2007/07/28
『IT博览』关于瑞星的彻底批判,一只老甲鱼的末路狂奔(转载)
一、这年头就怕流氓有文化
二、瑞星的技术如何
三、瑞星的市场是如何做的
四、不断说谎的瑞星
五、不务正业,尽搞无赖公关
六、爬向生命终点
一、这年头就怕流氓有文化
问:流氓不可怕,就怕流氓有文化是什么意思?
答:一个没文化的流氓造势只能影响小范围,而流氓有了文化文化一旦形成将会影响整个社会!因为流氓多半是无理取闹,你完全可以据理力争,可流氓有了文化,就能把无理的说成有理的,没准儿还说得头头是道,让你无法与其斗争,所以流氓有了文化就很可怕。
近日,先是闹出诺顿把windows系统的两个底层相关的系统文件当病毒杀掉,造成用户操作系统蓝屏瘫痪的现象,本来杀毒软件杀错的事情也是很常见,在徽剑的记忆中,好像大多杀毒软件都这样的洋相。
但是这一次不同了,看看报道:
“5月18日,诺顿杀毒软件升级病毒库后,会把Windows XP系统的关键系统文件当作病毒清除,重启后系统将会瘫痪。瑞星公司表示,截至中午12点已有超过7千名个人用户和近百家企业用户向瑞星客户服务中心求助,更多用户由于系统繁忙无法打入电话。”
“5月19日,赛门铁克官方发表声明,并提出了解决问题的方法,确认是诺顿杀毒软件误删除XP系统文件导致系统崩溃,。声明中称,5月17日的更新程序错误地把微软简体中文Windows XP 中的2个系统文件当作木马程序进行了删除,从而造成Windows系统在重启后无法运行。并称在北京时间5月18日下午2:30已发布了LiveUpdate更新定义来更正这一事件。在错误检测后没有重新启动Windows系统的用户可以通过应用LiveUpdate的更新定义来解决这一问题。”
有评论说:诺顿杀毒软件“枪支走火”后,面对残局束手无策,当赛门铁克公司还没有反应过来的时候,国内三大杀毒公司江民、瑞星、金山公司却早已抢先一步,你一个声明,我一个公告,帮助这位昔日国际强敌,今日落难同行收拾残局。
这几天,各大IT网站就这个话题争论不休,特别是瑞星的枪手,几乎是遍地开花、上窜下跳。而几大公司的声明同时,也不免捎带说上几句自己产品的好话,不过到目前为止还没有哪一家敢附上“我公司产品绝对不会误杀”的字样!
不过很有意思的是,有人说:诺顿“误杀”用户为什么没有想到给赛门铁克打电话投诉,倒想起给其他杀毒公司打电话求救呢?
徽剑问一下:你买了戴尔的电脑出了问题,你会打电话给联想,问问如何处理吗?
由于瑞星是这次跳的最厉害的,这里就分析一下瑞星,看看瑞星的“光辉历史”。
二、瑞星的技术如何
先给一般人说说杀毒软件的技术知识,为了下面分析瑞星做点技术铺垫。
看一个杀毒软件的好坏,要看它真正能够识别病毒的能力,过去单纯通过病毒特征库的严格比对,来判别病毒的杀毒方式总是会慢半拍。因此用户只得无奈的把杀软的落后杀毒方式比喻成“过期药”。经过多年来杀毒软件厂商不断技术研发和杀软产品一次又一次的更新换代,以主动防御功能为主要特征的新一代防病毒体系已经完全确立了起来,相应地各主流杀毒软件厂商也都围绕着“主动防御”使出了各自的看家本领。
启发杀毒技术就是“主动防御”中的一种,是现在对付未知威胁的主要手段。启发杀毒技术中最先进的动态启发分析技术会将应用程序的编码复制到杀毒软件的模拟缓冲区中,并使用特别的“技巧”模拟其执行。若在“模拟执行”中检测到可疑的动作,该程序将被归类为危险程序,并立即拦截。不同于以特征码为基础的方法,启发杀毒技术可以检测出已知和未知的病毒,但是如果启发杀毒技术控制的不好,会产生不少误报,这也是当前一些以启发著名的杀毒软件一直无法得到大型企业认可的原因。
从2006年开始,行为杀毒技术逐渐风行,行为杀毒工具是在应用程序执行时分析其行为,并拦截任何可能危险活动的行为。行为杀毒是在实际系统的环境中运作,所以被病毒欺骗的可能性几乎没有。先进的行为杀毒技术还甚至可以在未知的程序执行恶意活动后,恢复变更,借以还原系统至感染前的状态。
虚拟机技术在杀毒软件中现在也有非常多的运用,特别是在启发杀毒技术中,一些启发技术比较成熟的杀毒软件都在他们动态启发杀毒技术中运用了虚拟机技术。有统计数据显示,2约有90%以上是“加壳”病毒。所谓“加壳”,就是给恶性病毒包上杀毒软件难以识别的外壳,某些病毒甚至加了近10层外壳,如果用常规的解壳杀毒技术,很难彻底地层层解壳,并最终清除该病毒。虚拟机技术就是用软件先虚拟一套运行环境,让病毒先在该虚拟环境下运行,从而观察病毒的执行过程。这样,杀毒软件就可以在其“现出原形”之后通过特征码查毒法对其进行查杀。但是现在一些设计先进的病毒,能够识别出这种简化虚拟机环境和真实环境的差别,在这种环境下不发作!
据反病毒专家介绍:
虚拟机并不是新技术,目前微软、JAVA等虚拟机都已经十分成熟,在一台电脑上安装一个虚拟机和多个操作系统,已经成为许多评测人员和计算机病毒分析人员必需工作条件。而将虚拟机技术应用到杀毒方面,却是一个杀毒业界一直在追求和探索的课题。解决虚拟机技术至少应解决两大难题:
一是虚拟机技术面临的一个最大的难题就是如何解决资源占用问题,如果全部应用虚拟机技术话,分析一个加壳病毒需要3到5分钟的时间,而目前电脑中许多压缩加壳的文件,光分析这些文件耗用的时间和占用的资源,就足够成为一个很有耐心的人放弃这款杀毒软件理由了,目前国际上主流的杀毒厂商对应用虚拟机技术都比较保守,毕竟不能因为杀毒拖垮用户的电脑。
二是如果判断病毒标准的问题。尽管根据病毒定义而确立的 “传染”标准是明确的,但是,这个标准却是模糊的。一是要仿真传染条件,哪些条件感染病毒,怎样制造传播条件?如系统日期、感染对象的文件名等等,二是这个分析是通过动态执行分支屡试呢,还是通过返回头进行静态的指令过程分析?如果杀毒软件以病毒传染性标准定义作为判断标准的话?
所以,虽然许多人对特征码技术持有不同的看法,但是在很长一段时间内,特征码仍然是主要的杀毒技术,虚拟机技术只能起到补充和辅助的作用。通过以上分析可以看出,目前的杀毒软件中都包含了两种以上的技术,因为这些技术都在各自的领域有所专长,谁也不能完全取代谁,谁也不能做到能查杀所有病毒,必须互为补充。
上面介绍了杀毒软件的大致技术,这里来看看瑞星:
“12月5日,国内最大的信息安全厂商瑞星召开盛大的发布会,隆重推出年度旗舰级新品——“瑞星杀毒软件2007版”,该产品在全球安全业界首次将商用“虚拟机”技术应用到杀毒引擎中,结合Startup Scan(抢先杀毒)、未知病毒查杀等技术,对“多重加壳”等恶性顽固病毒的查杀能力实现重大突破,整体技术处于世界先进水平。”
新一代虚拟机脱壳引擎,瑞星公司宣称是历时4年研发出来的第八代引擎,不过这里很搞笑,难道瑞星一年可以出两代产品,不知道他们是怎么分代的,难道瑞星的技术进步神速?
先来看一下瑞星是如何吹嘘所谓的“Startup Scan独占式抢先杀毒技术”:
点击此处继续阅读...