杀毒软件背后的黑幕-如此杀毒!!!

翻开2004年第18期《大众软件》，那个杀毒软件市场占有率排名让我百感交集：毒霸38
％，瑞星29％，Norton14％，KV11％……，不要以为这只是几个简单的数字，这后面有
太多的故事，一时竟不知从何讲起。这样，我们先看看各个杀毒软件的真实能力。（本
文中若未经说明，那么KV就指KV2004，毒霸指增强版，瑞星指2004版,AVP就是卡巴斯基
Kaspersky。另外由于本人向来不用邮件收发工具，所以这里不测邮件杀毒）

一、病毒库

这些年头看过许多评测，有民间的也有媒体的，几乎都是以病毒库是否全面为依据。这
是非常不科学的！暂且不说别的因素，我认为用杀毒软件对一堆病毒木马一通乱杀最后
仅仅以检出率论英雄，是一种对读者不负责的数字游戏。

举两个最简单的例子，你有用过Norton去杀黑洞2004吗？不说别的，就说最有影响力的
0815版，Norton也是怎么杀也杀不出。这完全不是什么巧合，Norton如果杀n年前的经
典木马冰河84，也还是杀得出来的，只是会在隔离区里加上两个字作注释——罕见……

Norton是一个非常典型的例子，因为在杀国产木马方面的问题Norton是最明显的。(有
网友怒斥为“木马白痴”)不过其它的外国杀毒软件也好不了多少，除了那个公认的升
级狂AVP，大家拿手上那帮大马小马自个儿试试吧，保证叫它们死得惨不忍睹。 (据说
当年因为Pc-cillin杀不了CIH的某些国内变种，所以有人就……)当今有多少媒体在吹
Norton这些玩意儿,真是啥都不懂!

就是不算木马，各种国产蠕虫变种也够这帮老外受的，其中最典型的就是Lovgate系列
了。有些用Norton的单位就算是天天更新，也总是不如它的变种来得快，甚至面对有些
n年前的国产病毒，那帮老外也一声不吭。AVP虽然检出率很高,但它的病毒库却有个致
命缺点：经常不能辨认出一个病毒产生的所有文件，或者说得明白一点儿，AVP对于一
台已中了以上病毒的电脑毫无办法，只能干瞪眼！！！于是乎，Lovgate.w（KV认作
Supkp.v）及Lovgate.z等“死而复生”，让许多AVP跟风者无可奈何，也难怪人家一天
有N次更新了，“处理”速度果然快。要知道，我手头上才只有6个Lovgate变种而已！
（号称带毒杀毒？？？法国佬瑞士佬还敢推荐？？？笑话！）“配合”AVP极其恶劣的
实时监控，AVP实际上具有极大的安全隐患！！！看看现在有多少网友一口一声AVP，真
是崇洋媚外过了头。（瑞星好象也有这种问题，但绝对没有这么严重）

AVP的更新速度早就“威名远播”，但本人到处打听，并没有听说太多此方面AVP真正可
以显露出的优势。AVP杀国外病毒木马自然有优势，但面对国内网络环境下的流行病毒
木马并不见得比任何一个非民间的国内杀毒软件强。究其原因，我们可以从AVP的离线
升级包中的说明文件看出个大概：（说明文件中包含更新病毒的名称等）

(a)AVP虽然升级频率快，但一周升级的病毒总数相对于其它杀毒软件并没有特别多的优
势。（除了那个垃圾Norton）

(b)AVP的相对较全的病毒库使得它杀国产木马时比其它任何一个国外杀毒软件都好，但
病毒库中中国的流行木马比重很低。一次更新并不见得会有一个国内能见到的木马。有
些网友吹的所谓AVP“强大的杀木马能力由此而来”是没有根据的。

综上所述AVP实质上的更新效率与效果都最多与国产杀毒软件打个平手。由此我们不难
理解，不论是3小时更新还是号称“全球最全”的病毒库，都不能使AVP在国内的网络环
境下给大家带来比国产杀毒软件更多的保护。它们这些东西顶多就给我们一些心理上的
安慰，别无它物。同时，我本人对“3小时更新”的处理效率深表怀疑，我不认为这样
能彻底处理什么病毒。本人还保留一个看法：每3小时更新的病毒并不一定是这3个小时
接收到的，它们可以是6个小时，9个小时，甚至一天之前接收到的。也就是说，更新数
据与处理接收是交错进行的，AVP对一个病毒真正的反应速度并不见得快。

综上所述，我们只能得到两个结论：1、面对众多国产病毒木马，外国杀毒软件只是一
帮废物；2、以检出率论英雄是一个彻底的错误，因为一个1％可以包含很少的东西，也
可以包含太多的东西，同样的检出率，一个可以杀灰鸽子，一个可以杀Beast或××国
外二线木马；一个杀不干净，一个杀得干净，你会选哪个？

虽然如此，但如果检出率相差太大，那就是另一回事儿了。Norton的病毒库是非常不全
的，尽管在杀木马时与其它国外杀毒软件差不多，但在杀病毒时检出率相差实在太大。
在许多病毒库比较齐全的评测中，（不包括公安部）Norton总是在最后几名徘徊，远远
落在其它老外后面，甚至在有次国外媒体评测时仅给了Norton6.8分，（满分10分，，
AVP9分）简直是……

至于瑞星的病毒库也不是非常好，当年经常在民间评测中与Norton一起垫底，惟有木马
库齐全了许多，所以其杀毒能力可想而知……当然，瑞星现在已经基本解决此问题，不
过还是有一些后遗症。于是有一次，我的一个用瑞星的同学在用Norton扫盘时扫出满盘
的病毒……顺便说一句，当年瑞星2003时人家可是一周一次升级！

在这个方面，一切国外杀毒软件都不合格，它们实在差太远了。

二、杀壳能力（若有谁不知加壳为何物，请买一本最初级的黑客入门书自己看看）

在我看过的评测中，基本上没有哪个把杀壳能力放在眼里的。事实上，没有杀壳能力，
一个杀毒软件在面对木马以及病毒变种时，基本上就成了废物，有谁用马不加壳？有谁
改病毒不换壳？（比如Nimda就有超多仅仅换壳的变种）只要人家有意，你的杀毒软件
一瞬间就可以挂掉。经本人实验，各大杀毒软件杀壳能力如下：

McAfee及大多数国外二流杀毒软件：UPX等少数壳

瑞星：NeoLite，WWWPack

毒霸：无

Norton：无

AVP：大多数流行壳（除了一些应用程序保护壳）

KV：大多数流行壳（除了一些应用程序保护壳）

没有一定杀壳能力的这些杀毒软件会轻易地让你死翘翘的，所以大家今后必须重视杀壳
能力。这也是我对网上众多民间杀毒软件不屑一顾的主要原因。

三、一般清除能力

不得不说，任何一个杀毒软件在清除Autorun.inf这类病毒产生的垃圾文件时效果都不
理想，不过由于在杀毒过后这些文件都成了死链接，所以随便找一个清垃圾文件的软件
就可以了。(KV已解决,但对注册表项关注依然不够)

其实关于一般清除能力，大多数的杀毒软件都差不多，不过倒还是有几个特例：

瑞星总是清不干净自我复制型病毒。在开实时监控且每天一次全盘扫描的情况下，杀
Lovgate（非ae等进程守护的变种）用了2天以上，杀folder.htt病毒用了超过一周时间
也杀不干净，最后只用搜索并删除同名文件却杀干净了！由于folder.htt病毒是单质病
毒，所以跟AVP不同，明显是跳杀现象。

Norton及许多国外杀毒软件则是一见染毒文件就删，实在令人怀疑Symantec的人是否学
过汇编。另外Norton在撞上一个病毒在内存中的进程时，竟经常不会自动关闭，需要你
手动关闭，而其它任何杀毒软件大都有此规则。

四、内存杀毒及DOS杀毒

当今国外杀毒软件基本没有再提供DOS杀毒的了，所以面对dll进程守护式的病毒木马一
般就只能到安全模式下碰运气了，不然你就永世不得翻身了。（AVP例外，它支持基本
的内存扫毒且有写清除病毒的开机脚本的能力,但对lovgate.w及其它某些先于开机脚本
启动的病毒无效）相比之下，毒霸、瑞星、KV都有DOS杀毒能力，只是毒霸杀不了
NTFS，KV可以杀壳。

国产杀毒软件都号称可以内存杀毒，但大都只是实时监控加普通进程关闭的换汤不换
药，杀不了dll进程守护，甚至有毒霸不去检查调用的dll文件，等于一个功能没加，只
有KV一个一个dll地检查，并有查到毒后反复内存清毒及必要时自动开机检查的功能，
dll进程守护的病毒木马基本上都可以挂掉，比如在正常windows下，只要KV本身不被破
坏,不被“及时”干掉进程,那么无须重起便可干掉全系列lovgate。（有时会提示“删
除失败”，但事实上扫完后这个文件一般都已被赶出内存）而且以上两种情况本人都有
在windows下的克制办法。退一步讲，KV的DOS杀毒也是天下第一。我认为，在全世界的
所有杀毒软件中只有KV的可以算有内存杀毒功能，其它的都是吹牛，不信你就捉个经典
的Lovgate的ae及z,w变种试试：AVP可用开机脚本清掉ae变种,此外就算是到安全模式下
KV以外的一切杀毒软件也全是吃鸭蛋,若无DOS杀毒盘,那么你只能到DOS下“自己动手，
丰衣足食”，呵呵：）

五、实时监控

当今的杀毒软件几乎都要吹一吹自己的实时监控，但实话说，没什么稀奇的：一是对进
入内存的程序进行扫描，二是预读。（解压时查毒属于第一项）第一项没啥子稀奇，至
于第二项，国产杀毒软件的速度大幅超过了老外，的确可喜可贺。另外AVP的在很多情
况下实时监控效率都比较低,尤其是面对压缩包时:打开一个带毒的小压缩包后经常可以
一顿饭的时间都不报警，甚至对我故意触发的压缩包中的病毒文件都不报警！！！呕吐
呕吐，在我试过的众多杀毒软件中，AVP的实时监控是倒数第一，第一项的成绩甚至根
本比不上一些早期杀毒软件的实时监控！！！由此我们可以看出,通过压缩包与自解包
传播的爱情后门可以说是专克AVP,尤其是w,z变种,AVP根本就没有招架之功。  
如果你认为这无关紧要，那你就大错特错了。下面让我来教你一招自虐大法：到
hackbase.com去down一个包含3558个病毒的zip包，然后在打开实时监控的情况下一个
个打开这些文件（为了模拟真实情况，请不要用扫描，网上很多人都有此习惯）

事实证明，若不是因为Norton不全的病毒库导致一些病毒扫不出外，AVP以外的杀毒软
件全部都有效地挡住了病毒进入内存，但AVP在同样的情况下却就是不报警。于是乎，
我在试了两个病毒之后马上抱出KV救急……唯一值得庆幸的是，这些病毒大都是DOS病
毒，在windows下就算进了内存也无法破坏。但我们已经可以想象，如果它们都是
windows病毒，AVP是什么下场……

如果有哪位大爷不服，那就请他一个一个试下去，一个一个试下去，试到服了为止。如
果试完后还不服，那我就服了，你的电脑也糊了……

这个实验可以充分增加你对杀毒软件的感性认识，以及爱国热情，因为你必须靠KV的内
存杀毒或其它国产杀毒软件的DOS杀毒来救急。顺便交给那些无畏的AVP献身者一个光荣
的任务：测一测AVP到底有多少个病毒会象本文开头所说的那样杀不干净。

相信经此一折腾，你的电脑安全技术会大有长进。《葵花宝典》说得好：武林称雄，挥
刀自宫……

与之相对的是KV的实时监控技术（即“动态比特滤毒”技术）的强大。为什么我一直在
用Net Transport呢？因为在打开KV文件监控的时候，KV会自动对进入电脑的文件进行
扫描，而不仅仅是内存。如果是带毒的压缩包，KV会在下载结束的一瞬间报警，如果是
EXE或DLL等，那么有时才下载到一半就会报警。另外如果你用Windows搜索时开KV文件
监控，KV会顺带地扫出很多东西，（前提是你硬盘上有）上次我就是忘了这一点，结果
把自己的黑软库一大半倒进了隔离区。

六、杀未知病毒能力

当今的杀毒软件对这一点都“非常重视”；所谓“重视”就是大肆做相关的广告；行为
判断、虚拟机法、智能跟踪……如果这些都是实话，那么面对一个歪壳压的病毒，杀毒
软件们理应报警，但事实上没有一个杀毒软件做到这一点，这些谎言也就不攻自破了。
当今的杀毒软件的防未知病毒机制其实只有启发式扫描，即仅仅是扫描文件中的可疑代
码。也就是说，如果解不了壳，再强的启发式扫描引擎也什么用也没有，由此，KV、
AVP的表现大幅超过了其它的任何一款杀毒软件。在加壳病毒横行的今天，其它的杀毒
软件几乎全是吃鸭蛋。

不论如何，毒霸、瑞星和AVP的误报率都还算比较高，尤其是前两者，几乎只有误报纪
录，毒霸的实时未知病毒检测甚至会干扰到已知病毒检测，而且早期的毒霸6会把
OfficeXP的几乎所有初始模版当作MicroWord.Generic及MicroExcel.Generic“病
毒”，令人叹为观止！Norton与KV到目前为止我也没发现误报，不过Norton的未知病毒
检测也不乍地，只是比毒霸、瑞星强了许多。

不看误报率，只有AVP与KV的能力令人满意，AVP自然不用说，人家可是启发式扫描的鼻
祖，具体能力大家也清楚。事实上KV也是很强的，最经典的例子就是当年的KV3000不升
级就可以挂掉冲击波！不过据说KV未知病毒检出率低于AVP，这也是为达到误报率为0所
必须牺牲的。

此外有一点说明：AVP的所谓iChecker技术不是实时监控技术（晕，AVP的实时监控还能
吹？？），而是未知宏病毒检测技术。这是国内一些弱智媒体的又一个弱智错误。这种
技术在国外恐怕是首创，但国内的VRV与KV早就有了这种技术，而且我认为它们比AVP的
iChecker强得多。（要是我没记错的话这个技术其实是VRV首创。其实国内的杀毒软件
业是很强的，论技术很多都可以在国际上排名次，但是就是毒霸瑞星太废，搅得国内怨
声载道，让某些人片面地对所有国产杀毒软件没信心。）

大家注意，哪怕是KV、AVP，它们杀未知木马的能力也为0，也许它们一向都只是在研究
病毒。

七、速度

首先对毒霸的“闪电扫描”提出质疑：

①有谁愿意为了一点点时间而仅仅去扫某些病毒呢？安全至上呀。

②病毒经常是相互附身一齐出现的，这可是常识呀。

③鬼知道它扫的是哪100个病毒？

“闪电扫描”顶多是一个花哨的噱头，基本上没有人用，大家不必理会它。大多数杀毒
软件速度都差不多，可以接受就行了，不必排先后。不过AVP由于支持杀壳，所以在开
了杀壳后有些情况下速度慢了很多，不过没什么大碍。但瑞星令人实在受不了，慢得甚
至出现了瑞星专杀工具速度跑不过其它许多完整杀毒软件的奇特现象……。KV还是表现
不错，又支持杀壳，速度仍然很快，不能杀壳的毒霸扫再快也无法动摇这一点。

八、集成度

老外们在这儿不得不出局：不支持QQ？Game over！

KV的集成度肯定是最高的：有了动态滤毒，KV等于是支持了一切聊天软件与下载软件，
同时效率最高。

毒霸及网镖在一次死机后图标全会消失不见，极不方便使用。瑞星用DLL进程守护解决
了这个问题，不过同时也带来了无尽的资源占用与冲突问题……

九、压缩格式查杀支持（出于实用，我们只看ZIP与RAR）

KV：普通ZIP、超真空ZIP、RAR

AVP：普通ZIP、超真空ZIP、RAR

毒霸瑞星:普通ZIP、RAR

其它大多数国外二流杀毒软件：普通ZIP

大多数外国人都不用RAR,所以Norton与McAfee等都杀不了RAR。

十、资源占用与冲突：

KV资源占用最小，最多4兆内存，获得广泛好评，AVP则存在争议，我个人认为它还是比
较耗的，在一台奔二上测试时尤其明显，我认为仅次于瑞星。（KAV.EXE进程虽然只占1
兆多内存,但还有一个占十多兆内存的KAVSVC.EXE进程,许多白痴评测机构都把它看漏了
!!这还不算一些庞大的SVCHOST.EXE!!!）Norton毒霸一般般，但开了QQ后Norton资源占
用暴升……瑞星这方面问题极严重，不仅是当之无愧的冲突王，也是万“死”不辞的资
源占用王，有些配置稍逊的电脑在开了瑞星后，(只装瑞星)弹出右键菜单竟需3—5
秒……另外好象有一个说法，就是装了瑞星后装其它杀毒软件,基本上都会起冲突：装
毒霸后不开实时监控系统也爆慢，网上有人把Norton这样装则是根本进不了系统。当然
也有例外，就看你的造化了。

此外纠正一些人单纯用资源占用率来衡量资源占用的做法：你把它们装在586上也是这
个占用率吗？

总评：Norton实在太废，除了公安部和某些菜鸟，几乎是人神共诛，连外国同行都不以
为然。（6.8分，妈呀！）虽然Norton是实时监控的鼻祖，但却不思进取，活该。大家
若一定要崇洋媚外，那就请用AVP，而且你必须用！我一开头就跟大家讲得很清楚，其
他非本土化的杀毒软件的下场嘛……小心自己死在冰河手里……不过话说回来，Norton
的实时监控肯定比AVP强得多了。

毒霸的表现勉强算二流，面对加壳木马还是太嫩了，未知病毒检测更是千万不能开。瑞
星则是我见过的最废的杀毒软件：毒库不比KV毒霸全面，耗资源，易冲突，几乎不杀
壳，速度慢，跳杀！这年头民间防病毒软件非常多，大的有十几兆，小的只有几十KB，
没有一个有跳杀的问题，扫上7天对它们都算神话来的！毫不客气地说，这一点可以让
我们确定，瑞星是全世界最废的杀毒软件——谁不知道跳杀意味着什么？

至于我对KV的评价，也绝不是一家之言。有许多国外媒体都在吹AVP，但这绝不代表AVP
比KV强，因为他们都没见过KV，评测方法也不尽科学（鄙视他们）。惟一的例外是日本
人评了一次，结果大家也知道，KV获胜。当然，AVP也有一点是无可比拟的，就是全球
毒库的齐全度，但对于国内用户来说，在现实生活中AVP这一点基本上用不上，除非你
经常上国外网站。另外由于AVP清一些病毒的极不彻底性，以及天下最废的实时监控，
所以它根本就不能独当一面。在帮朋友修理了几次Lovgate之后，本人已对AVP深痛恶
绝。凭着更强劲的引擎（内存杀毒，动态滤毒，更低的资源占用率，更好的集成度）及
更高的性价比（盗版AVP无法正常升级，正版的要460大洋一个12个月的授权），还有病
毒的彻底清除（！！！），KV理应为中国用户首选，只是还不能作为一个国际性的杀毒
软件。若只论在国内市场，那么AVP完全不能与KV相提并论，它们根本就不在一个档次
上。

AVP在众多网友与白痴评测机构的吹捧下已经成为了一个神话，但这并不能改变其内
质。AVP只是一些不科学的评测的产物：大家看看，我提到的AVP各种严重问题，他们看
到了吗？？？AVP在许多方面都有非常耀眼的闪光点，有许多东西甚至是无可争议的天
下第一，但总体表现非常……就好比是世界短跑冠军断了两只手吧。以目前我能接触到
的国外杀毒软件而言，总体表现最好的是McAfee，至少人家杀国内木马的表现在国外杀
毒软件中差不多是仅次于AVP，其它方面也不差。  
本人今天来打破AVP的神话，就是让大家来看看什么叫谣言可畏！同时，国人之心态，
由AVP可见一斑。

我个人认为，本篇评测，是当今世界上最科学的评测之一，不是因为我吹牛，只是因为
他们的都太不科学！

1．一个评测如果只看重病毒库，那么只说明这帮白痴压根儿就不知道木马加壳术，不
认可加壳后的无敌木马的危险性，看不到AVP脆弱的实时监控,甚至连瑞星的跳杀问题都
看不到！

2．一个杀毒软件的能力是并非一个数字可以代表得了，正如水浒英雄的能力并非那些
“水浒人物卡”上的有限的几个数字可以代表的，另外国外杀毒软件杀国产木马的狼狈
相和评测时得到的检出率及分数完成不成比例，也能很好地说明这一点。一个真正合格
的评测应该是把各个杀毒软件的优点缺点都列出来，让读者自己去按自己的需要来判
断，最多分不同情况给它们简单排排名。

3．一个评测如果只是泛泛而谈，而不分出杀毒软件的优劣高下，这只能说明这是一个
广告大串联，而不是什么评测。本评测中出现KV一边倒的局面并不能说明本人的方法不
科学，反倒说明其它的评测根本算不上评测。

4．如果一个检出率测试测的不是已触发的病毒，那么谁能看出AVP是否有病毒文件查不
尽清不完的问题呢？？？

5．最重要的一点，本评测一切论据与细节都是公开的。（比如病毒名称，评价原因）
就算去除一些口说无凭的个人经验，只剩下大家可以自己操作自己实践的部分，大家仍
会得到同样的结论。本评测的真实性无可怀疑正基于此，大家尽可乱试。

(公安部的评测标准: http://www.antivirus-china.org.cn/head/jianyanbzh.htm,先
不说别的,看看道貌岸然的它有多么不科学!大家不要上当!!!)

论杀毒软件，本人坚决推荐KV，这是有事实根据的。不过如此评测结果，难免被骂为
“枪手”。（而且往往是被一帮事实上并没用过KV的人骂）如果真是这样，这事就暂时
搁到这儿，因为除了打破AVP的神话以及痛骂国外杀毒软件，本人真正想讲的其它东西
都在下面。

我认为，如果压在KV头上的是AVP，我们还好商量，但我们可以看到，排在KV之前的尽
是些垃圾：毒霸、瑞星和Norton。它们的流行与中国人随波逐流、轻信广告、做事不细
究这些毛病都有关，这自然不用说，但我认为最重要的原因就是公安部的评测。我就因
此深受其害，当年买了个毒霸回家。

(现在它自己的网站上已经没有这个东西了,但以前有许多电脑报刊登过)公安部的评分
是这样的：毒霸95，瑞星95，KV90，Norton85，其它的杀毒软件依次列在后面。所谓检
出率则是（把所谓“一般病毒库”和“特殊格式病毒库”一起算）：毒霸100％，瑞星
100％，KV100％，Norton9x％，依此类推。

实话实说，公安部的评测是我见过的最假的评测，也是最害人的，因为它影响力最大，
随便就可以扯出一大堆疑点：
1．KV那么强的引擎，凭什么排在毒霸、瑞星后面？如果说毒霸、瑞星恰好撞上比较
“适合”自己的病毒库，那还好说。但既然检出率都是100％，其它性能KV则是全面超
越毒霸、瑞星，凭什么KV要比人家低5分？难道KV的清除能力有问题？就算他们通过某
种“方法”得到这个结论，那么这种“方法”如何会看不到瑞星的漏杀？？？

2．作为史上最废的杀毒软件，独一无二的冲突王、资源王、跳杀王，瑞星凭什么遥遥
领先，并列第一？

3．作为国内市场中病毒库最不全的杀毒软件，作为一个在民间评测与国外媒体评测中
屡次垫底的杀毒软件，Norton凭什么比McAfee、PC—cillin、Panda甚至国产的安全之
星与行天这些家伙的分数与检出率高？大家记住Norton当年的分数：6.8分！（这几年
Norton除了界面还有变化么？没有！）退一万步讲，McAfee在国际上也是公认的比
Norton强嘛。

4．凭什么大名鼎鼎的AVP不参加评测？依我看，以他们的“方法”，AVP有什么问题他
们也看不出，说不定还给个95分呢，所以为了“国产软件大业”嘛……

5．凭什么公安部几乎只看病毒库？虽然民间评测有这样的，但官方评测从来都不是这
样的。

7．凭什么公安部全盘都在暗箱操作而不说明各个杀毒软件的具体检测结果？

8．凭什么会出现三个杀毒软件同时得到100％检出率的情况？全世界的杀毒软件评测，
根本就没出现过这种情况。要么就是公安部病毒太不全，要么就是人家想搞“民族产业
振兴”。

9．就算按公安部自己的标准来，早期的毒霸6极高的误报率在我这儿也是完全不合格
的，怎么会有一级品之称？！？！？！

……

疑点多到了让人几乎可以窒息的程度。研究一下中国杀毒软件的历史，发现公安部评测
实在害人。

众所周知，KV是早期中国最著名的杀毒软件，一度市场占有率遥遥领先，今天却落到了
这个地步，难道是技术问题？KV的病毒库一直是全国最全的几个之一，未知病毒查杀在
国内更是无可匹敌，而且早在KVW3000（2000年产品，一代经典）时代就可以杀UPX、
Aspack及WWWPack、PKLITE、LZEXE这些壳，恐怕当时只有AVP称得上对手。虽然对
Win2000支持不好，但当时又有多少人用Win2000呢？那时KV的UI的确很差，但有些人认
为KV那时用的是KV300的引擎，则纯粹是以貌取人，上面说得非常清楚。然而公安部从
那时起便不给KV好脸色看，KV于是便一落千丈，落得今天这个地步。（硬盘炸弹固然也
是一个原因，但公安部做的可是评测，而不是历史清算！）可是直到现在，毒霸、瑞星
除了支持NT内核操作系统上的实时监控，几乎什么都比不上当年的KVW3000，足以证明
公安部评测的胡闹与破坏性。前面说了，KV的文件监控本来就可以达到QQ、UC、POPO等
防毒功能，今天却在KV2005中特意“加上”相关功能，不得不说是一种无奈。

KV的下场并非最惨的。有些人可能还记得当年有一个很著名的杀毒软件——行天。行天
虽没有KV的强大引擎，但病毒之全实在是出类拔萃，几乎一直是全国第一，而其它的任
何方面也不逊于毒霸，跳杀的瑞星更是不用说。安全之星XP（VRV）也一样，至少人家
当年比瑞星毒库全，速度快，又没跳杀问题嘛。可是就是这样两个杀毒软件如今却销声
匿迹，公安部显然脱不了干系。
在这样一个节骨眼儿上，我不得不为KV说话——如果KV哪一天像行天VRV一样被整垮，
我们中国还有什么可以拿得出手的杀毒软件？我们如何面对微软的进军？我们如何面对
今后出现的彻底本土化的国外杀毒软件？网民们轻易相信广告固然是个原因，但如果没
有公安部的评测，网民们会这样吗？

一切疑点表明，公安部评测甚至连乱测乱评都不是，它有非常非常强的倾向性，是明显
经过人工操纵的非常明显的作弊行为！毫无疑问，这后面还有太多的故事、太多的后
台、太多的黑幕、太多的权钱交易、太多的无耻。具体是谁在操纵，我也不知道，也没
办法知道。我只知道，它让三个垃圾占领了中国80％以上的杀毒软件市场。如果说这是
一场骗局，那就是一场几十亿几百亿的骗局！

公安部固然要负主要责任，但虚假广告照样脱不了干系。

瑞星的瞎吹倒不多，但也不是没有：“第五代国际领先可扩展引擎”——作呕！不过瑞
星还算是比较“谦虚”的，比如防未知病毒能力就只敢加个“瑞星专利”作形容词，
“清除病毒”之前就不敢加个“彻底”，算有自知之明。

Norton倒没做广告，到底是怎么流行的，除了OEM大家也清楚：谣言可畏啊！

最最最最无耻的就是金山了，实在是令人发指！不信请看：

1、把你的金山毒霸包装翻到背面，一条一条地看：（以下各条结合了毒霸V、6及增强
版“安全组合装”的包装背面）

①“病毒处理速度＞＞病毒传播速度”这显然是瞎吹，AVP也做不到。

②“网页防毒，有效拦截……”这年头窗口炸弹写法也就几种，随便一找就找到一个毒
霸杀不出的，（KV与Norton都杀得出）至于广告拦截更是效果几乎为0。你敢用这玩意
儿拦网页木马吗？想想当年金山在IE上大做文章，什么“蓝色杀毒革命”呀，什么“应
用程序for IE”呀，TNND全是造谣，不就加了几个按钮几个图标嘛！！

③“闪电杀毒”前面也说了，花哨的垃圾。

④“双引擎杀毒”金山的说法是：国际引擎是AVP的。懂一点杀毒软件的人都知道，双
重过滤分析是100％不可能实现的，否则毒霸耗的资源肯定不止那么多，速度也不可能
那么快，再说AVP已经可以算是“极耗”的范畴了。隐含的国际杀毒引擎杀国际病毒效
果好的说法更是有违常识。同时，不能杀壳，不能杀RAR（指所谓增强版之前），脚本
拦截与杀未知病毒极烂，这根本不是AVP的作风，去掉了它们，AVP根本不能称之为
AVP。再说AVP风头正盛，哪会干出这种卖引擎的傻事？（不管怎么说，AVP还是有许多
值得肯定的地方，这点比毒霸瑞星强多了。）

依我看，有三种可能：

（a）金山只买了一小部分引擎，不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒，
等于没买。

（b）金山只买了一个老版本的AVP引擎，不能杀壳不能杀RAR不能杀窗口炸弹不能杀未
知病毒，等于没买。这还是有可能的，因为毒霸老早就在吹它，时至今日，甚至懒得用
一个“全新”作修饰。如果真是这样，我倒想给金山提个建议：买一个KV300的引擎，
然后就可以号称集成了KV的引擎了……

（c）金山仅仅买了个名号，不能杀壳不能杀RAR不能杀窗口炸弹不能杀未知病毒（废
话），这就是真的没买了。

这三条说到底就是没买嘛。

⑤压缩格式查杀：别的我没追究，反正金山号称可以杀RAR很久了，但直到推出增强版
时才兑现，实在无耻。这个不用多说，大家一试便知。

⑥内存杀毒：前面的评测里讲得很清楚，不用多说，反正很多人都有毒霸报警却发现狂
点也清不了毒的经历。不能内存杀毒也罢，金山竟敢再加一句“带毒杀毒技术，无需启
动到DOS状态，直接在Windows环境下清除病毒”，真是厚颜无耻。每当我向金山售后服
务问起这个问题，人家都抛下一句话：“你到DOS下面去吧”。可你要知道，毒霸DOS版
杀不了NTFS呀！

⑦硬盘修复：修复CIH与Opasoft造成的破坏我倒没话说，虽然我没试过，但号称修复
Hdbreaker造成的破坏就肯定是胡扯了，实在是不自量力，我甚至怀疑这帮蠢货有没有
见过Hdbreaker的威力。如果大家嫌自己的电脑里全是垃圾，也可以试试，反正我是很
想在金山的每台电脑里都放上一个Aspack加壳的Hdbreaker，效果决不亚于当年的硬盘
炸弹！！！

顺便骂骂网镖：

①作为一个规则过滤式_blank">防火墙，规则设定选项是它的灵魂。网镖的规则设定选项直到今
天也是最少最不全的，连设置繁琐的瑞星_blank">防火墙都比不上，还敢叫“个人专业_blank">防火墙”
？我宁可用Windows自带的_blank">防火墙。

③很多人都知道，新网镖有一个“功能”，可以自动拦截木马并报警。这功能看来似乎
有用，但实际上是屁用没有。试想一下，网镖可以准确地报出木马名称，这肯定是人家
动用了毒霸的引擎杀出的已知木马。要杀便杀，金山却多此一举，实在无聊至极，是明
显的作秀行为。（大家注意，当年网镖是可以单独买的，但你现在则只能买“安全组合
装”，明白我的意思了吗？）

④金山网镖几乎是一周升级一次，但相信没有人发现过其中有什么变化，肯定是假升
级。惟一的例外就是某次升级后，网镖会对冲击波报警，可我等早就打了补丁，要它作
甚？可是这个“内建规则”哪里都没法把它关掉，只好让它产生一堆垃圾日志。

大家如果要用规则过滤式_blank">防火墙，那就用天网，试用版也行。如果你不嫌麻烦，那就用
BlackICE。不论如何，就是不要用网镖，又花钱又受罪。

3．有了以上几条，金山也仍然不能在众多骗子公司中“出类拔萃”，不过这一条可以
改变这一点。

众所周知，毒霸6增强版加强了杀木马能力，号称可以增加查杀15000种木马。可是大家
是否想过，这多出来的15000种木马是从哪儿来的？是从地里冒出来的还是从天上掉下
来的？显然都不是，金山获得木马的途径只可能是来自上报。这也意味着金山扣押了大
量的上报木马，以便进行这样一次市场炒作。本人这个说法绝非口说无凭，因为我与我
的许多朋友都有相关的体会：（其实根本就不用说这么多，金山自己的广告就够了，自
己仔细看吧）  

①半年多以前，自己在电脑里抓了好几个木马，毒霸杀不出，便去上报。结果金山回
E—mail说已有人上报，要我等。我留了个心眼，过了几周便把它们拿出来杀杀，可是
毒霸一直不报警。这几个文件我已经弄丢了，但我希望那些给金山上报过木马的人把上
报的木马用未升到增强版的毒霸杀杀看，相信结果很多都是一样的。

②我有几个用毒霸的同学，在升到增强版后的那几分钟，电脑竟不约而同地报警说发现
木马。由于各种条件的限制，我只能搞到一个样本，不过相信这种情况一定为数不少。
大家千万不能上金山的当，像我那几个同学一样，还以为增强版的能力很强呢。

不管怎么说，毒霸的木马专杀本来就垃圾。木马专杀仅仅可以检查EXE关联与
win.ini,winstart.bat以及system.ini，比民间的“木马分析专家”差了几千倍，不能
杀壳更是让木马专杀成为了废物，加上扣押的15000种木马后，病毒库齐全度才达到KV
瑞星的水平。

“木马专杀”肯定是一个蓄谋已久的阴谋：全球每天才诞生200种病毒木马，就算它们
全是木马，就算它们全部被金山收集到，那金山收集15000种木马也需要2个半月……而
现在金山更是把15000改为了20000，所以……当然，金山不会傻到把冰河灰鸽子这些木
马扣押的，否则就露馅儿了。

如此毒霸，名为“毒霸”，实为毒王！！！

不得不承认，金山公司在国人心中的地位的确很高，但那仅仅是因为人家最早出现，而
这并不能说明人家的产品好、信誉好，那只是国人的想当然。在雷军上台的这几年，金
山广告的确做得很火，但软件的技术几乎没有长进。这就不止网镖毒霸了：金山词霸
2005仅仅是2003与2002版换了个界面与发音库，词条中的错误却几乎一个也没改；金山
快译虽号称智能引擎，但翻译效果却一直未超过Office2003，而且是差很远，几乎只相
当于把一堆词拼揍起来，据网友说，金山快译2005会把“Counter—strike”译成“计
算机罢工”——妈呀，人家就是翻译成“柜台罢工”，我都不会介意的，可是
“Counter”怎么跟计算机扯上关联了？至于WPS，我认为也没什么好说的：WPS花哨的
功能越来越多，可是时至今日，WPS仍未实现电子表格中数据同步变换的功能，（即改
一个数据，相关数据自动完成更改，这个功能是必备的）仍然需要大家自己一个个手动
更改。而此功能在Office里面早已实现，这很是说明问题。(最近科技部作办公软件评
测,WPS更是远远落在永中Office的后面)

上面的这几个说法并非本人首创，它们全都是网上已有的说法。（杀毒软件以外的我都
没那么懂）综合起来，大家便可轻易看出金山的底细。依我看，金山唯一拿得出手的恐
怕只有金山游侠了。

当今骗子公司虽多，但也没有任何一个有金山这样明目张胆地坑人的，尤其是“木马专
杀”一事，炒作疯狂，全国媒体一齐尽献媚词，其设局构思更是伟大到了史无前例的地
步，那个大名鼎鼎的网E拍又算哪根葱？知道有人会想说当年江民的硬盘炸弹事件，那
的确也是一个非常恶劣的行为，欠扁！但那毕竟只是针对盗版用户的行为，（我没说这
是合理的）而金山则是拿众多信赖金山的正版用户开刀，论动机金山显然更加无耻。硬
盘炸弹事件早已被公布于世，金山的“木马专杀”事件更应被公开在光天化日之下！！
！

但是，大家不要忘了，以上一切的一切，如果没有IT媒体的撑腰，都是不会发生的。大
家不要把当今的媒体看得多神圣，多有光彩。人家不是搞舆论监督的，搞舆论监督的也
不懂电脑。当今的IT媒体在面对谎言时，从来都没有打过头阵，从来都只是论坛的跟风
者：3721、网E拍，它们全都是在网上论坛被骂得一塌胡涂的情况下才有媒体出来说
话，很多媒体更是直等到3721推出新版上网助手才出场，趁此机会做“评测”说3721根
本没卸载方面的问题。（鬼知道这年头他们收了多少金山瑞星的广告费？）甚至听一些
老网民说，当年有媒体对江民硬盘炸弹一类的重大事件提都不提……“多说好话，少说
坏话”，这无形中已成为了国内IT媒体的做事准则。

当金山瑞星“论战”之时，他们几乎是一言不发。不要以为这是什么“清高”或是“公
正”，在金山瑞星无数漏洞百出，毫无水平的“论词”面前，真正丢脸的应该是他们，
这种无作为对于一个真正的媒体来说就是同流合污。这些年头，他们又不分青红皂白地
给了毒霸瑞星AVP及Norton等多少虚名妄词，多少沾着读者血汗钱的“编辑选择奖”。
试问天下谁是真枪手？他们才是！

上文中有许多发现其实并不是我的原创，像瑞星漏杀问题在有些论坛上早已有人提出，
可是时至今日，仍没有媒体敢提上半个字，足以证明他们的懦弱与“敬业”。本文中可
能有许多东西你闻所未闻，也正是出于他们的“消息封锁”。比如说吧，当那些黑客杂
志与论坛整天在兴高采烈地介绍与讨论各种加壳技术之时，他们也兴高采烈地作着几乎
只看病毒库的“评测”……真不害臊！

看看他们干了些什么吧，整天仅仅是唱唱瑞星给它们的那首老歌：“半个月以来，病毒
A和病毒B这两个病毒值得注意。病毒A试图/会/除了会××××。病毒B（则）试图/会/
除了

会××××。可以上网的用户推荐采用在线杀毒方式，快速查杀这些病毒，也可以使用
单机杀毒软件2004版，局域网用户最好能使用瑞星杀毒软件网络版来彻底清除这些病
毒。《瑞星在线杀毒》无需升级、《瑞星杀毒软件2004版》和《瑞星杀毒软件2004下载
版》每工作日常规升级，遇紧急病毒第一时间提供解决方案，每周升级的新病毒总数不
少于400个！截止到×月底瑞星杀毒软件将升级至××.××版本，望广大用户及时升
级。如遇病毒，请拨打反病毒急救电话：010—82678800或使用瑞星在线杀毒：http：
file://online.rising.com.cn”这堆破玩意儿对我们有何用?

毒霸瑞星的地位并不是真刀真枪地干出来的，它们靠的是无尽的谎言：媒体的谎言，公
安部（本人只指搞“评测”的某些吃里扒外的卖国贼）的谎言，它们自己的谎言……这
早已超出了正常的市场运作的范畴，颇有中国传统的“官官相护”之形。依靠这些谎
言，昔日的小混混今天却成了龙头老大，可技术并不见得有何长进。在真正科学的评测
中，它们自会原形毕露。这正是看似简单的杀毒软件背后不可告人的黑幕。杀毒软件谁
强谁弱本是件小事儿，但这些却是中国永世的耻辱！！！！！！！