方案是什么。

我举个例子理论上安装HIPS后系统就不会有任何安全上的问题，因为所有的非授权非规则设置。没有手动确认的情况下都是不执行的，但是问题现时中还是有技术可以突破！更重要的是现时用户基本都是把HIPS设置成学习模式或依靠内置规则保护，因为对于普通用户来说提示信息太专业了。即使是我们对计算机稍有了解的用户，在安装HIPS后在安装软件的 时候有几个人能只安装软件而软件捆绑的插件用HIPS阻止安装呢？
这基本就可以从一个侧面体现理论与现时的差距。

拒绝所有，是防火墙核心规则。而且这个点并不是大家字面上的所理解，大家有兴趣PHANT0M编写的LNS中的规则。

最后这2贴的讨论我都提及了我的浏览器安全理念，可惜几乎没有人去找，去看看.大家争论都仅仅只是停留在理论层面上。但是这些没有实际解决方案的，对普通用户几乎没有意义

能说一下什么防火墙有你说的功能吗？我可以实验一下吗？其次特征过滤防火墙都是抓封包，这不能直接过滤木马，防火墙就是管理和控制。它不可能对木马进行所谓的识别！如果有请告诉我，我马上进行测试实验。而关于漏洞攻击则基本上是已知漏洞的防范，这个几乎没有再讨论的必要

前面已经用了大量的篇幅说用户面对安全威胁，是几乎无法防御的。但是解决方案又没有一个明确的配置。用这样的配置去抵御前文的 攻击是什么效果？

分析了个人用户安全日志了吗？结果是什么？再今天有多少用户仍然再 被反复的扫描所困扰。请不要再死包理论的东西，回到现时吧！

还是我说的我们的处在一个很尴尬的位置，一方面面对不断增场的 安全威胁，我们不断的更新的自己的知识。但是实际上我 的理论和现时是脱节的，又回到我们的话题我们用很多高深的安全攻击理念，以及防御理念，但是涉及到实际防御手段我们却仍旧停留现有的方法上，所以直扣主题。“有关个人桌面安全我们走错了路！”

还有有时间不要只针对我的文字内容，可以看看我 发浏览器安全的帖子，也许这样会有一个新的思路：）

首先我提出的概念是一个可以实行的方法，在任何人没有亲自体会就妄加评论是否不妥，而且面对以上种种理论上的东西我最少给出老 一个解决方案，而不是把更高级别的安全方案交给“专业人士”了事

其次我在文中已经强调，IE本身的限制很多，有关IE的窗口防御只是针对多数IE用户，而有效的防御方法要看非IE的设置，只是该贴关注程度让我极其失望没有更新下去......

1关于沙盘的软件的问题，多数破坏都是用户自身误操作引起的。而且关于**的穿透我也看了，但是那是一次在黑客攻击条件下完成的吗？那时在能对机器有物理接触并且在管理员条件下完成的。这根本就不能体现现时，因为在这种条件下根本就没有什么安全可言因为权限全给你了。而且关于浏览器沙盘你在没有测试的情况下一些都是主观推断。

搜索安全指示器不只LinkScanner一个，也不是没有对BAIDU可以的支持的东西，单说不支持BAIDU 来否认不是很可笑吗？其次搜索安全指示器有其片面性，但是用户面对搜索引擎的列出的网址后，指示器会有一个很直观的指示，并且会列出为什么提示安全或不安全的理由。你还是没有使用就说.....

钓鱼前期是很难预防的，至少世界还没有一种有效提前规避的方法。对IE用户来说只有MSR Strider URL Tracer 的数据更新进行辅助，非IE用户的方法就多了像MSR Strider URL Tracer 之外还有拼写放大提示，网页服务器信息提示等方法预防，只是对于普通用户来说还是认真检查拼写不连接地址和MSR Strider URL Tracer 简单有效。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－引用
随着 大网站被攻陷,比如今早 M 说的 东方卫士被挂马.窗口的防御 应该偏重漏洞的防御,而非网址的防御,一个相同的漏洞,利用方式就这么1-2种,但是网址却有无数个.(钓鱼除外)


最简单的 正常的网站 一旦被攻陷,挂马.窗口防御的帖子中涉及的东西 基本就如同虚设了.
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
窗口防御和漏洞以及网页好想没有关系吧
而且窗口防御本身不信任任何网页，即使是以前浏览的网页现在被攻陷了浏览器沙盘仍就还是在黑盒模式下不影响安全。其次钓鱼本身就是后发安全策略这没有什么追究的必要，而安全指示器是在实时更新而且它的作用就是安全参考的用途。

还有说说我测试墙和规则吧，目前测试时间还是不长但是对木马DLL渗透根本就没有保护这不是一个遗憾吗？这不是规则就可以解决的而是防火墙本身一些问题。

在说说小聪
首先非IE是完全支持标注的网页代码的，指示很多网页都因为对IE加一些其它代码而已，而且目前非IE也不是没有解决的方法。
其它说到漏洞代码确实是这样任何东西都有漏洞，但是还请看我的帖子并且主要浏览器黑盒的问题，都在说0DAY，但是黑盒的原理是什么？

而且一个网页可以针对不同的浏览器都注入漏洞代码？这样的网页有多少人见过？而且这还是没有用我的方案的臆测。所以请用过之后在说好吗？

首先指向文件都在一个虚拟的文件中。这些都不涉及系统的问题，小聪的其它疑问可以看软件说明，上面很详细

我觉的要是在这样争论下来已经没有必要的了，因为你不是针对我整个问题而是仅仅指示准对一点，其它全然不顾

1 请搞明白 什么是虚拟磁盘 什么是虚拟硬件 什么是I/O端口写代码 再来说好么?


这一切的前提是权限，你在攻击状况下如何完成以上这些？防火墙穿透，杀毒软件，权限提升，以及其它。

2 抛开 搜索安全指示器 使用局限不说,用户通过论坛 QQ MSN 网站的友情链接 获取的链接呢? 很遗憾 搜索安全指示器根本无效.

这个和我 说的搜索引擎安全指示有关系吗？现在有 什么方法能告诉用户所有连接的安全性！不要用不可能去和我争论好吗？

3 反钓鱼功能 IE7 有 firefox 也有.浏览器本身都有了 还有装 插件的必要么? 很明显没有任何意义!!
首先写之前IE7还没有出来，其次IE7也不过是改进在说有几个用户开着？你开了吗？而且我已经强调对钓鱼没有一个提前防御的方法只能是事后防御！

窗口防御和漏洞以及网页 有什么关系?
碰上挂马的网页 不属于 窗口防御的范畴??? 那你那个窗口防御帖子里面提 虚拟IE干啥??
网页是网络上，我的窗口防御是 用户自己机器上有关系吗？在说明白点网页是用户不能左右的但是窗口是用户可以做的！

FF的 漏洞是有！但问题是，有几个人能利用！看看我们全中国的网站有几个是在利用FF漏洞的？还是那句话，都只是和我在一个问题上一点进行不休止的争论有意义，而且此时就抛弃一切现时情况？着还有必要吗？

关于DLL的问题则更没有必要说看看你上面自己的回复吧！

相互藐视的技术探讨已经没有意义了，不是吗？

我已经做了对你防火墙及规则的测试。你可以做一下我的配置测试一下吗？做了我说的这些然后用你说的网页木马进行攻击以及防御测试好吗？如果可以突破请马上告诉我：）

有关你说的新的安全理念，无论是黑盒突破还是内存阻断，请告诉我在普通用户如何应对。技术可以进行无限延展，但是用户应对方法呢？技术确实够新，但是请你告诉我一个非技术的结果好吗？

一方藐视的技术探讨已经没有意义了，不是吗？

我已经做了对你防火墙及规则的测试。你可以做一下我的配置测试一下吗？做了我说的这些然后用你说的网页木马进行攻击以及防御测试好吗？如果可以突破请马上告诉我：）

有关你说的新的安全理念，无论是黑盒突破还是内存阻断，请告诉我在普通用户如何应对。技术可以进行无限延展，但是用户应对方法呢？技术确实够新，但是请你告诉我一个非技术的结果好吗？

最后请教一个问题“您的防火墙＋规则＋系统 可以防御您提及的攻击吗？”

标题 Igor Danilov: “反病毒软件市场只是一个大泡沫”。

原文连接：http://company.drweb.com/press/igor+daniloff+cnews+interview+may+2006/?lng=en

中文翻译校对 by 霏凡论坛 Cyberarmy 允许在保留原译者资料情况下转载到其他非商业谋利性网站


信息安全是信息技术市场里面最有活力的部分，过去反病毒软件曾经是市场投资者的首选。很多人习惯性觉得互联网充斥着众多病毒，需要一道强有力的屏障以保安全。与此同时，俄罗斯反病毒界的传奇人物，Dr.web反病毒软件的开发者Igor Danilov，把反病毒软件市场看成一个仅仅因个人电脑用户的恐惧而存在着的巨大泡沫。在本次访谈中，Danilov会与我们分享他对怎样才是真正有效的反病毒软件的看法，为什么Dr.Web失去了原有的市场垄断地位，公司如何在指望销售额增长外继续发展与生存。


问：你是俄罗斯反病毒软件市场的创始人之一，至今为止情况是否有所改变？


那时并没有任何市场，并且现在也不应该有。曾经有人试图创造类似的市场，但是今天的反病毒软件市场是一个大肥皂泡，这并不止是俄罗斯，还包括世界的其他市场。上世纪80年代末，90年代初当病毒刚刚出现时，每个程序员都在写病毒。这做起来既简单又迅速。如果有一个病毒——输入一个定义或校验值，扫描文件，检测到一个病毒体，对用户报告，仅此而已。后来仅仅报告已经不够：反病毒软件开始有了清除的功能。从此有了质的改变，当一大帮业余的反病毒软件不足以满足用户的需求时，它们就此销声匿迹。


这个改变把一群可以做全套病毒检测和清除的IT人带到了前沿。在1993年年中，出现了第一个可以对付多态变型病毒的反病毒软件，在差不多同时，Dr.Web变得家喻户晓。1993-1997年间，只有为数不多的反病毒软件被开发出来。在1997年末，五家厂商完全的控制了整个市场。这让我们后来的工作变的索然无味：互联网的扩张，导致病毒技术变得越来越原始。将一个病毒从A点送到B点变得十分容易：你无须使用复杂的技术来隐藏病毒体。见钱眼开的反病毒厂商似乎某种意义上被劫持了：他们提供的“很好”的反病毒工作事实上并不好，因为他们仅仅对原始病毒有效。他们对于破解复杂病毒的无能似乎并没有人看到，这直接导致病毒如潮水般在互联网上泛滥。


现今市场上的情况是着实可悲的。今天市面上的大部分软件并不能真正的称为反病毒软件；看起来，里面最好的也只能说它们是由一些很聪明并自称“业界领袖”的高中生开发的而已。进入反病毒俱乐部的门槛降低了许多，一些对付原始脚本病毒的人跑到前面在扮演着领航员的角色。


问：为什么具有高技术含量的Dr.web软件——十年前占据俄罗斯95％市场销售份额，现在却失去了垄断的地位？


我现在告诉你更多的：十年前我很难找到一部安装其他反病毒软件的电脑。我们的产品流行到许多今天自称“业界领袖”使用的技术仅仅是Dr.Web的翻版。东欧和东南亚的许多软件产品实际上使用的是我们的引擎。来自那些地方当时并在俄罗斯读大学的学生都对我们的技术有着深入的了解。西方则有他们自己的技术领袖，我们不会考虑到那里去推广我们的产品。我们有两人，两个反病毒软件开发人员，执著于我们的工作。我们只有一个要完成的目标一个需要接受的挑战 ——就是发明世界上最优秀的反病毒产品来对付世界上最复杂的病毒。但是1998年金融危机的爆发让我们资金短缺，并导致我们产品市场的崩溃。同时，这又给一些没有任何技术但十分想从信息技术里赚钱的人提供了极大的机遇，这牵涉到前期投入大量的资金以及西方集团的一些利益。此时我们发现面对的问题是如何生存而不是如何发展。


问：为什么你不说说对于复杂变型病毒的防范？是不是说现今使用的反病毒软件里仅仅只有几家有能力可以对付现实中很严重的病毒？


我会给你一个例子来回答这个问题。大概一个多月之前，一个新病毒出现了。并非不寻常，但是考虑到现在的病毒水平，这却是一个编写的很好的病毒。以前的病毒是更加的复杂。现在，我们大家在仔细研究过病毒后所有人都同意：不错，真是一个好病毒。所以我们编写了一个检测程序，然后将其付诸脑后。但是整整一个月过去了，全世界却没有一个反病毒程序可以检测到这个病毒，真是让人觉得很离谱：我们公司曾经被指责自己故意编写病毒，比如Dr.Web靠这样来推广产品。最终我发布了公开声明：“呵呵，我们的确因为无事可做所以编写了新病毒。”一些人可能把玩笑当真了，因为一些用户要求我们提供病毒清除程序。想想看：没有任何的“业界领袖”可以检测到该病毒，而我们却应该提供清除程序！清除可不是开玩笑，因为他们使用了XTA算法——基本与DES一样很难破解。事实上，我们不仅仅接到自己软件用户的要求，同时还有其他反病毒软件厂商的客户也对我们提出类似要求。我会告诉他们：“你用的产品有自己的厂商，不是吗？至少让他们给你们提供检测工具吧！”


问：为什么市场的主要厂商都无声无息？难得他们没有发现真正的技术并且希望购买优秀的引擎，甚至并购整家公司？


他们愿意买，同时我们也听过很多报价。或者应该说直到最近为止我们收过很多报价。那些在业界有一段日子的都很清楚Dr.Web是不卖的。我不需要卖掉它。为什么？我自己有一个很好的生意并且回报能让我很好的享受生活。我的目标是继续改进我们的技术同时尽力让我们公司的同仁生活的更愉快。


问：你不想在一个跨国公司的旗下这么做吗？


不想，为什么？你知道，住在这里真的很好。同时，我知道自己处于全球反病毒阶梯的哪个位置。反病毒软件业的人都知道全球只有五家公司有自己的技术，其他的都是窃取的。


问：你会怎样描述现时一个真正有用的反病毒软件？


评估指标有很多，其中之一是无遗漏检测复杂变型病毒的能力。测试我们产品的时候，比如说我们会生成一万个同样复杂病毒的变种。如果有一个无法被检测到，我们将视之为紧急情况，会将反病毒产品回收并重新开发。同时，还有一项很重要的指标就是：反病毒软件必须在很好的执行基本功能的同时不干扰用户。它不能明显的降低电脑的效能，或者导致系统错误（比如蓝屏）等等。而且还要考虑很多其他各种谣言等因素。如果有人说：“这个反病毒软件查不到任何东西。” 这马上就会传开——你知道我说的是什么。就像买门锁一样——一般来说最重的，最复杂的门锁都是最贵最好的——但是在电视上听到用一个发夹可以在几分钟内打开后，这意味着锁并不比一般三美金的锁强多少。唯一可靠的指标是质量。很遗憾，你只能自己来测试。


问：现在有着很多“反病毒软件质量”的排名，比如“这个产品能检测99.95％的已知病毒”。你对这些有什么看法？


这纯粹是市场营销手段。第一，99.95％这个数字就值得推敲。所有的那种测试都是这么进行的。比如你收集有大量的病毒样本，而每个样本都必须被检测到。如果有一个病毒未被检测，这个产品就不能被称为“反病毒软件”。对未知病毒的检测上，现在还不清楚如何能计算出所谓的检测病毒百分比。而且，检测的方法也有所不同。最终结果很难高于90-92％。但是这样的病毒检测包是怎样的呢？它包含着大量损坏文件，二进制病毒等。这些是没有危害的病毒，为什么我们要浪费时间来检测所有的这些东西？我在这方面的态度是很固执的：我从来不管这些LJ，或者将其添加到我的病毒库。同时，许多反病毒厂商由于对此类检测包的表现获得了一定的知名度。我并不是说这是不好的；这只是做生意的一种方法罢了。但是问题是这些百分比究竟有多重要？因为不重要所以我刻意的排除了这些LJ的检测；但是结果却是Dr.Web没有检测出任何病毒。你可能会问这是好还是不好。这需要你们自己来判断。


这里我举例说明一下。一次某愤怒的法国代理打电话给我们：“为什么你们卖一个世界排名第17的产品？”原来一家有名的英国电脑杂志出版了一个反病毒软件的排名，Dr.Web排17 位。我后来打电话给该杂志的编辑询问他们使用的评估指标。“那些数据不是我们测试的，而是来自第三方。”后来我们找到了这个第三方——一个住在希腊并收集病毒的十几岁小孩。这个家伙在听到一个杀软厂商亲自打电话给他时变得欣喜若狂。当问到他评估使用的指标时，他说他用了许多反病毒软件来扫描自己的病毒收藏，给一些功能评分。“根据你的排名谁是第一？”我问道。他说是一家众所周知使用其他厂家引擎的厂商。而开发该引擎的厂商，却排名比较靠后。这公平吗？这个状况还可以延伸到更广义的解释。比如一家厂商提出了一个原创的概念并且成功的将自己变成此种概念的形象代表，其他的厂商都会被期望必须遵守此种概念—— 或者冒着被标为80％检测率的厂商的风险特立独行。


问：很遗憾，无论如何这些评测都会影响一个公司的形象。更糟的是它会在用户里导致一种负面的态度。你们对此采取了什么措施？


什么也没做。这是为何我称反病毒软件市场是一个泡沫。用户自己来判断软件是否适合自己是最重要的。再者，我们公司需要关注公司信誉。它协助我们渡过难关并让我们能继续走下去；我们有很多有影响的合作厂商，并且用户的数量在稳步增长。这是唯一可靠的指标。我们深知在一个评测里排名靠前是没用的，因为其他销量更大的厂商可能在三个类似排名中排头。还有，用户会因此被误导。所以，我们需要捍卫自己的信誉。这可以通过比如坚持我们的不出售政策来达成。巨额资金可以被更庞大的资金击败，但是好的软件却是无法被打败的。


问：用户如何找到一个“很好”的反病毒软件？


就现在情况来说，很难。用户被吓怕了。他们时刻受到病毒和其他程序的威胁，同时无数的木马，蠕虫努力地尝试着偷去他们的资料。这个气氛是一些反病毒软件公司营造的。这就像禽流感的状况般：有人说瘟疫是无可避免的，而且我们都会死。很可怕，不是吗？有些人十分惊慌，而其他则保持冷静，希望情况并不会那么糟糕。让用户不停的害怕并且说服他们只有你的产品能够保护他免受任何威胁的确是一个十分精明的理念。用户会买你的反病毒软件，虽然他可能永远碰不上反病毒软件发威的那天，永远也不知道究竟你的产品是如何有效。情况是我们经常需要在其他品牌杀软杀毒后清理剩下成百上千的病毒。


问：我也有安装其他的一些除Dr.Web外的反病毒软件。如果你对电脑查毒并检测到成百上千的病毒，但是他们并没有影响你的工作，那些病毒是否真的像某些厂家描述的那么可怕？


问的很好。答案是不，他们并不可怕。我总是说如果你电脑上没有机密资料，你基本上不需要安装反病毒软件。如果没有东西可以被偷窃或破坏，那会对你电脑造成什么危害呢？呵呵，也许电脑运行速度会慢一点。但是如果这个不影响你工作的话，你基本可以不予理会。如果你只用电脑来玩游戏，你是否真的需要浪费钱来买反病毒软件？但是如果你考虑到电脑上的那些各种密码，那反病毒软件还是有必要的。而且你的电脑可能会被别人操纵来发送LJ邮件，等等。这就像一个人的健康般：如果身体健康强壮，你肯定不想开始吃药。但是很可能你会补充维生素来保持健康。对于最终用户来说，反病毒软件就像一种“维生素”。


在挑选反病毒软件时，不要去参考那些排名因为他们是基于“实验室”测试。他们用一些已经“无效”的病毒来测试各种反病毒软件。每个软件检查到病毒，报告 “发现病毒”然后继续扫描进程。在现实生活中，情况是不同的。你在电脑上工作，登录一个网站——这时你的电脑已经感染了，一些进程突然开始占用70％的系统资源。如果你装了反病毒软件，你会觉得没事。否则就会急忙的买一套。无论哪种反病毒软件——很可能就是那些“业界领袖”的产品。但是世界上仅有少数反病毒软件可以在带毒情况下安装。其他的会因为电脑已经感染而拒绝安装，此时你只能重装系统一切从头开始。所有东西都立刻变得很清楚了。但是没有任何“业界领袖”做过这种测试，虽然有人曾经指出过这个问题，但是他们并不想正视——问题太让他们头疼了。


问：反病毒软件只能检查它“认识”的病毒。现在很多安全厂商都在说着主动防御。


如果你指的是各种行为分析技术或发现潜在威胁进程，Dr.Web从1993年开始就在这方面提出了一系列的解决方案，获了一些奖并且受邀参加CeBIT


问：一些开发商甚至提到会将反病毒功能整合到他们的入侵检测系统/入侵防御系统或软件解决方案中，这样就可以不用单独的反病毒软件了。这可能吗？


不能把他们的话当真。任何复杂的解决方案中，至少其中一个功能会是弱点。今天我们有坦克，有战舰和战斗机，但是我们还有卡拉什尼克夫（AK47）。如果有一个弱点，那病毒就会利用它。而且一个复杂的软件总会有这种漏洞的。开发一个完美的产品是不可能的，特别是基于一些应用面窄，很专业的软件。很少人会问那些专业软件是否足够好。在每一步都尽力保护我们用户的时候，我们也知道事实上我们并无法保证一直保持高质量。我们知道我们只能做到这些和那些。比如我们在保护Unix和Novell上做的比任何人都好。


问：但是如果有些大公司买了那些最好的专业软件并且希望作出一个“完美”的产品呢？


你不可能把每个软件都买下来，但是你可以购买引擎的使用权。如果这对我们和客户都是双赢的话，为什么不呢？我们的引擎是好几个反病毒软件的核心，我们从中获得回报。比如，韩国航空和其他大客户都使用我们的反病毒软件——有着不同外壳包装而已。


问：你对原则的执著似乎是商业上的一道重要障碍。科学利益和商业利益的区分在哪里？


这很难说，实话告诉你，我们经常犯错误拒绝一些认为是无关的东西，然后才意识到我们失去了一次重要机遇。总是这样，有得也有失——这就是生活。


问：那么最大化你的销售呢？


为什么要？设定这样的目标一点也没劲。我们能用那些钱买到什么？有人相信我们可以买到自由。有人会问怎样的自由？如果我们能飞到任何地方，吃喝所想的食物，或者住在我们选择的地方会自由吗？有时候，一个自己播种并收获土豆的人会觉得比上面说的更自由。亚历山大大帝希望在自己下葬时双手向外伸开。在征服了半个世界后，他希望告诉所有人：“看看，我死时没有带走任何东西。”钱钱钱……现在很多人觉得当赚钱时可以抛弃所有东西。难道连一点点的道德规范和价值都不留下？我们对开发自己的技术，和做新的东西有兴趣。我们希望做一些创新的事情。这就是我们的主要价值。