瑞星工程师2009开发手记一,为什么瑞星不对冰刃做攻防
从瑞星2008版开始,大家最关注的是“主动防御”功能,与此有关的负面评论中,最集中的就是瑞星不能拦截冰刃或狙剑,现在09公测了,好像大家对这个问题依然重视。那么,瑞星真的这么弱么,别人一两年前就能做到的,瑞星却做不到?被冰刃过,是不是意味着瑞星很弱?
在我们开发2009之初,也讨论过这个问题。最终的结论是,瑞星不会对冰刃、狙剑等安全工具做攻防,就算继续被别人指指点点,瑞星的工程师也坚持做自己认为对的事情。
1、像冰刃、狙剑这种安全工具结束进程时,并不是直接去结束进程,换句话说不像大家看到的这么简单。Windows系统下的所有操作,都是通过对象形式进行的,例如:窗口、文件、个体。这类安全工具都是通过更底层的系统内部函数,如:结束系统对象来实现的,通过先打开要结束进程的对象,再进行结束对象的操作。瑞星如果要拦截此类操作,首先要检测打开对自身程序进行打开或删除的对象,然后再拦截其的打开或删除对象的操作。如果拦截冰刃和狙剑,会严重影响电脑资源占用率、拖慢机器。在一些老机器上效果相当明显,我们目前还保留着一台老机器用于诸如此类的测试,特别是这种在速度方面的差距影响。如果使用该方式必然会使用驱动技术,在同级对抗中是没有意义的。
2、无论是病毒或者是安全工具,同级代码之间的对抗,胜利者永远是后出招的,谁在明处谁倒霉。病毒或安全工具放出驱动后,与瑞星的驱动进行对抗,如果要保持对抗的优势,就必须频繁分析对方的招数并升级,双方这样频繁的升级,对于用户电脑安全而言,没有半点好处。 如果我们把冰刃干掉,那么冰刃会不会为了“技术的尊严”针对我们做优化,然后我们再研究新的破解之道……?
3、从另外的角度上说,瑞星是杀毒软件,杀毒软件为什么要拦截安全工具呢?安全工具又为什么要关闭杀毒软件呢?花时间花精力浪费用户的系统资源去对抗别的安全工具,除了显摆自己的技术强,还有别的意义么?瑞星2009真正要做的,是帮助用户解决病毒和黑客攻击的问题,而不是和安全工具较劲。
4、有人说瑞星工程师太拧,没办法,整天跟病毒还折腾不过来呢,时间、精力都是有限的,还有许许多多该做的事情没做呢。因此,如果谁要说某个病毒过了瑞星,我们会非常重视,马上研究、处理;如果谁要说冰刃、狙剑等安全工具过了瑞星,那就让他过吧。
总之,不能把能不能放过冰刃啊、狙剑啊这类安全工具作为评判杀毒软件好坏的标准,我们应该把眼光放的更远一点儿。真正好的杀毒软件是能够保护用户电脑安全的。不管我们做得好不好,至少我们是这么想的,因此在09版中,我们的策略是拦截、防御和查杀。
在和病毒的对攻中,没有一款杀毒软件可以保证100%地干掉对方;也没有一款杀毒软件可以100%地截获并处理病毒,那么,为什么我们不把病毒拦截在电脑之外呢?一旦它进入电脑了,那么能不能及时截获并分析处理、能不能把病毒干掉,都是两说的事情。因此,与其关注瑞星09能不能被冰刃过,不如关注我们的“木马入侵拦截(网站入侵和U盘入侵)”,要知道目前90%以上的木马和病毒,都是通过挂马的方式感染用户电脑的。
瑞星工程师12 最后编辑于 2008-09-25 17:11:36
