瑞星的彻底批判,一只老甲鱼的末路狂奔
一、这年头就怕流氓有文化
二、瑞星的技术如何
三、瑞星的市场是如何做的
四、不断说谎的瑞星
五、不务正业,尽搞无赖公关
六、爬向生命终点
一、这年头就怕流氓有文化
问:流氓不可怕,就怕流氓有文化是什么意思?
答:一个没文化的流氓造势只能影响小范围,而流氓有了文化文化一旦形成将会影响整个社会!因为流氓多半是无理取闹,你完全可以据理力争,可流氓有了文化,就能把无理的说成有理的,没准儿还说得头头是道,让你无法与其斗争,所以流氓有了文化就很可怕。
近日,先是闹出诺顿把windows系统的两个底层相关的系统文件当病毒杀掉,造成用户操作系统蓝屏瘫痪的现象,本来杀毒软件杀错的事情也是很常见,在徽剑的记忆中,好像大多杀毒软件都这样的洋相。
但是这一次不同了,看看报道:
“5月18日,诺顿杀毒软件升级病毒库后,会把Windows XP系统的关键系统文件当作病毒清除,重启后系统将会瘫痪。瑞星公司表示,截至中午12点已有超过7千名个人用户和近百家企业用户向瑞星客户服务中心求助,更多用户由于系统繁忙无法打入电话。”
“5月19日,赛门铁克官方发表声明,并提出了解决问题的方法,确认是诺顿杀毒软件误删除XP系统文件导致系统崩溃,。声明中称,5月17日的更新程序错误地把微软简体中文Windows XP 中的2个系统文件当作木马程序进行了删除,从而造成Windows系统在重启后无法运行。并称在北京时间5月18日下午2:30已发布了LiveUpdate更新定义来更正这一事件。在错误检测后没有重新启动Windows系统的用户可以通过应用LiveUpdate的更新定义来解决这一问题。”
有评论说:诺顿杀毒软件“枪支走火”后,面对残局束手无策,当赛门铁克公司还没有反应过来的时候,国内三大杀毒公司江民、瑞星、金山公司却早已抢先一步,你一个声明,我一个公告,帮助这位昔日国际强敌,今日落难同行收拾残局。
这几天,各大IT网站就这个话题争论不休,特别是瑞星的枪手,几乎是遍地开花、上窜下跳。而几大公司的声明同时,也不免捎带说上几句自己产品的好话,不过到目前为止还没有哪一家敢附上“我公司产品绝对不会误杀”的字样!
不过很有意思的是,有人说:诺顿“误杀”用户为什么没有想到给赛门铁克打电话投诉,倒想起给其他杀毒公司打电话求救呢?
徽剑问一下:你买了戴尔的电脑出了问题,你会打电话给联想,问问如何处理吗?
由于瑞星是这次跳的最厉害的,这里就分析一下瑞星,看看瑞星的“光辉历史”。
二、瑞星的技术如何
先给一般人说说杀毒软件的技术知识,为了下面分析瑞星做点技术铺垫。
看一个杀毒软件的好坏,要看它真正能够识别病毒的能力,过去单纯通过病毒特征库的严格比对,来判别病毒的杀毒方式总是会慢半拍。因此用户只得无奈的把杀软的落后杀毒方式比喻成“过期药”。经过多年来杀毒软件厂商不断技术研发和杀软产品一次又一次的更新换代,以主动防御功能为主要特征的新一代防病毒体系已经完全确立了起来,相应地各主流杀毒软件厂商也都围绕着“主动防御”使出了各自的看家本领。
启发杀毒技术就是“主动防御”中的一种,是现在对付未知威胁的主要手段。启发杀毒技术中最先进的动态启发分析技术会将应用程序的编码复制到杀毒软件的模拟缓冲区中,并使用特别的“技巧”模拟其执行。若在“模拟执行”中检测到可疑的动作,该程序将被归类为危险程序,并立即拦截。不同于以特征码为基础的方法,启发杀毒技术可以检测出已知和未知的病毒,但是如果启发杀毒技术控制的不好,会产生不少误报,这也是当前一些以启发著名的杀毒软件一直无法得到大型企业认可的原因。
从2006年开始,行为杀毒技术逐渐风行,行为杀毒工具是在应用程序执行时分析其行为,并拦截任何可能危险活动的行为。行为杀毒是在实际系统的环境中运作,所以被病毒欺骗的可能性几乎没有。先进的行为杀毒技术还甚至可以在未知的程序执行恶意活动后,恢复变更,借以还原系统至感染前的状态。
虚拟机技术在杀毒软件中现在也有非常多的运用,特别是在启发杀毒技术中,一些启发技术比较成熟的杀毒软件都在他们动态启发杀毒技术中运用了虚拟机技术。有统计数据显示,2约有90%以上是“加壳”病毒。所谓“加壳”,就是给恶性病毒包上杀毒软件难以识别的外壳,某些病毒甚至加了近10层外壳,如果用常规的解壳杀毒技术,很难彻底地层层解壳,并最终清除该病毒。虚拟机技术就是用软件先虚拟一套运行环境,让病毒先在该虚拟环境下运行,从而观察病毒的执行过程。这样,杀毒软件就可以在其“现出原形”之后通过特征码查毒法对其进行查杀。但是现在一些设计先进的病毒,能够识别出这种简化虚拟机环境和真实环境的差别,在这种环境下不发作!
据反病毒专家介绍:
虚拟机并不是新技术,目前微软、JAVA等虚拟机都已经十分成熟,在一台电脑上安装一个虚拟机和多个操作系统,已经成为许多评测人员和计算机病毒分析人员必需工作条件。而将虚拟机技术应用到杀毒方面,却是一个杀毒业界一直在追求和探索的课题。解决虚拟机技术至少应解决两大难题:
一是虚拟机技术面临的一个最大的难题就是如何解决资源占用问题,如果全部应用虚拟机技术话,分析一个加壳病毒需要3到5分钟的时间,而目前电脑中许多压缩加壳的文件,光分析这些文件耗用的时间和占用的资源,就足够成为一个很有耐心的人放弃这款杀毒软件理由了,目前国际上主流的杀毒厂商对应用虚拟机技术都比较保守,毕竟不能因为杀毒拖垮用户的电脑。
二是如果判断病毒标准的问题。尽管根据病毒定义而确立的 “传染”标准是明确的,但是,这个标准却是模糊的。一是要仿真传染条件,哪些条件感染病毒,怎样制造传播条件?如系统日期、感染对象的文件名等等,二是这个分析是通过动态执行分支屡试呢,还是通过返回头进行静态的指令过程分析?如果杀毒软件以病毒传染性标准定义作为判断标准的话?
所以,虽然许多人对特征码技术持有不同的看法,但是在很长一段时间内,特征码仍然是主要的杀毒技术,虚拟机技术只能起到补充和辅助的作用。通过以上分析可以看出,目前的杀毒软件中都包含了两种以上的技术,因为这些技术都在各自的领域有所专长,谁也不能完全取代谁,谁也不能做到能查杀所有病毒,必须互为补充。
上面介绍了杀毒软件的大致技术,这里来看看瑞星:
“12月5日,国内最大的信息安全厂商瑞星召开盛大的发布会,隆重推出年度旗舰级新品——“瑞星杀毒软件2007版”,该产品在全球安全业界首次将商用“虚拟机”技术应用到杀毒引擎中,结合Startup Scan(抢先杀毒)、未知病毒查杀等技术,对“多重加壳”等恶性顽固病毒的查杀能力实现重大突破,整体技术处于世界先进水平。”
新一代虚拟机脱壳引擎,瑞星公司宣称是历时4年研发出来的第八代引擎,不过这里很搞笑,难道瑞星一年可以出两代产品,不知道他们是怎么分代的,难道瑞星的技术进步神速?
先来看一下瑞星是如何吹嘘所谓的“Startup Scan独占式抢先杀毒技术”:
“碎甲技术击溃Rootkits,彻底清除顽固病毒,Rootkits是一种病毒编写技术,它像一层铠甲,将自身及指定的文件保护起来,使其它软件无法发现、修改或删除这些文件。目前,越来越多的流氓软件已开始采用此种技术进行自我保护。带有Rootkits的流氓软件和病毒就像练就了“金钟罩”、“铁布衫”,不除去这种保护伞,各种杀毒软件都无法对其进行彻底清除。瑞星公司经过对数百个Rootkits工具、使用该技术的病毒,流氓软件以及Windows驱动加载方式分析,并进行大量试验后,最终找到了一种高效的通用解决方法,并将其命名为“碎甲(Anti-Rootkits)”技术。“碎甲”技术通过对Windows驱动程序加载点进行拦截,当发现Rootkits时自动使其保护功能失效,就象穿甲弹击碎盔甲一样。目前,此技术可以有效对付600余种Rootkits,并且当有新的Rootkits出现时能够迅速地进行升级处理。”
事实上,rootkits 是一堆能窃取密码,监听网络流量,留下后门等的程序集,如果入侵者在系统中成功植入 rootkits ,一般人将很难发现已经被入侵,或是只是觉得系统“怪怪的”,却不知道哪边出了问题,而对于入侵者来说,将能轻易控制系统,而且通行无阻。Rootkit其实就是在WINDOWS启动时加载比较早的功能模块,WINDOWS的驱动程序就是应用的这种技术,既然瑞星可以提前加载,也就是使用的Rootkit技术。
一个关键的问题就是能保证能在病毒之前加载?相信很多人都遇到过杀毒软件被病毒禁止运行的时候吧?这就是病毒抢先运行了。这并不是什么世界领先技术,连流氓软件都用到这个技术了,看来瑞星还没有流氓软件使用的技术先进。
瑞星标榜自己的防火墙规则是多么多么丰富,其实,规则越多防火墙性能越差,比如瑞星每次上网,不断报告XX用户试图连接本机XX端口,该包已被拦截,每时每刻都在拦截信息,哪有这么多黑客会盯着你,其实有这么多规则顶用么?规则一多上网速度就越慢,每个探测端口的信息防火墙就要用近千条规则去衡量,神经啊
至于瑞星吹嘘的全球首创“虚拟机”技术,前面已经分析过了,首先,这项技术瑞星不是第一个使用,而且这项技术目前远没有到成熟的阶段,世界上没有那个杀毒厂商敢于真正全面引用,这里徽剑估计,如果瑞星的真的全面应用真正意义的“虚拟机”,那么你的CPU跑10GHZ也没什么用。因为全面应用真正意义的“虚拟机”杀毒,对于计算机系统性能的要求提高了成百上千倍。
三、瑞星的市场是如何做的
瑞星总是很得意以国内老大自居,那么我们来看看瑞星是如何做大市场的吧。
瑞星从当初只剩10万资金,同时还欠着15万广告费的窘境,到现今占据国内杀毒市场60%以上的份额的壮观。甚至于人们一提到病毒,就联想到瑞星。这个奇迹是谁创造的?是一个叫刘旭的。
有人说:瑞星的成就,或许对刘旭来说,是幸运的,但老天偏偏爱和他开玩笑,从一手成就瑞星的奇迹,再到被瑞星的原始出资人,一个卑鄙的商人王莘过河拆桥,再到自主研发的微点主动防御软件遭到官商勾结的封杀,这一路走来,或许刘旭已经不会感到幸运了,为他人做嫁衣,恩将仇报,这类事情发生在任何一个人身上,都是一种不幸…
为瑞星立下汗马功劳的刘旭被排挤出瑞星后,成立了自己的微点公司,推出了自己的杀毒软件,2005年6月21日,刘旭向北京市公安局公提出了备案申请。这个程序基本上都是第二天就完成了。结果网监处不仅不予备案,反而以“反病毒公司资质调查”、“未采取安全技术防范措施”为由,开始了对东方微点公司的调查。更为恶劣的是,在未出具任何合法手续的情况下,电脑竟被在光天化日之下直接送到了竞争对手——瑞星软件公司那里。网监处还给国家病毒防治产品检测中心发公函,要求其对微点产品不予检测。”
更诬陷在微点公司负责后勤的副总田亚葵于2004年12月21日19时许,在与互联网连接的过程中,运行或激活四种计算机病毒,致使与其使用同一路由器连接互联网的公司等用户感染计算机病毒,造成经济损失18万余元。涉嫌破坏计算机信息系统罪。2005年7月28日,在田亚葵经历了11月的含冤受屈后已经被海淀检察院释放。
2006年9月22日,《新京报》刊登了《瑞星诉东方微点侵犯商业秘密》等公关稿,瑞星公司称,“在北京东方微点公司进行‘微点主动防御软件’测试的移动硬盘中,使用了田亚葵提供的病毒样本,该样本与瑞星公司2002年10月之前与SOPHOS网站进行交换的样本完全一致”。事实上,东方微点公司和SOPHOS公司也进行病毒样本交换。
瑞星公司如何获得东方微点公司移动硬盘和病毒样本,究竟是谁窃取谁的“商业秘密”?
报道中瑞星公司称,“田亚葵到该公司任副总经理,主管研发工作”。田亚葵根本就不懂得反病毒技术,东方微点公司能让田亚葵主管研发工作吗?这显然是在造谣。
在微点封杀事件之前,瑞星的这种卑鄙手段已经不是第一次付诸在商业对手的身上了,在2004年8月份,瑞星就用相同伎俩打压金山公司的金山毒霸6的上市,因为毒霸资金力量雄厚和同样精于商业运作,所以没打压的住。
瑞星还有一大特点,那就是瑞星始终与“公安”结缘,在很多地方,甚至出现公安部门出面强制要求诸如网吧等安装瑞星产品的规定,这里面的猫腻就不用徽剑多说了。最搞笑的莫过于瑞星居然跟公安机关搞起了联手发布病毒播报,结果引起了其他厂商的不满。江民有关人士认为,“行政权利具有惟一性和独占性,公安机关是杀毒行业的主管部门,其公告在杀毒软件行业中的作用、威力和价值,与卫生主管部门的疾病疫情公告几近相同。瑞星与公安机关联手发布病毒播报的做法,对于其他杀毒厂商来说,有不公平竞争的嫌疑。江民在一份声明中呼吁,公安机关应停止与杀毒厂商合作进行病毒播报的做法,代之以独立、权威、严肃、科学和统一的病毒播报。”
徽剑给瑞星的市场策略终结了一下,
一是“拉”,拉虎皮、扯大旗。
二是“绊”,对竞争对手下绊子,使坏。
三是“贿”,对于那些品牌机等等
四是“骗”,通过各种途径做公关,骗消费者。
四、不断说谎的瑞星
这里来说一下瑞星的“骗”:
首先是宣传上的骗,瑞星不是大吹“虚拟机”杀毒吗?有技术人员指出:
“前两天发现瑞星把自家原来出的程序报毒了,就研究了一下.发现拿ASP2.12一类的东西,在特征位置随便动两下马上就认不出来了,这不还是特征识别、脚本脱壳吗?和宣传的好象不太一样.后来研读了一下广告宣传稿,发现瑞星的文案真是很强悍,心理暗示使用的相当有深度,而关键的技术完全只是个理论层面的概念.也许这个虚拟机指的是一般的PE加载器,还是通过一般的特征识别来调用写好的脚本脱壳,除了浪费内存,CPU外和K8的静态脱壳方法没有任何特别之处,只能说是从原来什么壳都不会脱,进步到能脱一些简单压缩壳而已”。
“据说瑞星开发了n久虚拟机,并且虚拟机搞得“非常不错”,唯一的不足是这个虚拟机被错误地用在了错误的杀毒软件上面。导致现在瑞星提高的那点识别率远远低于提高的内存占用率。如果完全虚拟跑,会慢死,虚拟机吗,虚拟的再真实,也不会和真实机完全一样的。官方解释的很好啊 模拟了一个虚拟的环境 故称为虚拟机 但是VM到了什么程度 他就卡壳了~~”
瑞星对于卡巴斯基把瑞星卡卡杀掉不满,那么我们来看看卡卡是个什么东西吧,在360安全卫士推出并大获成功后,对于广告之类流氓插件一直保持和平共处的瑞星也积极了,推出了类似的瑞星卡卡。大家都以为是好事,结果没多久,狐狸尾巴出来了:
“因为众所周知的原因,我很讨厌3721,所以不用360度安全伪士(即使是中招),总担心那天这个伪士摇身一变成为更大的流氓。所以我选择了卡卡,毕竟是瑞星出的嘛,虽然瑞星杀毒垃圾,我用卡巴,但是流氓软件都是国内制造的,瑞星应该更了解、会有更好一些的办法。使用卡卡的感觉还不错,虽然他的进程管理设计的很垃圾,估计只有专业人士才能看懂,但是帮忙干掉了几个流氓软件,所以还是让他留在了我的电脑。”
看上去很正常,不过您往下看:
“今天打开卡卡,卡卡马上就自行进行了升级更新,再重新启动后的卡卡,让我倒吸了一口凉气,居然卡卡产生了如下的变化;任务栏增加一个其丑无比的图标,还以为是中招了,用卡卡查了一遍,没有发现什么问题,研究了好一阵子才发现那就是卡卡的图标,你卡卡不是清除工具吗?怎么跑到我的任务栏去了?更加令人吃惊的是点击卡卡的关闭按钮,其图标还是在任务栏中出现,在图标上无论是右键还是左键,均没有退出这个程序的选项,点击某个类似功能键后,居然跳出一个提示说:现在进入后台运行!虽然我的内存有1G,也许你卡卡并不会占用多少,但是你不能来侵占,你经过我同意了吗?卡卡向启动项添加自启动项目,并且仿佛是两个启动项;向ie浏览器添加流氓软件常用的ie插件;综合以上,我立马准备卸载卡卡了,你TMD反流氓,自己倒是先成为流氓了!”
还有对卡卡技术质疑的:“卡卡对流氓软件也太厉害了吧,宁可错杀一百,也不放过一个?搞的我正常的网页都不能浏览了。不能直接看网页中带的视频节目。。。这样我才重装系统的。没想到,重装后,杀毒软件又。。。由于相信瑞星,安装卡卡,最重要的是它是完全免费的,那玩意装上后我的IE就不再受我控制了,想看看该有的flash,想看看有的直播电影都不行,瑞星卡卡中连拦截什么东西都没有给用户选择,是何用意,无奈卸载卡卡,tmd居然还是不能显示该有的flash,我怀疑卡卡还是留了点东西在机子里。”
上面都是暗骗,瑞星对于用户还有明骗的时候,
“瑞星也算是国内做的较大的杀毒软件了我从99年起就试用,然而这次开始于12月18日瑞星升级服务器的换版风潮对这个公司也算是领教了,在这些年来用户们的帮助下成长起来的国内公司,现在创出了些名声开始抛弃他的支持者们了,开始食言他们以前的承诺了,难道这个公司真的强大到了这个地步了吗?不用作售后服务了吗?估计他们分析市场占有率的人员脑子进水了,他们的公司领导开始腐败了。”
“有没有搞错啊。我买2002版时,说是终身免费升级的哦。现在就改口,太奸了吧。开始为了支持国产买了瑞星.一直觉得不错.那是也是有因他说终身免费升级才买的..那时我的机子中只有瑞星是正版,其实软件都是翻版,还很自豪呢.真没想出瑞星原来也是这么无诚信的企业.失望”
还有更厉害的:
“昨天重新装了系统。重下载了rising。今天rising就不能升级了。说是产品序列号与用户ID不匹配。怎么解决呢?我的是季度卡,用了一个月左右吧。只有我一个人使用。并且在通行证里捆绑了的。这个问题怎么解决啊?”
明白吧,瑞星就是一个骗子。
五、瑞星的无赖公关
都说瑞星的枪多,这话这几天让徽剑大开眼界,不过很可惜,这些基本都是“烟枪”,除了到处给别人扣帽子和复制外,好像没别的本领。
看段报道:
2007年5月19日上午,卡巴斯基公司接到瑞星公司来电,称卡巴斯基反病毒软件将瑞星卡卡当作病毒“查杀”,要求卡巴斯基解决这一问题。卡巴斯基公司当即表示,卡巴斯基将在保障用户安全的前提下,立即安排病毒分析工程师对瑞星卡卡在用户计算机内的行为进行全面评估。鉴于卡巴斯基在全球均奉行“用户安全第一”的保护原则,对任何可能对计算机安全造成威胁的进程都会向用户提出警告,即使这些进程来自于商业软件。令人吃惊的是,卡巴斯基公司负责媒体宣传的部门很快发现互联网上出现了多篇以“卡巴斯基查杀瑞星卡卡 导致大量用户无法正常升级”为题、内容完全一样的新闻稿,最早的一篇于2007年5月19日15点05分43秒发布在瑞星官方网站上。
看到了吧,一环扣一环,那边的电话不过是为了这边的烟枪准备的。
看看这些评价:
“今天又看见了一篇文章:杀完瑞星又杀QQ。靠,QQ有后台监控这个大家都知道,而且杀QQ的事情还是在过年以前(07年1月),怎么这个时候拿来说?你玩穿越也太过分了吧。”
“星期五诺顿误杀造成用户电脑死机,且不说是不是微软在我们的电脑里装了什么远程控制程序,当QQ弹出这条新闻的时候,我竟然看见瑞星在JJYY。还是IT168说得好,人家不打电话到赛门铁克,干嘛找你瑞星啊,凭借这个出位,你们公关也太差了吧。”
“炒作吗那简直就是不用思考的事,这也是瑞星区别于其他两大国内杀毒软件的地方。绝大多数用户不会自己评测杀毒软件的性能,所以要想卖的好,首先要考虑的问题不是产品本身的品质,而是前期的宣传技巧,和进行心理暗示的方式手法。现在emulator脱壳还很不成熟,我觉得也就是咖啡的比较有气势,静态的只要抄K8的就好了,比如KV的。其实用静态对付就足以了,反正用壳的都是些木马蠕虫一类的,只要下的去狠心就行”
“瑞星的文案可以弥补开发的不足。”
还是一位网友说的好:“瑞星,让它吹牛去吧,我只佩服它在各个论坛的枪手之多,或许这本身就是一种营销方式,拼命打压其它杀毒软件——在KV的论坛说KV不如瑞星,在天网的论坛说天网不如瑞星防火墙,在金山的论坛说金山毒霸不如瑞星”。
六、爬向生命终点
其实,最痛苦的就是我们广大网民了。本来杀毒软件是用来看护系统的,结果整了个系统崩溃,数据丢失,还要费劲去修复,这也就算了,本来事无完美,我们也许还可以忍受错误,改正了就好。
至于瑞星的产品问题,大家随便到搜索引擎上去搜搜看吧,虽然大部分都不算是什么上得了台面的,可是用过杀毒软件的人都知道,瑞星一向是以“狠”出名的,别的杀毒软件杀不掉的,瑞星只要能查出来,基本上不存在“杀不掉”这回事——连们们业内的人都感叹,
现今瑞星的技术资本比别人差,只能用不正当的手段与他的竞争对手抗衡,瑞星的技术靠的是刘旭,刘旭被挤走后,瑞星的技术就开始一路下滑,一年一年的新版本,换汤不换药。要想立于不败之地讲的是实力,或许凭瑞星积累10余年的政府某部门的关系,能嚣张的了一时,但绝不能嚣张一世!相信有句话:正义终究会战胜邪恶的!
瑞星说:诺顿在企业用户中对他威胁大,卡巴在个人用户中威胁大。以前有微点被冤枉,这下卡巴和诺顿又成了靶子,下一个会是谁呢?
=============================================================
徽剑备注申明:
第一,周鸿祎没有给我的钱,否则我不会那样批迅雷。
第二,我没必要通过这个吸引周的注意,因为他老早就知道我了
第三,同样卡巴没有给我钱,因为我不懂俄文,联系不上。至于诺顿我是从来不用的。
第四,我从来不打枪,我的至爱是打炮。枪是虚的,炮是实的。
徽剑交流联系
QQ:345499392
MSN:huijian2008@hotmail.com
这里的文章不管什么媒体,在保证署名的前提下都可以转载,稿费无所谓。如果采用后给样刊或通知一下,徽剑会非常高兴。
徽剑目前正在创办ITpose评论社区,深感于目前IT评论北热南冷,同时IT评论要么很乱要么被各种利益集团左右,这个ITpose社区发展目标是做一个全面IT评论社区,让一切有责任的IT人都可以来发表自己的意见。
原文链接: http://szadv.blog.sohu.com/47336055.html
一、这年头就怕流氓有文化
二、瑞星的技术如何
三、瑞星的市场是如何做的
四、不断说谎的瑞星
五、不务正业,尽搞无赖公关
六、爬向生命终点
一、这年头就怕流氓有文化
问:流氓不可怕,就怕流氓有文化是什么意思?
答:一个没文化的流氓造势只能影响小范围,而流氓有了文化文化一旦形成将会影响整个社会!因为流氓多半是无理取闹,你完全可以据理力争,可流氓有了文化,就能把无理的说成有理的,没准儿还说得头头是道,让你无法与其斗争,所以流氓有了文化就很可怕。
近日,先是闹出诺顿把windows系统的两个底层相关的系统文件当病毒杀掉,造成用户操作系统蓝屏瘫痪的现象,本来杀毒软件杀错的事情也是很常见,在徽剑的记忆中,好像大多杀毒软件都这样的洋相。
但是这一次不同了,看看报道:
“5月18日,诺顿杀毒软件升级病毒库后,会把Windows XP系统的关键系统文件当作病毒清除,重启后系统将会瘫痪。瑞星公司表示,截至中午12点已有超过7千名个人用户和近百家企业用户向瑞星客户服务中心求助,更多用户由于系统繁忙无法打入电话。”
“5月19日,赛门铁克官方发表声明,并提出了解决问题的方法,确认是诺顿杀毒软件误删除XP系统文件导致系统崩溃,。声明中称,5月17日的更新程序错误地把微软简体中文Windows XP 中的2个系统文件当作木马程序进行了删除,从而造成Windows系统在重启后无法运行。并称在北京时间5月18日下午2:30已发布了LiveUpdate更新定义来更正这一事件。在错误检测后没有重新启动Windows系统的用户可以通过应用LiveUpdate的更新定义来解决这一问题。”
有评论说:诺顿杀毒软件“枪支走火”后,面对残局束手无策,当赛门铁克公司还没有反应过来的时候,国内三大杀毒公司江民、瑞星、金山公司却早已抢先一步,你一个声明,我一个公告,帮助这位昔日国际强敌,今日落难同行收拾残局。
这几天,各大IT网站就这个话题争论不休,特别是瑞星的枪手,几乎是遍地开花、上窜下跳。而几大公司的声明同时,也不免捎带说上几句自己产品的好话,不过到目前为止还没有哪一家敢附上“我公司产品绝对不会误杀”的字样!
不过很有意思的是,有人说:诺顿“误杀”用户为什么没有想到给赛门铁克打电话投诉,倒想起给其他杀毒公司打电话求救呢?
徽剑问一下:你买了戴尔的电脑出了问题,你会打电话给联想,问问如何处理吗?
由于瑞星是这次跳的最厉害的,这里就分析一下瑞星,看看瑞星的“光辉历史”。
二、瑞星的技术如何
先给一般人说说杀毒软件的技术知识,为了下面分析瑞星做点技术铺垫。
看一个杀毒软件的好坏,要看它真正能够识别病毒的能力,过去单纯通过病毒特征库的严格比对,来判别病毒的杀毒方式总是会慢半拍。因此用户只得无奈的把杀软的落后杀毒方式比喻成“过期药”。经过多年来杀毒软件厂商不断技术研发和杀软产品一次又一次的更新换代,以主动防御功能为主要特征的新一代防病毒体系已经完全确立了起来,相应地各主流杀毒软件厂商也都围绕着“主动防御”使出了各自的看家本领。
启发杀毒技术就是“主动防御”中的一种,是现在对付未知威胁的主要手段。启发杀毒技术中最先进的动态启发分析技术会将应用程序的编码复制到杀毒软件的模拟缓冲区中,并使用特别的“技巧”模拟其执行。若在“模拟执行”中检测到可疑的动作,该程序将被归类为危险程序,并立即拦截。不同于以特征码为基础的方法,启发杀毒技术可以检测出已知和未知的病毒,但是如果启发杀毒技术控制的不好,会产生不少误报,这也是当前一些以启发著名的杀毒软件一直无法得到大型企业认可的原因。
从2006年开始,行为杀毒技术逐渐风行,行为杀毒工具是在应用程序执行时分析其行为,并拦截任何可能危险活动的行为。行为杀毒是在实际系统的环境中运作,所以被病毒欺骗的可能性几乎没有。先进的行为杀毒技术还甚至可以在未知的程序执行恶意活动后,恢复变更,借以还原系统至感染前的状态。
虚拟机技术在杀毒软件中现在也有非常多的运用,特别是在启发杀毒技术中,一些启发技术比较成熟的杀毒软件都在他们动态启发杀毒技术中运用了虚拟机技术。有统计数据显示,2约有90%以上是“加壳”病毒。所谓“加壳”,就是给恶性病毒包上杀毒软件难以识别的外壳,某些病毒甚至加了近10层外壳,如果用常规的解壳杀毒技术,很难彻底地层层解壳,并最终清除该病毒。虚拟机技术就是用软件先虚拟一套运行环境,让病毒先在该虚拟环境下运行,从而观察病毒的执行过程。这样,杀毒软件就可以在其“现出原形”之后通过特征码查毒法对其进行查杀。但是现在一些设计先进的病毒,能够识别出这种简化虚拟机环境和真实环境的差别,在这种环境下不发作!
据反病毒专家介绍:
虚拟机并不是新技术,目前微软、JAVA等虚拟机都已经十分成熟,在一台电脑上安装一个虚拟机和多个操作系统,已经成为许多评测人员和计算机病毒分析人员必需工作条件。而将虚拟机技术应用到杀毒方面,却是一个杀毒业界一直在追求和探索的课题。解决虚拟机技术至少应解决两大难题:
一是虚拟机技术面临的一个最大的难题就是如何解决资源占用问题,如果全部应用虚拟机技术话,分析一个加壳病毒需要3到5分钟的时间,而目前电脑中许多压缩加壳的文件,光分析这些文件耗用的时间和占用的资源,就足够成为一个很有耐心的人放弃这款杀毒软件理由了,目前国际上主流的杀毒厂商对应用虚拟机技术都比较保守,毕竟不能因为杀毒拖垮用户的电脑。
二是如果判断病毒标准的问题。尽管根据病毒定义而确立的 “传染”标准是明确的,但是,这个标准却是模糊的。一是要仿真传染条件,哪些条件感染病毒,怎样制造传播条件?如系统日期、感染对象的文件名等等,二是这个分析是通过动态执行分支屡试呢,还是通过返回头进行静态的指令过程分析?如果杀毒软件以病毒传染性标准定义作为判断标准的话?
所以,虽然许多人对特征码技术持有不同的看法,但是在很长一段时间内,特征码仍然是主要的杀毒技术,虚拟机技术只能起到补充和辅助的作用。通过以上分析可以看出,目前的杀毒软件中都包含了两种以上的技术,因为这些技术都在各自的领域有所专长,谁也不能完全取代谁,谁也不能做到能查杀所有病毒,必须互为补充。
上面介绍了杀毒软件的大致技术,这里来看看瑞星:
“12月5日,国内最大的信息安全厂商瑞星召开盛大的发布会,隆重推出年度旗舰级新品——“瑞星杀毒软件2007版”,该产品在全球安全业界首次将商用“虚拟机”技术应用到杀毒引擎中,结合Startup Scan(抢先杀毒)、未知病毒查杀等技术,对“多重加壳”等恶性顽固病毒的查杀能力实现重大突破,整体技术处于世界先进水平。”
新一代虚拟机脱壳引擎,瑞星公司宣称是历时4年研发出来的第八代引擎,不过这里很搞笑,难道瑞星一年可以出两代产品,不知道他们是怎么分代的,难道瑞星的技术进步神速?
先来看一下瑞星是如何吹嘘所谓的“Startup Scan独占式抢先杀毒技术”:
“碎甲技术击溃Rootkits,彻底清除顽固病毒,Rootkits是一种病毒编写技术,它像一层铠甲,将自身及指定的文件保护起来,使其它软件无法发现、修改或删除这些文件。目前,越来越多的流氓软件已开始采用此种技术进行自我保护。带有Rootkits的流氓软件和病毒就像练就了“金钟罩”、“铁布衫”,不除去这种保护伞,各种杀毒软件都无法对其进行彻底清除。瑞星公司经过对数百个Rootkits工具、使用该技术的病毒,流氓软件以及Windows驱动加载方式分析,并进行大量试验后,最终找到了一种高效的通用解决方法,并将其命名为“碎甲(Anti-Rootkits)”技术。“碎甲”技术通过对Windows驱动程序加载点进行拦截,当发现Rootkits时自动使其保护功能失效,就象穿甲弹击碎盔甲一样。目前,此技术可以有效对付600余种Rootkits,并且当有新的Rootkits出现时能够迅速地进行升级处理。”
事实上,rootkits 是一堆能窃取密码,监听网络流量,留下后门等的程序集,如果入侵者在系统中成功植入 rootkits ,一般人将很难发现已经被入侵,或是只是觉得系统“怪怪的”,却不知道哪边出了问题,而对于入侵者来说,将能轻易控制系统,而且通行无阻。Rootkit其实就是在WINDOWS启动时加载比较早的功能模块,WINDOWS的驱动程序就是应用的这种技术,既然瑞星可以提前加载,也就是使用的Rootkit技术。
一个关键的问题就是能保证能在病毒之前加载?相信很多人都遇到过杀毒软件被病毒禁止运行的时候吧?这就是病毒抢先运行了。这并不是什么世界领先技术,连流氓软件都用到这个技术了,看来瑞星还没有流氓软件使用的技术先进。
瑞星标榜自己的防火墙规则是多么多么丰富,其实,规则越多防火墙性能越差,比如瑞星每次上网,不断报告XX用户试图连接本机XX端口,该包已被拦截,每时每刻都在拦截信息,哪有这么多黑客会盯着你,其实有这么多规则顶用么?规则一多上网速度就越慢,每个探测端口的信息防火墙就要用近千条规则去衡量,神经啊
至于瑞星吹嘘的全球首创“虚拟机”技术,前面已经分析过了,首先,这项技术瑞星不是第一个使用,而且这项技术目前远没有到成熟的阶段,世界上没有那个杀毒厂商敢于真正全面引用,这里徽剑估计,如果瑞星的真的全面应用真正意义的“虚拟机”,那么你的CPU跑10GHZ也没什么用。因为全面应用真正意义的“虚拟机”杀毒,对于计算机系统性能的要求提高了成百上千倍。
三、瑞星的市场是如何做的
瑞星总是很得意以国内老大自居,那么我们来看看瑞星是如何做大市场的吧。
瑞星从当初只剩10万资金,同时还欠着15万广告费的窘境,到现今占据国内杀毒市场60%以上的份额的壮观。甚至于人们一提到病毒,就联想到瑞星。这个奇迹是谁创造的?是一个叫刘旭的。
有人说:瑞星的成就,或许对刘旭来说,是幸运的,但老天偏偏爱和他开玩笑,从一手成就瑞星的奇迹,再到被瑞星的原始出资人,一个卑鄙的商人王莘过河拆桥,再到自主研发的微点主动防御软件遭到官商勾结的封杀,这一路走来,或许刘旭已经不会感到幸运了,为他人做嫁衣,恩将仇报,这类事情发生在任何一个人身上,都是一种不幸…
为瑞星立下汗马功劳的刘旭被排挤出瑞星后,成立了自己的微点公司,推出了自己的杀毒软件,2005年6月21日,刘旭向北京市公安局公提出了备案申请。这个程序基本上都是第二天就完成了。结果网监处不仅不予备案,反而以“反病毒公司资质调查”、“未采取安全技术防范措施”为由,开始了对东方微点公司的调查。更为恶劣的是,在未出具任何合法手续的情况下,电脑竟被在光天化日之下直接送到了竞争对手——瑞星软件公司那里。网监处还给国家病毒防治产品检测中心发公函,要求其对微点产品不予检测。”
更诬陷在微点公司负责后勤的副总田亚葵于2004年12月21日19时许,在与互联网连接的过程中,运行或激活四种计算机病毒,致使与其使用同一路由器连接互联网的公司等用户感染计算机病毒,造成经济损失18万余元。涉嫌破坏计算机信息系统罪。2005年7月28日,在田亚葵经历了11月的含冤受屈后已经被海淀检察院释放。
2006年9月22日,《新京报》刊登了《瑞星诉东方微点侵犯商业秘密》等公关稿,瑞星公司称,“在北京东方微点公司进行‘微点主动防御软件’测试的移动硬盘中,使用了田亚葵提供的病毒样本,该样本与瑞星公司2002年10月之前与SOPHOS网站进行交换的样本完全一致”。事实上,东方微点公司和SOPHOS公司也进行病毒样本交换。
瑞星公司如何获得东方微点公司移动硬盘和病毒样本,究竟是谁窃取谁的“商业秘密”?
报道中瑞星公司称,“田亚葵到该公司任副总经理,主管研发工作”。田亚葵根本就不懂得反病毒技术,东方微点公司能让田亚葵主管研发工作吗?这显然是在造谣。
在微点封杀事件之前,瑞星的这种卑鄙手段已经不是第一次付诸在商业对手的身上了,在2004年8月份,瑞星就用相同伎俩打压金山公司的金山毒霸6的上市,因为毒霸资金力量雄厚和同样精于商业运作,所以没打压的住。
瑞星还有一大特点,那就是瑞星始终与“公安”结缘,在很多地方,甚至出现公安部门出面强制要求诸如网吧等安装瑞星产品的规定,这里面的猫腻就不用徽剑多说了。最搞笑的莫过于瑞星居然跟公安机关搞起了联手发布病毒播报,结果引起了其他厂商的不满。江民有关人士认为,“行政权利具有惟一性和独占性,公安机关是杀毒行业的主管部门,其公告在杀毒软件行业中的作用、威力和价值,与卫生主管部门的疾病疫情公告几近相同。瑞星与公安机关联手发布病毒播报的做法,对于其他杀毒厂商来说,有不公平竞争的嫌疑。江民在一份声明中呼吁,公安机关应停止与杀毒厂商合作进行病毒播报的做法,代之以独立、权威、严肃、科学和统一的病毒播报。”
徽剑给瑞星的市场策略终结了一下,
一是“拉”,拉虎皮、扯大旗。
二是“绊”,对竞争对手下绊子,使坏。
三是“贿”,对于那些品牌机等等
四是“骗”,通过各种途径做公关,骗消费者。
四、不断说谎的瑞星
这里来说一下瑞星的“骗”:
首先是宣传上的骗,瑞星不是大吹“虚拟机”杀毒吗?有技术人员指出:
“前两天发现瑞星把自家原来出的程序报毒了,就研究了一下.发现拿ASP2.12一类的东西,在特征位置随便动两下马上就认不出来了,这不还是特征识别、脚本脱壳吗?和宣传的好象不太一样.后来研读了一下广告宣传稿,发现瑞星的文案真是很强悍,心理暗示使用的相当有深度,而关键的技术完全只是个理论层面的概念.也许这个虚拟机指的是一般的PE加载器,还是通过一般的特征识别来调用写好的脚本脱壳,除了浪费内存,CPU外和K8的静态脱壳方法没有任何特别之处,只能说是从原来什么壳都不会脱,进步到能脱一些简单压缩壳而已”。
“据说瑞星开发了n久虚拟机,并且虚拟机搞得“非常不错”,唯一的不足是这个虚拟机被错误地用在了错误的杀毒软件上面。导致现在瑞星提高的那点识别率远远低于提高的内存占用率。如果完全虚拟跑,会慢死,虚拟机吗,虚拟的再真实,也不会和真实机完全一样的。官方解释的很好啊 模拟了一个虚拟的环境 故称为虚拟机 但是VM到了什么程度 他就卡壳了~~”
瑞星对于卡巴斯基把瑞星卡卡杀掉不满,那么我们来看看卡卡是个什么东西吧,在360安全卫士推出并大获成功后,对于广告之类流氓插件一直保持和平共处的瑞星也积极了,推出了类似的瑞星卡卡。大家都以为是好事,结果没多久,狐狸尾巴出来了:
“因为众所周知的原因,我很讨厌3721,所以不用360度安全伪士(即使是中招),总担心那天这个伪士摇身一变成为更大的流氓。所以我选择了卡卡,毕竟是瑞星出的嘛,虽然瑞星杀毒垃圾,我用卡巴,但是流氓软件都是国内制造的,瑞星应该更了解、会有更好一些的办法。使用卡卡的感觉还不错,虽然他的进程管理设计的很垃圾,估计只有专业人士才能看懂,但是帮忙干掉了几个流氓软件,所以还是让他留在了我的电脑。”
看上去很正常,不过您往下看:
“今天打开卡卡,卡卡马上就自行进行了升级更新,再重新启动后的卡卡,让我倒吸了一口凉气,居然卡卡产生了如下的变化;任务栏增加一个其丑无比的图标,还以为是中招了,用卡卡查了一遍,没有发现什么问题,研究了好一阵子才发现那就是卡卡的图标,你卡卡不是清除工具吗?怎么跑到我的任务栏去了?更加令人吃惊的是点击卡卡的关闭按钮,其图标还是在任务栏中出现,在图标上无论是右键还是左键,均没有退出这个程序的选项,点击某个类似功能键后,居然跳出一个提示说:现在进入后台运行!虽然我的内存有1G,也许你卡卡并不会占用多少,但是你不能来侵占,你经过我同意了吗?卡卡向启动项添加自启动项目,并且仿佛是两个启动项;向ie浏览器添加流氓软件常用的ie插件;综合以上,我立马准备卸载卡卡了,你TMD反流氓,自己倒是先成为流氓了!”
还有对卡卡技术质疑的:“卡卡对流氓软件也太厉害了吧,宁可错杀一百,也不放过一个?搞的我正常的网页都不能浏览了。不能直接看网页中带的视频节目。。。这样我才重装系统的。没想到,重装后,杀毒软件又。。。由于相信瑞星,安装卡卡,最重要的是它是完全免费的,那玩意装上后我的IE就不再受我控制了,想看看该有的flash,想看看有的直播电影都不行,瑞星卡卡中连拦截什么东西都没有给用户选择,是何用意,无奈卸载卡卡,tmd居然还是不能显示该有的flash,我怀疑卡卡还是留了点东西在机子里。”
上面都是暗骗,瑞星对于用户还有明骗的时候,
“瑞星也算是国内做的较大的杀毒软件了我从99年起就试用,然而这次开始于12月18日瑞星升级服务器的换版风潮对这个公司也算是领教了,在这些年来用户们的帮助下成长起来的国内公司,现在创出了些名声开始抛弃他的支持者们了,开始食言他们以前的承诺了,难道这个公司真的强大到了这个地步了吗?不用作售后服务了吗?估计他们分析市场占有率的人员脑子进水了,他们的公司领导开始腐败了。”
“有没有搞错啊。我买2002版时,说是终身免费升级的哦。现在就改口,太奸了吧。开始为了支持国产买了瑞星.一直觉得不错.那是也是有因他说终身免费升级才买的..那时我的机子中只有瑞星是正版,其实软件都是翻版,还很自豪呢.真没想出瑞星原来也是这么无诚信的企业.失望”
还有更厉害的:
“昨天重新装了系统。重下载了rising。今天rising就不能升级了。说是产品序列号与用户ID不匹配。怎么解决呢?我的是季度卡,用了一个月左右吧。只有我一个人使用。并且在通行证里捆绑了的。这个问题怎么解决啊?”
明白吧,瑞星就是一个骗子。
五、瑞星的无赖公关
都说瑞星的枪多,这话这几天让徽剑大开眼界,不过很可惜,这些基本都是“烟枪”,除了到处给别人扣帽子和复制外,好像没别的本领。
看段报道:
2007年5月19日上午,卡巴斯基公司接到瑞星公司来电,称卡巴斯基反病毒软件将瑞星卡卡当作病毒“查杀”,要求卡巴斯基解决这一问题。卡巴斯基公司当即表示,卡巴斯基将在保障用户安全的前提下,立即安排病毒分析工程师对瑞星卡卡在用户计算机内的行为进行全面评估。鉴于卡巴斯基在全球均奉行“用户安全第一”的保护原则,对任何可能对计算机安全造成威胁的进程都会向用户提出警告,即使这些进程来自于商业软件。令人吃惊的是,卡巴斯基公司负责媒体宣传的部门很快发现互联网上出现了多篇以“卡巴斯基查杀瑞星卡卡 导致大量用户无法正常升级”为题、内容完全一样的新闻稿,最早的一篇于2007年5月19日15点05分43秒发布在瑞星官方网站上。
看到了吧,一环扣一环,那边的电话不过是为了这边的烟枪准备的。
看看这些评价:
“今天又看见了一篇文章:杀完瑞星又杀QQ。靠,QQ有后台监控这个大家都知道,而且杀QQ的事情还是在过年以前(07年1月),怎么这个时候拿来说?你玩穿越也太过分了吧。”
“星期五诺顿误杀造成用户电脑死机,且不说是不是微软在我们的电脑里装了什么远程控制程序,当QQ弹出这条新闻的时候,我竟然看见瑞星在JJYY。还是IT168说得好,人家不打电话到赛门铁克,干嘛找你瑞星啊,凭借这个出位,你们公关也太差了吧。”
“炒作吗那简直就是不用思考的事,这也是瑞星区别于其他两大国内杀毒软件的地方。绝大多数用户不会自己评测杀毒软件的性能,所以要想卖的好,首先要考虑的问题不是产品本身的品质,而是前期的宣传技巧,和进行心理暗示的方式手法。现在emulator脱壳还很不成熟,我觉得也就是咖啡的比较有气势,静态的只要抄K8的就好了,比如KV的。其实用静态对付就足以了,反正用壳的都是些木马蠕虫一类的,只要下的去狠心就行”
“瑞星的文案可以弥补开发的不足。”
还是一位网友说的好:“瑞星,让它吹牛去吧,我只佩服它在各个论坛的枪手之多,或许这本身就是一种营销方式,拼命打压其它杀毒软件——在KV的论坛说KV不如瑞星,在天网的论坛说天网不如瑞星防火墙,在金山的论坛说金山毒霸不如瑞星”。
六、爬向生命终点
其实,最痛苦的就是我们广大网民了。本来杀毒软件是用来看护系统的,结果整了个系统崩溃,数据丢失,还要费劲去修复,这也就算了,本来事无完美,我们也许还可以忍受错误,改正了就好。
至于瑞星的产品问题,大家随便到搜索引擎上去搜搜看吧,虽然大部分都不算是什么上得了台面的,可是用过杀毒软件的人都知道,瑞星一向是以“狠”出名的,别的杀毒软件杀不掉的,瑞星只要能查出来,基本上不存在“杀不掉”这回事——连们们业内的人都感叹,
现今瑞星的技术资本比别人差,只能用不正当的手段与他的竞争对手抗衡,瑞星的技术靠的是刘旭,刘旭被挤走后,瑞星的技术就开始一路下滑,一年一年的新版本,换汤不换药。要想立于不败之地讲的是实力,或许凭瑞星积累10余年的政府某部门的关系,能嚣张的了一时,但绝不能嚣张一世!相信有句话:正义终究会战胜邪恶的!
瑞星说:诺顿在企业用户中对他威胁大,卡巴在个人用户中威胁大。以前有微点被冤枉,这下卡巴和诺顿又成了靶子,下一个会是谁呢?
=============================================================
徽剑备注申明:
第一,周鸿祎没有给我的钱,否则我不会那样批迅雷。
第二,我没必要通过这个吸引周的注意,因为他老早就知道我了
第三,同样卡巴没有给我钱,因为我不懂俄文,联系不上。至于诺顿我是从来不用的。
第四,我从来不打枪,我的至爱是打炮。枪是虚的,炮是实的。
徽剑交流联系
QQ:345499392
MSN:huijian2008@hotmail.com
这里的文章不管什么媒体,在保证署名的前提下都可以转载,稿费无所谓。如果采用后给样刊或通知一下,徽剑会非常高兴。
徽剑目前正在创办ITpose评论社区,深感于目前IT评论北热南冷,同时IT评论要么很乱要么被各种利益集团左右,这个ITpose社区发展目标是做一个全面IT评论社区,让一切有责任的IT人都可以来发表自己的意见。
原文链接: http://szadv.blog.sohu.com/47336055.html
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/12467/viewspace-147908/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/12467/viewspace-147908/